Ein Cyberangriff auf Rockstar Games hat zu Behauptungen geführt, dass interne Unternehmensdaten im Zusammenhang mit Grand Theft Auto VI eingesehen wurden, mit der Drohung, die Informationen freizugeben, falls die Forderungen nicht erfüllt werden.
Die Aktivität wird ShinyHunters zugeschrieben, das eine Nachricht auf einer dunklen Website veröffentlichte, in der es erklärte, dass es Rockstar-Systeme kompromittiert habe und Kontakt mit dem Unternehmen suche. Die Gruppe setzte eine Frist auf den 14. April 2026 und warnte, dass die Daten veröffentlicht würden, falls keine Antwort vorliegt.
Laut mehreren Berichten beinhaltete der Einbruch keine direkte Verletzung der eigenen Infrastruktur von Rockstar. Stattdessen wurde der Zugang über einen Drittanbieterdienst erhalten, der mit der Cloud-Umgebung des Unternehmens verbunden war. Der Einstiegspunkt wurde als Anodot identifiziert, eine Analyse- und Überwachungsplattform zur Erfassung von Betriebsdaten.
Ermittler und Berichte deuten darauf hin, dass Angreifer Authentifizierungstoken aus Anodot extrahierten, was ihnen den Zugriff auf Daten ermöglichte, die in Rockstars Cloud-Umgebung auf Snowflake gehostet wurden. Diese Token ermöglichten es den Angreifern, sich als legitime Nutzer zu authentifizieren, ohne Schwachstellen in Snowflake selbst auszunutzen.
Sobald der Zugriff erlangt wurde, wird berichtet, dass die Gruppe interne Daten mittels standardisierter Datenbankabfragen exfiltriert hat. Da der Zugang legitim erschien, war laut Berichterstattung zum Vorfall nicht in allen Fällen sofort erkannt.
Die Gruppe hat den vollständigen Umfang der Daten, die sie angeblich besitzt, nicht offengelegt. Berichte geben an, dass die Informationen interne Unternehmensdaten wie Kennzahlen, Betriebsunterlagen oder andere geschäftsbezogene Informationen enthalten können. Die Menge und Sensibilität der Daten wurden nicht unabhängig überprüft.
Rockstar Games bestätigte, dass ein Sicherheitsvorfall stattgefunden hatte, und gab an, dass es sich um eine begrenzte Menge interner Unternehmensinformationen handelte. Das Unternehmen erklärte, der Vorfall stehe im Zusammenhang mit einem Sicherheitsvorfall eines Drittanbieters und habe keine Auswirkungen auf den Betrieb oder die Spielerdaten.
Der Ansatz der Angreifer entspricht früheren Aktivitäten im Zusammenhang mit ShinyHunters, das mit dem Ziel von Drittanbieterdiensten und Authentifizierungssystemen in Verbindung gebracht wird, um Zugang zu Unternehmensumgebungen zu erhalten. Die Gruppe hat zuvor ähnliche Methoden mit gestohlenen Zugangsdaten und Integrationspunkten zwischen den Plattformen angewandt.