Wyciek GTA 6 może nadejść, ponieważ grupa hakerska ShinyHunters zwraca się do Rockstar Games z prośbą o odkupienie

Grupa hakerska ShinyHunters opublikowała Rockstar Games na swojej stronie z wyciekami dark web, twierdząc, że ma dostęp do danych studia w chmurze za pośrednictwem skompromitowanego narzędzia analitycznego innej firmy. Grupa wyznaczyła 14 kwietnia jako termin zapłaty okupu. Zapłać albo dane zostaną upublicznione.

Według The CyberSec Guru, badacza cyberbezpieczeństwa śledzącego incydent, ShinyHunters opublikował ultimatum bezpośrednio na swojej stronie wycieku, kierując do twórcy Grand Theft Auto żądanie zapłaty. Atakujący twierdzą, że nie włamali się bezpośrednio do Rockstar ani jego hurtowni danych Snowflake. Przeszli przez Anodot, platformę SaaS, której Rockstar używa do monitorowania kosztów w chmurze i wykrywania anomalii wydatków. Z systemów Anodot, ShinyHunters wyciągnęli tokeny uwierzytelniające - cyfrowe poświadczenia, które pozwalają jednej usłudze komunikować się z inną bez ręcznego wprowadzania hasła. Ponieważ instancja Snowflake firmy Rockstar ufała tym tokenom, atakujący uzyskali dostęp do środowiska tak, jakby był to legalny proces wewnętrzny.

Sam Snowflake nie wydaje się być zagrożony. Platforma uwierzytelniała prawidłowe dane uwierzytelniające, czyli dokładnie to, do czego została stworzona. Błąd wystąpił w warstwie integracji: Anodot posiadał szerokie uprawnienia do odczytu w magazynie Snowflake firmy Rockstar, a gdy Anodot został naruszony, uprawnienia te zostały przeniesione na atakujących. ShinyHunters podobno przeprowadzili eksport bazy danych przez pewien czas, zanim cokolwiek zostało oznaczone. Ponieważ wzorzec dostępu naśladował normalną aktywność monitorowania, zespół bezpieczeństwa Rockstar nie miał oczywistego powodu do interwencji.

Zdjęcie: Strona statusu Anodot za pośrednictwem The CyberSec Guru

Według The CyberSec Guru uważa się, że naruszenie dotyczy danych korporacyjnych, a nie wycieku kodu gry. Zgłoszona ekspozycja obejmuje plany marketingowe Rockstar dla GTA 6, ale nie kod źródłowy gry. Pełny zakres tego, do czego uzyskano dostęp, pozostaje niejasny. W chwili pisania tego tekstu Rockstar Games i firma macierzysta Take-Two Interactive nie skomentowały sprawy. Ta cisza jest zgodna z tym, jak obie firmy radziły sobie z poprzednimi incydentami.

Rockstar nie jest jedynym celem w tej fali. ShinyHunters niedawno zażądał danych od ponad 400 firm powiązanych z integracjami Salesforce. Wymienione ofiary to Cisco, kanadyjski telekom Telus i holenderski dostawca Odido. Posty na forum grupy wskazują również na dane Komisji Europejskiej. Wspólnym wątkiem we wszystkich tych przypadkach jest dostęp stron trzecich - jedno skompromitowane narzędzie tworzy ekspozycję na dane w dziesiątkach lub setkach organizacji.

ShinyHunters działa od około 2020 roku. Celem grupy są interfejsy API, systemy tożsamości i warstwy integracji, a nie indywidualni użytkownicy. Wcześniejsze rzekome naruszenia obejmują 500 gigabajtów kodu źródłowego Microsoft w 2020 r., 270 milionów rekordów użytkowników Wattpad oraz dane z AT&T i Ticketmaster. Grupa ta jest również powiązana z falą kradzieży danych uwierzytelniających związanych ze Snowflake, która uderzyła w wiele firm w 2025 roku. Rozumieją, jak generować relacje prasowe i wykorzystywać presję publiczną jako dźwignię przeciwko celom.

Rockstar był tu już wcześniej. W 2022 roku nastolatek wyciekł wczesny materiał z GTA VI po naruszeniu kanałów Slack studia. Tamto naruszenie było oportunistyczne. Ten jest bardziej metodyczny, kierowany przez łańcuchy dostaw oprogramowania dla przedsiębiorstw, a nie przez konto pojedynczego pracownika.

GTA VI to najbardziej oczekiwana gra od lat, a to oczekiwanie sprawia, że wewnętrzne dane Rockstar są niezwykle cenne. Jeśli ShinyHunters uzyskali dostęp do instancji Snowflake powiązanych z operacjami Rockstar, potencjalna ekspozycja rozciąga się na dane finansowe z GTA Online i Red Dead Online, wydatki graczy i analizy geograficzne, harmonogramy marketingowe i umowy kontraktowe z Sony, Microsoftem, aktorami głosowymi i licencjodawcami muzycznymi. Termin złożenia okupu przypada na 14 kwietnia, a jeśli dane graczy pojawią się wcześniej, Rockstar stanie w obliczu wymogów RODO i CCPA dotyczących ujawniania informacji, możliwej kontroli FTC i ryzyka pozwu zbiorowego - a wszystko to podczas przygotowań do dużej premiery.

Jak dotąd nie ma dowodów na to, że uzyskano dostęp do indywidualnych haseł graczy lub danych kart płatniczych. Naruszenie wydaje się mieć zasięg korporacyjny. Mimo to włączenie uwierzytelniania dwuskładnikowego na kontach Rockstar Social Club jest rozsądnym środkiem ostrożności.

Trudno mi odrzucić to twierdzenie, biorąc pod uwagę, jak wiele firm potwierdziło już szkody wyrządzone przez operacje ShinyHunters w ramach fal integracji Snowflake i Salesforce. Możemy przypomnieć sobie niedawną aktywność rekrutacyjną Rockstar, w szczególności nacisk na pracowników testujących QA, a jeśli firma będzie nadal milczeć, śledzenie podobnych sygnałów operacyjnych - takich jak gwałtowny wzrost rekrutacji testerów lub wewnętrzna restrukturyzacja - może dostarczyć pośrednich dowodów na to, czy skradzione dane są prawdziwe i ile z nich studio uważa za wrażliwe. Ponieważ zgłoszona ekspozycja obejmuje dokumentację korporacyjną i plany marketingowe, a nie kod źródłowy, podejrzewam, że dane mogą również zawierać szczegóły dotyczące tego, jak faktycznie zmienił się silnik gry Rockstar - silnik, który studio podobno przebudowało od podstaw na potrzeby GTA 6 i jeden z najpilniej strzeżonych zasobów technicznych w branży.

Punktem wejścia do tego naruszenia nie było słabe hasło ani źle skonfigurowana zapora sieciowa. Był to token uwierzytelniający przechowywany na platformie analitycznej innej firmy, której Rockstar przyznał szeroki dostęp do swojej hurtowni danych. Rotacja tokenów, zasady dostępu o najmniejszych uprawnieniach, monitorowanie ruchu wychodzącego i uwierzytelnianie wieloskładnikowe na kontach usługowych to standardowe zalecenia. Większość firm nadal nie egzekwuje wszystkich czterech. Firmy pojawiające się w tym miesiącu na stronie wycieku ShinyHunters poznają koszt tej luki.

Niniejszy raport opiera się na twierdzeniach podmiotów stanowiących zagrożenie i trwających dochodzeniach. Rockstar Games nie potwierdziło zakresu jakiegokolwiek naruszenia.

Przeczytaj również, że były deweloper Rockstar Games, Rob Carr, który pracował jako projektant dźwięku przy oryginalnym Red Dead Redemption i Grand Theft Auto V, pojawił się niedawno w podcaście Kiwi Talkz i omówił "nieograniczone" podejście Rockstar do rozwoju - filozofię budowania każdego elementu gry na najwyższym możliwym poziomie. Przy budżecie GTA VI zbliżającym się podobno do 3 miliardów dolarów, komentarze Carra sugerują, że ambicje studia dotyczące skali i szczegółów mogą przekroczyć wszystko, co zrobiono wcześniej.