GTA 6 -vuoto saattaa olla tulossa, kun ShinyHunters-hakkeri-ryhmä puhuttelee Rockstar Gamesia lunastuksella

Hakkeriryhmä ShinyHunters on julkaissut Rockstar Gamesin pimeän verkon vuotosivustollaan ja väittää päässeensä käsiksi studion pilvitietoihin kolmannen osapuolen vaarantaman analytiikkatyökalun kautta. Ryhmä asetti lunnaiden määräajaksi 14. huhtikuuta. Maksa tai tiedot tulevat julkisiksi.

Tapausta seuraavan kyberturvallisuustutkija The CyberSec Gurun mukaan ShinyHunters laittoi uhkavaatimuksen suoraan vuotosivustolleen, ja se kohdistui Grand Theft Auton tekijään maksuvaatimuksella. Hyökkääjät sanovat, etteivät he murtautuneet suoraan Rockstariin tai sen Snowflake-tietovarastoon. He menivät Anodotin kautta, joka on SaaS-alusta, jota Rockstar käyttää pilvikustannusten seurantaan ja menojen poikkeavuuksien havaitsemiseen. ShinyHunters haki Anodotin järjestelmistä todennusmerkkejä - digitaalisia tunnistetietoja, joiden avulla yksi palvelu voi kommunikoida toisen kanssa ilman salasanan manuaalista syöttämistä. Koska Rockstarin Snowflake-instanssi luotti näihin tunnisteisiin, hyökkääjät pääsivät ympäristöön ikään kuin ne olisivat laillinen sisäinen prosessi.

Itse Snowflakea ei näytä vaarannetun. Alusta todensi voimassa olevat tunnistetiedot, mikä on juuri se, mitä varten se on rakennettu. Vika tapahtui integraatiokerroksessa: Anodotilla oli laajat lukuoikeudet Rockstarin Snowflake-varastoon, ja kun Anodot oli vaarantunut, nämä oikeudet siirtyivät hyökkääjille. ShinyHuntersin kerrotaan ajaneen tietokantojen vientiä jonkin aikaa ennen kuin mitään huomattiin. Koska käyttöoikeusmalli jäljitteli normaalia valvontatoimintaa, Rockstarin tietoturvaryhmällä ei ollut ilmeistä syytä puuttua asiaan.

Kuva: The CyberSec Guru -palvelun kautta.

The CyberSec Gurun mukaan tietomurron uskotaan liittyvän yritystietoihin eikä vuotaneeseen pelikoodiin. Raportoitu paljastuma sisältää Rockstarin GTA 6: n markkinointisuunnitelmia, mutta ei pelin lähdekoodia. Vielä on epäselvää, mihin kaikkeen on päästy käsiksi. Tätä kirjoitettaessa Rockstar Games ja emoyhtiö Take-Two Interactive eivät ole kommentoineet asiaa. Hiljaisuus on yhdenmukainen sen kanssa, miten molemmat yhtiöt ovat käsitelleet aiempia tapauksia.

Rockstar ei ole tämän aallon ainoa kohde. ShinyHunters haki hiljattain tietoja yli 400 yritykseltä, jotka liittyvät Salesforce-integraatioihin. Nimettyjä uhreja ovat muun muassa Cisco, kanadalainen teleyhtiö Telus ja hollantilainen palveluntarjoaja Odido. Ryhmän foorumiviestit viittaavat myös Euroopan komission tietoihin. Yhteistä näille kaikille on kolmannen osapuolen pääsy - yksi vaarantunut työkalu aiheuttaa jälkikäteen altistumisen kymmenille tai sadoille organisaatioille.

ShinyHunters on toiminut noin vuodesta 2020 lähtien. Ryhmän kohteena ovat pikemminkin API:t, identiteettijärjestelmät ja integraatiokerrokset kuin yksittäiset käyttäjät. Aiempiin ilmoitettuihin murroksiin kuuluvat 500 gigatavua Microsoftin lähdekoodia vuonna 2020, 270 miljoonaa Wattpadin käyttäjätietuetta sekä AT&T:n ja Ticketmasterin tietoja. Ryhmä liittyy myös Snowflakeen liittyvään tunnistetietojen varkausaaltoon, joka iski useisiin yrityksiin vuoden 2025 aikana. He ymmärtävät, miten saada aikaan lehdistökatsauksia ja käyttää julkista painostusta vipuvoimana kohteita vastaan.

Rockstar on ollut täällä ennenkin. Vuonna 2022 teini-ikäinen vuoti GTA VI:n varhaista kuvamateriaalia vaarannettuaan studion Slack-kanavat. Kyseinen murtautuminen oli opportunistista. Tämä on suunnitelmallisempi, ja se kulkee pikemminkin yrityksen ohjelmistojen toimitusketjujen kuin yksittäisen työntekijän tilin kautta.

GTA VI on odotetuin pelijulkaisu vuosiin, ja odotuksen vuoksi Rockstarin sisäiset tiedot ovat poikkeuksellisen arvokkaita. Jos ShinyHunters pääsi käsiksi Rockstarin toimintoihin liittyviin Snowflake-instansseihin, potentiaalinen altistuminen ulottuu GTA Onlinen ja Red Dead Onlinen taloudellisiin tietoihin, pelaajien rahankäyttöön ja maantieteellisiin analyyseihin, markkinointiaikatauluihin sekä sopimuksiin Sonyn, Microsoftin, ääninäyttelijöiden ja musiikin lisenssinantajien kanssa. Lunnaiden maksuaika päättyy 14. huhtikuuta, ja jos pelaajatiedot tulevat esiin ennen sitä, Rockstar joutuu kohtaamaan GDPR:n ja CCPA:n tiedonantovaatimukset, mahdollisen FTC:n valvonnan ja ryhmäkanteen riskin - ja kaikki tämä samalla, kun se valmistautuu suureen julkaisuun.

Toistaiseksi ei ole todisteita siitä, että yksittäisten pelaajien salasanoja tai maksukorttitietoja olisi käytetty. Tietomurto vaikuttaa olevan laajuudeltaan yrityskohtainen. Kahden tekijän todennuksen käyttöönotto Rockstar Social Club -tileillä on silti järkevä varotoimi.

Minun on vaikea hylätä tätä väitettä kokonaan, kun otetaan huomioon, kuinka monet yritykset ovat jo vahvistaneet ShinyHuntersin toiminnan aiheuttamat vahingot Snowflake- ja Salesforce-integraatioaalloilla. Voimme muistaa Rockstarin viimeaikaisen rekrytointitoiminnan, erityisesti QA-testaajien palkkaamisen, ja jos yhtiö jatkaa vaikenemistaan, vastaavien toiminnallisten signaalien - kuten testaajien rekrytoinnin tai sisäisten uudelleenjärjestelyjen - seuraaminen voisi tarjota epäsuoraa näyttöä siitä, ovatko varastetut tiedot todellisia ja kuinka paljon studio pitää niitä arkaluonteisina. Koska raportoitu paljastuminen koskee pikemminkin yritystietoja ja markkinointisuunnitelmia kuin lähdekoodia, epäilen, että tiedot voisivat sisältää myös tietoja siitä, miten Rockstarin pelimoottori on muuttunut - moottori, jonka studio on raportoitu rakentaneen alusta alkaen uudelleen GTA 6:aa varten ja joka on yksi alan tarkimmin varjelluista teknisistä resursseista.

Tietomurto ei tapahtunut heikon salasanan tai väärin konfiguroidun palomuurin avulla. Se oli kolmannen osapuolen analytiikka-alustaan tallennettu todennuskoodi, jonka Rockstar antoi laajasti käyttöönsä tietovarastossaan. Vakiosuosituksia ovat tunnisteiden vaihtaminen, vähiten etuoikeutettuja käyttöoikeuksia koskevat käytännöt, poistumisen valvonta ja palvelutilien monitekijätodennus. Useimmat yritykset eivät vieläkään noudata kaikkia neljää. ShinyHuntersin vuotosivustolla tässä kuussa esiintyvät yritykset saavat oppia, mitä tämä puute maksaa.

Tämä raportti perustuu uhkatoimijoiden väitteisiin ja meneillään oleviin tutkimuksiin. Rockstar Games ei ole vahvistanut rikkomuksen laajuutta.

Lue myös, että Rockstar Gamesin entinen kehittäjä Rob Carr, joka työskenteli äänisuunnittelijana alkuperäisen Red Dead Redemptionin ja Grand Theft Auto V:n parissa, esiintyi hiljattain Kiwi Talkz -podcastissa ja keskusteli Rockstarin "rajattomasta" lähestymistavasta kehitykseen - filosofiasta, jonka mukaan jokainen pelin elementti rakennetaan mahdollisimman korkealle tasolle. GTA VI:n budjetin kerrotaan lähentelevän kolmea miljardia dollaria, ja Carrin kommentit viittaavat siihen, että studion kunnianhimoiset tavoitteet mittakaavan ja yksityiskohtien suhteen saattavat ylittää kaiken aikaisemman.