Un attacco informatico colpito a Rockstar Games ha portato a accuse secondo cui dati interni dell’azienda collegati a Grand Theft Auto VI sono stati accedenti, con la minaccia di divulgare le informazioni se le richieste non saranno soddisfatte.
L’attività è stata attribuita a ShinyHunters, che ha pubblicato un messaggio su un sito oscuro affermando di aver compromesso i sistemi Rockstar e di cercare contatti dall’azienda. Il gruppo ha fissato una scadenza al 14 aprile 2026, avvertendo che i dati sarebbero stati rilasciati in caso di risposta.
Secondo molteplici rapporti, l’intrusione non ha comportato una violazione diretta delle infrastrutture di Rockstar. L’accesso è stato ottenuto tramite un servizio di terze parti collegato all’ambiente cloud dell’azienda. Il punto di ingresso è stato identificato come Anodot, una piattaforma di analisi e monitoraggio utilizzata per tracciare i dati operativi.
Investigatori e rapporti indicano che gli attaccanti hanno estratto i token di autenticazione da Anodot, permettendo loro di accedere ai dati archiviati nell’ambiente cloud di Rockstar ospitato su Snowflake. Questi token permettevano agli attaccanti di autenticarsi come utenti legittimi senza sfruttare vulnerabilità in Snowflake stesso.
Una volta ottenuto l’accesso, si riporta che il gruppo abbia esfiltrato dati interni utilizzando query standard del database. Poiché l’accesso sembrava legittimo, la rilevazione non è stata immediata in tutti i casi, secondo i rapporti sull’incidente.
Il gruppo non ha divulgato l’intera portata dei dati che afferma di possedere. I rapporti indicano che le informazioni possono includere dati aziendali interni come metriche, registri operativi o altre informazioni relative all’azienda. La quantità e la sensibilità dei dati non sono state verificate in modo indipendente.
Rockstar Games ha confermato che si è verificato un incidente di sicurezza e ha dichiarato che riguardava una quantità limitata di informazioni interne aziendali. L’azienda ha dichiarato che l’incidente era collegato a una violazione di terze parti e che non vi è stato alcun impatto sulle sue operazioni o sui dati dei giocatori.
L’approccio degli attaccanti è coerente con le attività precedenti legate a ShinyHunters, che è stata associata al targeting di servizi di terze parti e sistemi di autenticazione per accedere agli ambienti aziendali. Il gruppo ha già utilizzato metodi simili che coinvolgevano credenziali rubate e punti di integrazione tra piattaforme.