Napaść na CD Projekt. Firma ofiarą ataku hakerów

Trudny okres dla CD Projektu jeszcze się nie skończył

Noc z 8 na 9 lutego nie była dla CD Projektu najprzyjemniejszym okresem, a wszystko przez cyberatak, jaki haker (lub grupa hakerów) przypuścił na wewnętrzną infrastrukturę sieciową firmy. Nie jest to nic nowego w branży elektronicznej rozgrywki (przypominamy o zeszłorocznym wycieku z serwerów Capcomu), w tym przypadku jednak zdecydowano się na poinformowanie świata o zaistniałym incydencie niemal od razu.

Wczoraj rano (tj. 9 lutego) na kanałach społecznościowych CD Projektu pojawiło się oświadczenie firmy, do którego dołączono wiadomość pozostawioną przez cyfrowych włamywaczy. Warszawska spółka zapewniła, że wszystkie dane klientów firmy (użytkownicy GOG-a i innych serwisów CD Projektu) są bezpieczne, niemniej hakerom udało się uzyskać dostęp do serwerów, a także zaszyfrować kilka komputerów. W takim razie, co dokładnie wykradziono?

Important Update pic.twitter.com/PCEuhAJosR

— CD PROJEKT RED (@CDPROJEKTRED) February 9, 2021

“Niewydana wersja Wiedźmina 3” i inne znaleziska

Przede wszystkim w ręce cyberprzestępców trafiły kody źródłowe ostatnich gier CD Projektu – mowa o Gwincie, Cyberpunk 2077, Wiedźminie 3 oraz “niewydanej wersji Wiedźmina 3”. Hakerzy mieli również uzyskać dostęp do dokumentacji firmy, w tym tych prawnych czy powiązanych z HR-em, administracją oraz relacjami inwestorskimi.

Przestępcy postawili również żądania – jeśli CD Projekt nie zapłaci okupu, wszystkie dane trafią do sieci. Firma natychmiast zapowiedziała, że nie planuje żadnych negocjacji i aktualne działania warszawskiej spółki dotyczą “łagodzenia konsekwencji” ewentualnego wycieku oraz próby odzyskania wykradzionych danych. Poinformowano również odpowiednie służby (Urząd Ochrony Danych Osobowych).

To our ex employees: As of this moment, we don't possess evidence that any of your personal data was accessed. However, we still recommend caution (i.e. enabling fraud alerts). If you have questions, please write to our Privacy Team dpo[at]https://t.co/0UUMoqT5tF

— CD PROJEKT RED (@CDPROJEKTRED) February 9, 2021

Nie pierwszy, ale oby ostatni raz

Warto pamiętać, że to nie pierwszy taki wyciek danych w historii warszawskiej spółki – przed premierą Wiedźmina 3 haker uzyskał dostęp do firmowego dysku Google, na którym Redzi trzymali informacje dotyczące fabuły i postaci obecnych w Dzikim Gonie (via Eurogamer). Wtedy większość skradzionych danych trafiła do sieci, ale warto pamiętać, że dotyczyły one tylko gry, a nie firmy i jej działania.

Kilka godzin po opublikowaniu oświadczenia CD Projekt poprosił na Twitterze swoich byłych pracowników o “włączenie ostrzeżeń dotyczących oszustów”. Podkreślono, że “w tej chwili nie ma dowodów, że uzyskano dostęp do jakichkolwiek danych osobowych”, więc to pewnie działania prewencyjne.