Wyciek z CD Projektu. Kody źródłowe gier i inne dane znalazły kupca

Znalazł się kupiec

O ataku na wewnętrzną infrastrukturę sieciową CD Projektu dowiedzieliśmy się w tym tygodniu, a od tego czasu sporo się w tej sprawie zadziało. Przede wszystkim do sieci trafił kod źródłowy Gwinta – “trzewia” wiedźmińskiej karcianki zostały upublicznione na jednym z forów hakerskich, co miało być ostrzeżeniem i jednocześnie sygnałem dla warszawskiej spółki, że sprawa jest poważna. Przypomnijmy, że cyberprzestępcy zażądali okupu, jednak CD Projekt odmówił współpracy.

Oprócz kodu źródłowego karcianki na wspomnianym forum znalazła się również wzmianka o planowanej aukcji, na której będzie można zakupić pozostałe dane – mowa była o kodach źródłowych do Cyberpunk 2077, Wiedźmina 3 (w tym nieopublikowanej wersji obsługującej ray tracing) i Wojny Krwi: Wiedźmińskich Opowieści. Według KELA, organizacji zajmującej się monitorowaniem ruchu w tzw. darknecie (miejscu, gdzie można przeprowadzać tego typu nielegalne transakcje), aukcja została zakończona wczoraj (tj. 11 lutego) po południu, a cała paczka danych trafiła do jednego nabywcy, który zaoferował “satysfakcjonującą kwotę”.

Just in: #CDProjektRed AUCTION IS CLOSED. #Hackers auctioned off stolen source code for the #RedEngine and #CDPR game releases, and have just announced that a satisfying offer from outside the forum was received, with the condition of no further distribution or selling. pic.twitter.com/4Z2zoZlkV6

— KELA (@Intel_by_KELA) February 11, 2021

Kody źródłowe mogą nie być jedynymi wykradzionymi danymi

No właśnie, czyli ile konkretnie? Nie wiadomo, jednak zgodnie z wcześniejszymi informacjami cena wywoławcza zaczynała się od miliona dolarów, a opcja “kup teraz” wymagała wyłożenia aż 7 milionów dolarów. Zarówno KELA, jak i inne podmioty czy osoby przyglądające się ruchowi w Darknecie przyznają zgodnie, że trudno będzie ustalić, kto i po co kupił dane. Sam CD Projekt nie skomentował jeszcze sprawy, ale we wcześniejszym oświadczeniu firma zapewniła, że dane klientów czy pracowników firmy (również tych byłych) są bezpieczne.

Tymczasem Marcin Kosman, szef agencji PR-owej Better Gaming, wspomina na Twitterze, że część osób zatrudniona przez CD Projekt zdecydowała się na wymianę dowodów osobistych, a do tego pojawiły się pierwsze przypadki wyłudzenia kredytów, do czego miały posłużyć wykradzione dane. Skutki wycieku mogą również odczuć byli pracownicy firmy, jednak jak na razie warszawska spółka nie ma nic do dodania poza tym, o czym wspominaliśmy już wcześniej – kontakt z działem pomocy firmy.

Wygląda też na to, że rzecz dotyczy np. danych byłych pracowników https://t.co/vCs98bcG5c, firmy powiązanej z CDPR. Czyli na przykład mnie. O tym wszystkim dowiaduję się niestety od osób trzecich, a nie z miejsca wycieku. Uroczy poranek. @niebezpiecznik @Zaufana3Strona

— Marcin Kosman (@Kosowsky_) February 11, 2021

Jeśli CD Projekt skomentuje sprawę, wpis zostanie zaktualizowany, jednak już przy okazji upublicznienia informacji o ataku Adam Kiciński, szef CD projektu, dał do zrozumienia (via PAP Biznes), że cała ta sytuacja spowolni prace nad kolejnymi aktualizacjami mającymi naprawić Cyberpunk 2077.

To our ex employees: As of this moment, we don't possess evidence that any of your personal data was accessed. However, we still recommend caution (i.e. enabling fraud alerts). If you have questions, please write to our Privacy Team dpo[at]https://t.co/0UUMoqT5tF

— CD PROJEKT RED (@CDPROJEKTRED) February 9, 2021