Une cyberattaque visant Rockstar Games a conduit à des allégations selon lesquelles des données internes de l’entreprise liées à Grand Theft Auto VI ont été consultées, avec une menace de divulguer ces informations si les exigences ne sont pas satisfaites.
Cette activité a été attribuée à ShinyHunters, qui a publié un message sur un site web obscur affirmant avoir compromis les systèmes Rockstar et cherchant à contacter la société. Le groupe a fixé une date limite au 14 avril 2026, avertissant que des données seraient publiées en cas de réponse.
Selon plusieurs rapports, l’intrusion n’a pas impliqué une violation directe des infrastructures de Rockstar. L’accès était obtenu via un service tiers connecté à l’environnement cloud de l’entreprise. Le point d’entrée a été identifié comme Anodot, une plateforme d’analyse et de surveillance utilisée pour suivre les données opérationnelles.
Les enquêteurs et les rapports indiquent que les attaquants ont extrait des jetons d’authentification d’Anodot, ce qui leur a permis d’accéder aux données stockées dans l’environnement cloud de Rockstar hébergé sur Snowflake. Ces jetons permettaient aux attaquants de s’authentifier en tant qu’utilisateurs légitimes sans exploiter les vulnérabilités de Snowflake lui-même.
Une fois l’accès obtenu, le groupe aurait exfiltré des données internes à l’aide de requêtes standard dans la base de données. Parce que l’accès semblait légitime, la détection n’était pas immédiate dans tous les cas, selon les rapports sur l’incident.
Le groupe n’a pas divulgué l’étendue complète des données qu’il prétend détenir. Les rapports indiquent que ces informations peuvent inclure des données internes à l’entreprise telles que des métriques, des dossiers opérationnels ou d’autres informations liées à l’entreprise. La quantité et la sensibilité des données n’ont pas été vérifiées de manière indépendante.
Rockstar Games a confirmé qu’un incident de sécurité s’était produit et a indiqué qu’il concernait une quantité limitée d’informations internes à l’entreprise. L’entreprise a indiqué que l’incident était lié à une violation tierce et qu’il n’y avait aucun impact sur ses opérations ni sur les données des joueurs.
L’approche des attaquants est cohérente avec les activités précédentes liées à ShinyHunters, qui consistaient à cibler des services tiers et des systèmes d’authentification pour accéder aux environnements d’entreprise. Le groupe a déjà utilisé des méthodes similaires impliquant des identifiants volés et des points d’intégration entre plateformes.