4. 6. 2021
Servery společnosti CD Projekt byly začátkem letošního února napadeny hackery. Vývojáři o tom sami informovali bezprostředně po útoku a sdíleli rovněž vzkaz, který po incidentu na svých serverech našli. Hackeři požadovali výkupné nejen za vrácení zkopírovaných dat, ale také za jejich odemčení přímo na serveru CD Projektu. V opačném případě vyhrožovali zveřejněním či prodejem získaných souborů, mezi kterými měly být i zdrojové kódy Cyberpunku 2077, Zaklínače 3, jeho domnělé next-gen verze s ray tracingem, dále zdrojový kód RedEnginu a mnoho dokumentů týkajících se chodu společnosti a jejích investorů. Protože ale vývojáři nechtěli s útočníky vyjednávat, objevila se po několika dnech zpráva, že šla data do aukce za vyvolávací cenu 1 milionu dolarů, případně za šestinásobek této částky v okamžitém prodeji. Z aukce ovšem mělo sejít, když hackerům někdo nabídl dostatečně vysokou částku s podmínkou, že data nebudou nikdy veřejně šířena. Tím se ovšem dostáváme k aktuální zprávě, která naopak tvrdí, že podmínka byla zrušena a přístup k výše popisovaným datům má mít kdokoliv, kdo zaplatí 10 000 dolarů.
Zdroj: DataBreachesS informací přišel portál DataBreaches, který nejdříve poukazuje na změnu strategie platformy Babuk, skrze kterou přes dark web unikají ukradená data na veřejnost. „Babuk mění svůj přístup – už nebudeme zamykat vaše data na serverech, ale budeme si je od vás přímo brát. Dostanete upozornění, a pokud se s námi nespojíte, učiníme prohlášení,“ měli vzkázat hackeři společnostem z řad potenciálních cílů dalších útoků. Posléze zástupci skupiny Babuk transformovali své stránky na platformu Payload.bin a doplnili, že skrze ní budou zveřejňovat ukradená data, ať už je získali sami, nebo v daných případech poslouží jen coby distributor pro méně známé skupiny, které nemají vlastní blog či místo, odkud by mohli data zájemcům nabízet. A aby přilákali pozornost, slíbili jeden velký leak, který prostřednictvím Payload.bin půjde do světa – ukradená, leč zaheslovaná data z CD Projektu od skupiny HelloKitty, porušující výše popisovanou podmínku, díky které došlo k uzavření původní aukce.
Hesla byla nabízena postupně od zdrojového kódu ke hře Thronebreaker: The Witcher Tales, přes Zaklínače 3 a jeho verzi s ray tracingem, až po Cyberpunk 2077.
Dále se incident probírá na portále Resetera, kam uživatel s přezdívkou delete13245 sdílel screenshot zmiňované skupiny hackerů. Informují v něm o vybírání peněz pro charitu prostřednictvím hesla k balíkům dat z CD Projektu, které může získat ten, kdo zaplatí 10 000 dolarů v kryptoměnách Bitcion, Ethereum nebo Dogecoin. Hesla byla nabízena postupně od zdrojového kódu ke hře Thronebreaker: The Witcher Tales, přes Zaklínače 3 a jeho verzi s ray tracingem, až po Cyberpunk 2077. Co se týče interních informací o společnosti, ty HelloKity ani skrze Payload.bin nenabízeli a na toto konto pouze uvedli, že tuto část dat poslali médiím. Přidávají nakonec i vysvětlení, proč chtějí data zveřejnit, když byly podmínky aukce nastaveny jinak – důvodem má být žádost o slevu od člověka, který onu podmínku proti platbě před čtyřmi měsíci nastavil. V úplném závěru nicméně přichází důležitá poznámka, skrze kterou se celý případ posouvá do trochu jiné roviny. HelloKitty totiž na dálku prosí Elona Muska, aby 1. dubna příspěvkem na sociálních sítích vypumpoval cenu Bitcionu, takže je velmi pravděpodobné, že k prodeji zdrojových kódů došlo ještě v březnu.
Zdroj: ReseteraV citovaném vlákně na Reseteře rovněž vystupuje uživatel – jmga – který tvrdí, že měl k uniklým datům přístup a potvrzuje jejich pravost, což je ale na úrovni internetové diskuze nemožné jakkoliv prokázat. Mnohem zajímavější je proto ještě linka o přidružených únicích SDK konzolí PS4, PS5, Switch a Xbox Series X, které byly na serverech CD Projektu a údajně nebyly v zaheslovaných archivech chráněny žádným dalším heslem. Rozběhla se proto debata na téma, co to potenciálně znamená pro ochranu zejména nových konzolí, ve skutečnosti by ale únik – pokud k němu opravdu došlo – nemusel znamenat nic závažného. Samotné SDK ještě neotevírá cestu k exploitům či možnosti hacknout konzoli a vášnivá debata na Reseteře hodně rychle skončila. Ve výsledku tak skutečným problémem zůstává „jen“ únik herních dat a očekávání, co může vývojářům způsobit za škody v dlouhodobějším horizontu.
Pro přidávání komentářů se musíte nejdříve přihlásit.
A jelikož je vývoj her náročný jak časově, tak finančně a studia tudíž části zdrojových kódů využívají napříč svými hrami, není to problém (pro vývojáře) / benefit (pro piráty/hackery/moddery) jen jedné konkrétní hry, ale i dalších projektů v budoucnosti. Zrovna v případě CDPR, který má jen 2 IP a plánoval jejich další a další pokračování, to je docela velký průser.
Pro toho ,kdo se nezabývá brouzdaním v cizích kódech to cenu mít nebude. Současně platí , že jediné co mohou zdrojovým kódem získat , jsou finesy CDPR. Použít doslovné kusy kódu jinde by jim neprošlo a současně …mluvíme tu o zabugovaném CP2077?
Co se týče využitelnosti dat, je kód know-how společnosti, třeba jako návod na Coca-Colu. A to je vždycky problém při úniku. Stále je za tím vývojářská práce, byť to nemusí být znovupoužitelné. I když v případě CP77 si říkám, jestli to stálo za to. 😀