Кіберзлочинна група ShinyHunters виконала свою погрозу на адресу Rockstar Games та опублікувала великий масив внутрішніх корпоративних даних видавця. За заявами зловмисників, у відкритий доступ потрапило понад 78,6 млн записів, пов’язаних з аналітикою і моніторингом онлайн-сервісів компанії.

Ланцюг атаки: від Anodot до Snowflake та AWS

Інцидент з Rockstar не є ізольованою подією, а виглядає як частина ширшої кампанії проти SaaS-платформи Anodot — сервісу виявлення аномалій, який інтегрується з хмарними сховищами та аналітичними системами клієнтів.

За інформацією, оприлюдненою самими ShinyHunters, їм вдалося викрасти в Anodot токени автентифікації, що застосовуються для автоматизованого доступу до даних клієнтів через API. Такі токени фактично виконують роль «цифрових ключів» і, у разі їх компрометації, дозволяють обійти класичні механізми логіну та багатофакторної автентифікації.

Використовуючи ці ключі доступу, зловмисники, за їхніми словами, отримали можливість звертатися до ресурсів клієнтів у Snowflake, а також у хмарній інфраструктурі Amazon S3 та Amazon Kinesis. Представники Snowflake раніше повідомляли про виявлення підозрілої активності в низці акаунтів, пов’язаних зі сторонніми інтеграціями, після чого ці облікові записи були заблоковані, а власників поінформовано.

Ультиматум Rockstar Games і офіційна позиція компанії

Отримавши доступ до внутрішніх систем Rockstar Games, ShinyHunters висунули вимогу сплатити викуп до 14 квітня 2026 року, пригрозивши повною публікацією вкрадених даних у разі відмови. Після закінчення встановленого терміну масив інформації було викладено на ресурсах, контрольованих групою.

Rockstar раніше заявляла, що інцидент торкнувся лише «обмеженого обсягу несуттєвої корпоративної інформації» і «жодним чином не вплинув на компанію та її гравців». Це може свідчити про відсутність витоку платіжних даних та прямих персональних ідентифікаторів користувачів. Однак з точки зору кібербезпеки внутрішні аналітичні масиви самі по собі є високоцінним активом — як для конкурентів, так і для кіберзлочинців.

Які дані могли потрапити у відкритий доступ

Моніторинг онлайн-сервісів і система підтримки гравців

За описом ShinyHunters, основну частину дампу складають дані внутрішньої аналітики Rockstar, що використовуються для відстеження стабільності й продуктивності онлайн-сервісів, а також якості роботи технічної підтримки. Імовірно, до масиву увійшли також аналітичні звіти з інстансу Zendesk, який застосовується для обробки звернень гравців.

Фінансова аналітика та поведінка гравців у GTA Online і Red Dead Online

Окремі набори даних, за словами хакерів, пов’язані з метриками внутрішньоігрових покупок, доходів і поведінкових патернів користувачів у Grand Theft Auto Online та Red Dead Online. Йдеться про агреговані показники ігрової економіки: конверсію, утримання гравців, ефективність івентів та акцій, популярні моделі монетизації.

Хоча подібна інформація зазвичай зберігається в обезособленому форматі, її витік дає зловмисникам глибоке розуміння внутрішньої логіки економіки гри. Це створює додаткові можливості для експлуатації ігрових механік, зловживань з внутрішньоігровою валютою та побудови більш складних схем шахрайства з предметами й акаунтами.

Системи fraud-моніторингу та античит-моделі

Журналісти BleepingComputer, які ознайомилися зі списком файлів, відзначають наявність посилань на системи фрод-моніторингу та тестування античит-моделей. Якщо в дамп дійсно потрапили описи алгоритмів, конфігурації або порогові значення, це може істотно спростити роботу розробникам читів та експлойтів.

Знання того, коли саме спрацьовує античит, які поведінкові патерни вважаються підозрілими і як побудована скорингова модель ризику, дозволяє атакуючим налаштовувати свої інструменти так, щоб вони залишалися «нижче радарів» захисних систем. Наслідком може стати зростання рівня читерства й шахрайства в онлайнових проектах Rockstar.

Ключові кіберризики для гейм-деву та уроки для компаній

Ситуація з Rockstar Games демонструє, наскільки вразливими залишаються навіть великі ігрові студії перед компрометацією сторонніх SaaS-постачальників. Точкою входу, судячи з доступної інформації, стала не безпосередньо інфраструктура Rockstar, а сервіс Anodot та його інтеграції зі Snowflake і AWS.

Критично важливим фактором стає правильне управління доступами та токенами автентифікації — застосування принципу найменших привілеїв, регулярна ротація ключів, обмеження строку їх дії та постійний моніторинг аномальної активності. Публічні галузеві звіти (зокрема Verizon DBIR і Mandiant M-Trends) вже кілька років поспіль фіксують, що значна частина серйозних інцидентів пов’язана саме з компрометацією облікових даних і доступів третіх сторін.

Для компаній, що активно використовують хмарну аналітику, стає обовʼязковою практика:

• регулярного аудиту конфігурацій Snowflake, Amazon S3, Amazon Kinesis та інших хмарних сервісів;
• формалізованого vendor risk management — оцінки ризиків постачальників і чітких вимог до безпеки інтеграцій;
• детального журналювання та кореляції подій доступу до аналітичних даних, включно зі сторонніми сервісами;
• опрцювання сценаріїв реагування не лише на витік персональних даних, а й на компрометацію аналітичних моделей, логів та телеметрії.

Для гравців на поточний момент немає ознак прямої загрози платіжній інформації, однак інцидент ще раз підкреслює: внутрішню аналітику, економічні моделі та античит-алгоритми потрібно захищати не менш жорстко, ніж користувацькі бази. Ігровим компаніям варто посилювати контроль за SaaS-інтеграціями, інвестувати в моніторинг хмарної інфраструктури та підтримувати прозорий діалог із користувачами щодо інцидентів безпеки. Такий підхід знижує наслідки неминучих витоків і підвищує загальний рівень кіберстійкості як окремих студій, так і всієї індустрії.