Наприкінці грудня 2025 року тактичний шутер Rainbow Six Siege опинився в центрі одного з найпомітніших кіберінцидентів в ігровій індустрії. Невстановлені зловмисники отримали розширений доступ до внутрішньоігрових систем, втрутилися в процеси модерації та фактично зламали економіку гри, масово нараховуючи преміальну валюту та косметичні предмети. Ситуація вже призвела до зупинки серверів і стала предметом активного розслідування фахівців з кібербезпеки.
Масштаб взлому Rainbow Six Siege та реакція Ubisoft
За повідомленнями гравців і численними скриншотами, атакувальні актори отримали можливість керувати банами та розблокуваннями облікових записів, змінювати вміст інвентарів і впливати на рішення модерації. Найбільш видимим наслідком стала безпрецедентна роздача преміальної валюти R6 Credits, що напряму пов’язана з монетизацією гри.
R6 Credits купуються за реальні гроші; пакет у 15 000 кредитів на момент інциденту коштував 99,99 доларів США. За оцінками, зловмисники розподілили близько 2 млрд R6 Credits, що еквівалентно приблизно 13,33 млн доларів США за чинними цінами. Таким чином, внутрішньоігрова економіка була тимчасово виведена з рівноваги зовнішнім втручанням.
27 грудня 2025 року офіційний акаунт Rainbow Six Siege в соцмережі X підтвердив факт атаки. Ubisoft заявила, що команда розробників працює над усуненням наслідків, після чого ігрові сервери та внутрішньоігровий маркетплейс були тимчасово вимкнені «для стабілізації системи». Компанія підкреслила, що гравців не каратимуть за витрачені в умовах інциденту кредити, однак усі транзакції після 11:00 UTC 27 грудня було відкочено.
Ubisoft попередила, що частина користувачів може тимчасово втратити доступ до окремих предметів до завершення відновлювальних робіт. Вранці 29 грудня було оголошено про успішне тестування і поновлення роботи гри, проте розслідування інциденту та впровадження остаточних виправлень, за оцінкою компанії, мають тривати ще близько двох тижнів. Маркетплейс при цьому залишається недоступним.
MongoDB і CVE-2025-14847: можливий вектор кібератаки на Ubisoft
Найбільш обговорювана в ІБ-спільноті версія щодо технічного вектора атаки пов’язує інцидент із MongoDB та критичною уразливістю CVE-2025-14847. Дослідницька група VX-Underground повідомляє, що хакери стверджують: саме цю дірку безпеки вони використали для проникнення в інфраструктуру Ubisoft.
CVE-2025-14847 класифікується як уразливість типу RCE (Remote Code Execution) і теоретично дозволяє неавтентифікованим віддаленим зловмисникам отримувати вміст пам’яті вразливих інстансів MongoDB. Потенційно це включає облікові записи, токени доступу, ключі автентифікації та інші секрети. Додатковий ризик створює наявність публічного PoC‑експлойта, який знижує поріг входу для атакуючих і прискорює масову експлуатацію уразливості.
Офіційного підтвердження, що саме CVE-2025-14847 стала початковою точкою компрометації Ubisoft, на цей момент немає. Однак часовий збіг із розголошенням критичної RCE‑уразливості MongoDB та характер наслідків (доступ до внутрішніх сервісів і адміністративних функцій) роблять цю гіпотезу однією з найімовірніших у попередніх оцінках експертів.
П’ять хакерських груп і суперечливі заяви щодо взлому Rainbow Six Siege
За даними VX-Underground, довкола інциденту сформувалася складна картина з участю щонайменше п’яти незалежних хакерських груп, які по-різному описують свою роль у кібератаці на Ubisoft. Це суттєво ускладнює атрибуцію та аналіз ланцюга компрометації.
Перша група заявляє, що використала уразливості саме у Rainbow Six Siege для маніпуляцій банами, інвентарями та роздачі R6 Credits. За їхньою версією, загальний «бонус» гравцям нібито сягнув еквівалента близько 339 млн доларів США у віртуальній валюті. При цьому вони стверджують, що доступу до персональних даних користувачів не отримували.
Друга група повідомляла про експлуатацію уразливості MongoDB для доступу до внутрішніх Git‑репозиторіїв Ubisoft і нібито викрадення архіву вихідних кодів ігор «з 1990‑х років до сьогодення». Пізніше з’ясувалося, що ці твердження істотно перебільшені: за наявними відомостями, у зловмисників дійсно є певні внутрішні дані, але не настільки масштабні, як заявлялося спочатку.
Третя група оголосила, що заволоділа користувацькими даними Ubisoft через ту саму уразливість MongoDB та намагається шантажувати компанію. Дослідники вважають ці заяви малодостовірними й розцінюють їх як спробу привласнити чужий інцидент.
Четверта група публічно спростовує твердження другої, заявляючи, що та не мала повноцінного доступу до вихідного коду і вводила в оману першу групу, перебільшуючи обсяг компрометації.
П’ята група, що з’явилася пізніше, надала VX-Underground технічні деталі можливого доступу другої групи до внутрішніх даних Ubisoft (включно з фотографічними доказами), а також фрагменти коду, які демонструють методи маніпуляцій, використані першою групою. За оцінкою дослідників, ця група спеціалізується на розробці та продажу читів для ігор Ubisoft і складається з досвідчених реверс‑інженерів.
Ubisoft, за даними VX-Underground, поінформована про діяльність груп під номерами один, два, чотири та п’ять. Водночас видання BleepingComputer наголошує: на поточний момент жодне з гучних тверджень не має документального підтвердження — ані щодо експлуатації MongoDB CVE-2025-14847, ані щодо повномасштабного доступу до вихідного коду чи витоку масиву користувацьких даних. Підтвердженим фактом є лише маніпуляція внутрішньоігровими системами Rainbow Six Siege.
Ключові уроки кібербезпеки для онлайн-ігор
Технічні пріоритети для розробників та видавців
Інцидент із взломом Rainbow Six Siege демонструє, наскільки вразливими можуть бути сучасні онлайн‑ігри до комплексних атак, що одночасно зачіпають ігрові сервери, бази даних, системи автентифікації та внутрішні інструменти розробки. Щоб зменшити ризики, компаніям варто посилити такі напрями:
- Оперативне управління патчами для MongoDB, інших СУБД та критичних компонентів, з урахуванням експлуатації нульового дня і швидкого поширення PoC‑експлойтів.
- Сегментація мережі та мінімальні привілеї, щоб компрометація одного сервісу не відкривала шлях до модераційних панелей, платіжних систем або внутрішньоігрової економіки.
- Захищене управління секретами: ключі, паролі та токени мають зберігатися у спеціалізованих сховищах, а не в коді чи конфігураційних файлах.
- Безперервний моніторинг та журналювання адміністративних дій, аномальної активності гравців і нетипових операцій із внутрішньоігровою валютою.
- Регулярний пентест і баг‑баунті‑програми, орієнтовані не лише на веб‑інтерфейси, а й на ігрові механіки, античити та економіку free‑to‑play‑проєктів.
Цифрова гігієна гравців
Для геймерів інцидент нагадує про базові правила безпеки: використання унікальних паролів для Ubisoft Connect та інших платформ, увімкнення двохфакторної автентифікації, уважність до фішингових листів, підозрілих повідомлень про «блокування» чи «подарунки». Компрометація одного облікового запису часто відкриває шлях до інших сервісів, якщо паролі повторюються.
Історія з кібератакою на Rainbow Six Siege показує, що один успішний взлом здатен вплинути на мільйони користувачів і завдати серйозної репутаційної шкоди видавцю. Ігровим компаніям варто сприймати цей інцидент як сигнал до дії: переглянути архітектуру захисту, прискорити впровадження патчів, посилити моніторинг і будувати зрілі процеси кібербезпеки ще до того, як подібні загрози торкнуться їхніх власних проєктів. Гравцям же доцільно вже зараз зміцнити особисту кібергігієну та стежити за офіційними оновленнями Ubisoft і провідних дослідницьких груп у сфері безпеки.
