Rockstar Games hat es mit einer weiteren Sicherheitsbedrohung zu tun. Am 11. April veröffentlichte die Hackergruppe ShinyHunters auf ihrer Dark-Web-Leak-Site eine Nachricht, in der sie behauptete, sie habe auf die Snowflake-Datenbankinstanzen des GTA 6-Entwicklers zugegriffen. Die Gruppe setzte eine Lösegeldfrist bis zum 14. April fest und warnte davor, gestohlene Dateien zu veröffentlichen, wenn Rockstar nicht zahle.
Die Nachricht lautet: „Rockstar Games, Ihre Snowflake-Instanzen wurden dank Anodot.com kompromittiert. Bezahlen oder durchsickern. Dies ist eine letzte Warnung, die Sie bis zum 14. April 2026 melden sollten, bevor wir durchsickern.“
Rockstar und seine Muttergesellschaft Take-Two Interactive haben sich zu der Behauptung nicht öffentlich geäußert.
Wie der Angriff geschah
Der Verstoß war nicht auf einen direkten Angriff auf die eigenen Systeme von Rockstar zurückzuführen. ShinyHunters gab an, eine Schwachstelle in Anodot, einer SaaS-Plattform zur Überwachung und Analyse von Cloud-Kosten, als Einstiegspunkt ausgenutzt zu haben.
Snowflake bestätigte gegenüber BleepingComputer, dass Anodot die Drittanbieter-Integrationsplattform ist, bei der ein Sicherheitsvorfall aufgetreten ist. Über ein Dutzend Unternehmen erlitten Datendiebstahlangriffe, nachdem der SaaS-Integrationsanbieter gehackt und Authentifizierungstoken gestohlen wurden.
Die Angriffe wurden an einem Feiertag in mehreren Ländern verübt, der mit der Oster-/Pessach-Zeit zusammenfiel, was die Erkennung und Reaktion möglicherweise verlangsamt hat.
Sobald die Angreifer in Anodot waren, zogen sie Authentifizierungs-Tokens ab. Diese Token ermöglichten ihnen den Zugriff auf verbundene Snowflake-Konten, ohne dass sie Passwörter knacken oder die eigenen Systeme von Snowflake direkt ausnutzen mussten. Snowflake bestätigte „ungewöhnliche Aktivitäten“ und gab an, potenziell betroffene Kundenkonten gesperrt zu haben.
Die Angreifer versuchten auch, mit denselben Tokens auf Daten von Salesforce zuzugreifen, doch diese Versuche wurden Berichten zufolge von KI-Erkennungssystemen blockiert.
Welche Daten könnten gefährdet sein?
Zu den kompromittierten Materialien könnten Finanzunterlagen, Spielerausgabendaten, geografische Daten, Marketingzeitpläne und Verträge mit Sony, Synchronsprechern und Musiklabels gehören.
Es gibt keine Hinweise darauf, dass auf Kundenpasswörter oder Zahlungsdaten zugegriffen wurde. Der Verstoß scheint auf Unternehmensdaten beschränkt zu sein.
Das ist nicht der Fall ShinyHunters‚ erste Kampagne dieser Art. Die Gruppe ist seit 2020 tätig und konzentriert sich typischerweise auf Identitätssysteme, Integrationen von Drittanbietern und APIs. In den letzten sechs Jahren haben sie gegen Microsoft, Wattpad, AT&T, die Europäische Kommission, SoundCloud und Ticketmaster verstoßen.
Im Jahr 2024 führte ShinyHunters eine große Kampagne zum Diebstahl von Kundendaten durch, bei der gestohlene Benutzernamen und Passwörter verwendet wurden, um sich bei Snowflake-Kundenumgebungen anzumelden, die keine Multi-Faktor-Authentifizierung verwendeten. Sensible Daten wurden von AT&T, Ticketmaster/Live Nation, Santander, Neiman Marcus und anderen übernommen.
Anfang März dieses Jahres gab die Gruppe an, sie habe mit Salesforce verknüpfte Daten von mehr als 400 Unternehmen erhalten und Daten von 26 dieser Organisationen veröffentlicht, als die Rockstar-Behauptung auftauchte.
Die Frist vom 14. April lässt Rockstar nur sehr wenig Zeit, zu antworten. Wenn kein Lösegeld gezahlt wird, werden die Daten laut ShinyHunters öffentlich veröffentlicht. Die Gruppe hat ähnliche Drohungen bereits verfolgt und Dateien von 26 Unternehmen veröffentlicht.
