Jak podaje The CyberSec Guru, Grupa ShinyHunters opublikowała dane wykradzione z serwerów Rockstar Games po tym, jak firma nie spełniła żądań okupu. Wśród ujawnionych materiałów znalazły się dane finansowe GTA Online, informacje o graczach Red Dead Online oraz dane osobowe części użytkowników. Termin zapłaty minął dziś – 14 kwietnia.
Kto stoi za atakiem na Rockstar Games i czy dane graczy są bezpieczne?
Hakerzy nie złamali bezpośrednio zabezpieczeń Rockstara ani platformy Snowflake. Weszli przez Anodot – narzędzie SaaS do monitorowania kosztów w chmurze, z którego korzystał Rockstar. Z systemów Anodot wyciągnęli tokeny uwierzytelniające, które pozwoliły im wejść do środowiska Snowflake Rockstara tak, jakby byli legalnym wewnętrznym serwisem.
Anodot to platforma analityczna oparta na AI, której zadaniem jest śledzenie kosztów chmurowych i wykrywanie anomalii wydatkowych. Żeby spełniać tę funkcję, potrzebuje szerokiego dostępu do infrastruktury chmurowej klienta – w tym przypadku do hurtowni danych Snowflake.
Atakujący nie złamali szyfrowania Snowflake. Tokeny uwierzytelniające działają jak cyfrowy klucz autoryzacji, który pozwala jednemu oprogramowaniu komunikować się z innym bez konieczności ręcznego wpisywania hasła. Ponieważ instancja Snowflake Rockstara ufała tym tokenom, hakerzy weszli przez główne drzwi. Dostęp wyglądał jak legalny wewnętrzny proces monitorowania, przez co dział bezpieczeństwa Rockstara prawdopodobnie nie zauważył nic podejrzanego. ShinyHunters podobno eksportowali bazy danych przez pewien czas, zanim cokolwiek zostało oznaczone jako zagrożenie.
Skutki włamania. Co wyciekło z serwerów Rockstar Games?
Po upływie terminu ShinyHunters opublikowali całość zebranych materiałów, a znalazły się w nich:
- dane GTA Online
- dane Red Dead Online
- dane osobowe części graczy GTA Online i Red Dead Online
- dane finansowe GTA Online, w tym informacje o przychodach ze sprzedaży Shark Cards przekraczających 5 miliardów dolarów
Rockstar Games potwierdził incydent przez swojego rzecznika. Firma stwierdziła, że uzyskano dostęp do ograniczonej ilości niematerialnych informacji firmowych w związku z naruszeniem danych u zewnętrznego dostawcy. Według oficjalnego komunikatu zdarzenie nie ma wpływu na działalność firmy ani na graczy.
Na ten moment nie ma dowodów na to, by hakerzy uzyskali dostęp do indywidualnych haseł graczy lub danych płatniczych. Naruszenie wydaje się dotyczyć głównie danych korporacyjnych. Mimo to osoby posiadające konta w Rockstar Social Club mogą rozważyć włączenie uwierzytelniania dwuetapowego.
Motywy grupy ShinyHunters i powiązania z premierą GTA 6
ShinyHunters działają od około 2020 roku. Nie atakują indywidualnych użytkowników. Celują oni w API, systemy tożsamości i integracje, a następnie sprzedają lub upubliczniają to, co znajdą. Wśród ich poprzednich ofiar znalazły się Microsoft, Wattpad, Cisco, AT&T i Ticketmaster. Grupę łączy się także z falą kradzieży danych uwierzytelniających powiązaną ze Snowflake, która siała spustoszenie przez cały 2025 rok.
Wybór Rockstara nie jest przypadkowy. GTA 6 to jedna z najbardziej wyczekiwanych premier w historii branży, co sprawia, że wewnętrzne dane studia – takie jak kod źródłowy, harmonogramy wydań, umowy z platformami, dane przychodów, analityka graczy – mają realną wartość. W 2022 roku nastolatek wrzucił do internetu wczesne nagrania z GTA 6 przez włamanie na Slacka. To działanie jest znacznie bardziej metodyczne.
ShinyHunters zgłosili niedawno dane z ponad 400 firm powiązanych z integracjami Salesforce. Wśród innych ofiar w tej samej fali znalazły się Cisco, kanadyjski operator telekomunikacyjny Telus, holenderski dostawca Odido oraz – jak sugerują posty na forach – dane Komisji Europejskiej.
Rdzeń problemu nie leży w Snowflake. Platforma działała zgodnie z przeznaczeniem, bo wpuściła kogoś z danymi uwierzytelniającymi. Problem stanowi polityka integracji.
Konsekwencje prawne i bezpieczeństwo gracza
Jeśli dane graczy wyciekły przed terminem 14 kwietnia, Rockstar staje w obliczu obowiązków informacyjnych wynikających z GDPR i CCPA, potencjalnego nadzoru FTC, ryzyka pozwów zbiorowych oraz trudno odwracalnych strat wizerunkowych. To wszystko w momencie, gdy studio jest o krok od premiery dużej gry.
Eksperci ds. bezpieczeństwa wskazują na kilka podstawowych środków ochrony, których zaniedbanie umożliwiło atak. Wymieniają między innymi rotację tokenów – tokeny nieodświeżane przez lata to gotowa luka; zasadę minimalnych uprawnień – Anodot prawdopodobnie nie potrzebował dostępu do wszystkich danych Snowflake Rockstara; monitorowanie ruchu wychodzącego – nagły transfer wielu terabajtów danych na nieznany adres IP powinien automatycznie przerywać połączenie. Na końcu wskazują na uwierzytelnianie wieloetapowe nawet dla kont serwisowych.
Ta sprawa to nie historia o dziurawym firewallu ani słabym haśle. Punktem wejścia był token uwierzytelniający przechowywany w narzędziu analitycznym zewnętrznego dostawcy, któremu duże studio powierzyło szeroki dostęp do swoich danych.
Bungie odpowiada na bolączki społeczności. Sezon 2 wprowadzi tryby PvE do gry Marathon
Subnautica 2 ze sprzedanym milionem kopii! Wydawca niepotrzebny do sukcesu?
