Een cyberaanval gericht op Rockstar Games heeft geleid tot beweringen dat interne bedrijfsgegevens die verband houden met Grand Theft Auto VI zijn benaderd, met de dreiging om de informatie vrij te geven als aan de eisen niet wordt voldaan.
De activiteit wordt toegeschreven aan ShinyHunters, dat een bericht publiceerde op een donkere website waarin werd aangegeven dat het Rockstar-systemen had gecompromitteerd en contact zocht met het bedrijf. De groep stelde een deadline van 14 april 2026 en waarschuwde dat gegevens zouden worden vrijgegeven als er geen reactie zou komen.
Volgens meerdere berichten hield de inbraak geen directe inbreuk op Rockstars eigen infrastructuur in. In plaats daarvan werd toegang verkregen via een externe dienst die verbonden was met de cloudomgeving van het bedrijf. Het toegangspunt werd geïdentificeerd als Anodot, een analyse- en monitoringplatform dat wordt gebruikt om operationele gegevens bij te houden.
Onderzoekers en rapportages geven aan dat aanvallers authenticatietokens uit Anodot haalden, waardoor ze toegang kregen tot gegevens die waren opgeslagen in Rockstars cloudomgeving op Snowflake. Deze tokens stelden de aanvallers in staat zich als legitieme gebruikers te authenticeren zonder kwetsbaarheden in Snowflake zelf te exploiteren.
Zodra toegang is verkregen, wordt gemeld dat de groep interne gegevens heeft geëxfiltreerd met behulp van standaard databasezoekopdrachten. Omdat de toegang legitiem leek, was de detectie niet in alle gevallen direct, volgens de rapportages over het incident.
De groep heeft de volledige omvang van de gegevens die zij beweert te bezitten niet bekendgemaakt. Rapporten geven aan dat de informatie interne bedrijfsgegevens kan bevatten, zoals meetgegevens, operationele gegevens of andere zakelijke informatie. De hoeveelheid en gevoeligheid van de gegevens zijn niet onafhankelijk geverifieerd.
Rockstar Games bevestigde dat er een beveiligingsincident had plaatsgevonden en verklaarde dat het een beperkte hoeveelheid interne bedrijfsinformatie betrof. Het bedrijf zei dat het incident verband hield met een datalek van derden en dat er geen impact was op de bedrijfsvoering of spelersgegevens.
De aanpak van de aanvallers is consistent met eerdere activiteiten die verband houden met ShinyHunters, die in verband worden gebracht met het targeten van diensten van derden en authenticatiesystemen om toegang te krijgen tot bedrijfsomgevingen. De groep heeft eerder vergelijkbare methoden gebruikt met gestolen inloggegevens en integratiepunten tussen platforms.