Am 12. Dezember gab die berüchtigte Ransomware-Gruppe Rhysida bekannt, dass sie eine Menge Daten von Insomniac Games als Geiseln hält. Wenn Insomniac Games die Veröffentlichung der Informationen verhindern wollte, müsste es dafür zahlen. Rhysida wollte 50 Bitcoin (ungefähr 2 Millionen US-Dollar) für die Daten – und war bereit, diese abzunehmen irgendjemand Wer es wollte, über eine Auktion auf seiner Dark-Web-Site. Als die auferlegte Sieben-Tage-Frist verstrichen war, ohne dass es einen Käufer gab, stellte Rhysida den Großteil der gehackten Daten online – riesige 1,67 TB, die laut Angaben mehr als 1,3 Millionen Dateien enthielten Cybersicherheits-Website CyberDaily.
Die Daten wurden in drei separaten Teilen hochgeladen, die jeweils in einem Datenkatalog mit einer Schnittstelle ähnlich dem Datei-Explorer von Microsoft organisiert waren. Diese Dateien enthalten viele in der Entwicklung befindliche Materialien aus dem kommenden Wolverine-Spiel von Insomniac, darunter Designdokumente, Casting-Informationen und Level-Designs. In Bearbeitung befindliches Gameplay von Marvels Wolverine begann sich schnell zu verbreiten, ebenso wie andere Informationen über die Partnerschaft des Studios mit Marvel. Es handelt sich um ein verheerendes und beispielloses Durchsickern von Spielinformationen, das im Ausmaß dem des letzten Jahres ähnelt Grand Theft Auto 6 Verstoß. Adam Marrè, Chief Information Security Officer beim Cybersicherheitsunternehmen Arctic Wolf und ehemaliger Spieleentwickler von Avalanche Software, sagte gegenüber Polygon, dass der Insomniac-Verstoß „einer der schwerwiegenderen Verstöße in der Spielebranche zu sein scheint“. Jonathan Weissman, Hauptdozent an der Abteilung für Cybersicherheit des Rochester Institute of Technology, sagte gegenüber OnlineSpiel, dass der Cyberangriff und die darauffolgenden Leaks „völlig beispiellos“ seien.
Doch das Insomniac-Leak umfasst weitaus mehr als nur Spielinhalte. Tatsächlich wurden möglicherweise Hunderte von Mitarbeitern gedoxxt.
„Erstens gibt es Dateien des kommenden Wolverine-Spiels und den 12-Jahres-Veröffentlichungsplan des Unternehmens“, sagte Weissman gegenüber OnlineSpiel. „Das allein ist schrecklich. Allerdings geht es viel tiefer. Wir sprechen über Geheimhaltungsvereinbarungen mit großen Unternehmen und Studios, interne Entwickler-Slack-Kommunikation, interne HR-Dokumente, gescannte Mitarbeiterpässe und mehr.“
Zu den sensiblen HR-Dokumenten, die Rhysida veröffentlicht, gehören interne Untersuchungen und Disziplinarberichte, persönliche Daten der Mitarbeiter (z. B. die Pass-Scans) und aufgezeichnete Videos von Besprechungen – sogar eine Liste der Mitarbeiter und ihrer T-Shirt-Größen. Der Verstoß gefährdet Hunderte von Mitarbeitern in einer Branche, die Entwicklern ohnehin feindselig gegenübersteht, insbesondere Menschen aus Randgruppen. (Belästigung und Drohungen von Spielern gegenüber Videospielentwicklern sind ein ernstes Problem in der Branche – über 75 % der Entwickler Dies ergab eine Umfrage der Game Developers Conference 2023wobei 40 % der Befragten es direkt erlebt haben.)
Marrè sagte, die umfangreiche Natur des Lecks – insbesondere die Einbeziehung von Mitarbeiterinformationen und -kommunikation – sei untypisch für die Videospielbranche und mache dies „zu einer schwerwiegenderen Verletzung der Privatsphäre und Sicherheit“. Es kann mit anderen groß angelegten Hacks in anderen Branchen verglichen werden, bei denen Mitarbeiterdaten eine Rolle spielen.
Spieleentwickler Rami Ismail sagte gegenüber OnlineSpiel, dass der Insomniac-Leak tatsächlich enttäuschend sei und Auswirkungen darauf habe, wie ein Spiel wahrgenommen werde. Er sagte, Entwickler sagen immer: „Die Leute wissen nur, was versendet wird“, was bedeutet, dass „die Spieler ein Spiel danach beurteilen, wie es geliefert wird“ und nicht nach dem Prozess, der zum Endergebnis geführt hat. Es sei eine „fragwürdige und zutiefst verletzende“ Praxis, unvollendete Spielinhalte preiszugeben, sagte Ismail, aber die Veröffentlichung von Mitarbeiterinformationen sei „einfach böse“.
„Es ist für mich erschreckend, dass diese Spieleentwickler jetzt Angst haben müssen, dass ihre persönlichen Daten an die Öffentlichkeit gelangen“, sagte Ismail in einer E-Mail. „Ich habe absichtlich keinen Blick auf die Dateien geworfen, gehe aber davon aus, dass diese Dateien Namen, Adressen oder andere vertrauliche Informationen enthalten könnten – in diesem Fall müssen Entwickler, eine Gruppe, die bereits dem Risiko von Doxxing und Hass ausgesetzt ist, das jetzt herausfinden.“ wie sie sich und ihre Familien schützen können.“
Rhysida, die Gruppe, die Insomniac gehackt und die Informationen online veröffentlicht hat, ist den Regierungsbehörden bekannt, obwohl es sich um eine relativ neue Operation handelt. Das teilte das Büro für Informationssicherheit des US-Gesundheitsministeriums mit Rhysida nutzt Phishing-Angriffe, um sich aus der Ferne Zugriff zu verschaffen, sowie andere Arten von Angriffen. Auch die US-amerikanische Cybersecurity and Infrastructure Security Agency warnte vor Rhysida-Ransomware im November nach der Organisation zielte auf die Gesundheitsbranche ab Und Regierungseinrichtungen. CISA lehnte es ab, sich zum Insomniac-Hack zu äußern, und verwies stattdessen auf die Mitteilung vom November.
Marrè sagte gegenüber OnlineSpiel, dass Sony und Insomniac ihre Cybersicherheitsmaßnahmen verbessern müssen. „Dazu könnte die Stärkung der Netzwerksicherheit, die Implementierung robusterer Authentifizierungsprozesse und die Durchführung regelmäßiger Sicherheitsüberprüfungen und Penetrationstests gehören“, sagte er. „Mitarbeiterschulungen zum Thema Cybersicherheit sind ebenfalls von entscheidender Bedeutung, um Risiken durch Phishing- oder Social-Engineering-Angriffe zu mindern.“ Er schlug vor, dass das Unternehmen einen Kreditüberwachungsdienst oder ein Programm zum Schutz vor Identitätsdiebstahl anbieten könnte.
Weissman stimmte zu, dass die Schulung der Mitarbeiter von größter Bedeutung ist: „Das schwächste Glied bei jeder Cybersicherheitsimplementierung werden immer die Menschen sein“, sagte er. „Um den Vorgang rückgängig zu machen, genügt ein einziger Klick auf einen Link oder ein Download und das Öffnen/Ausführen eines Anhangs [security measures]. Es versteht sich von selbst, dass die Aufklärung und Schulung der Mitarbeiter im Bereich Cybersicherheit von größter Bedeutung ist.“
:format(webp):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/22838324/51441568515_2c38705719_o.jpg)
Bild: Insomniac Games
Für Rhysida scheint das Ziel Geld zu sein – ein Sprecher der Gruppe sagte CyberDaily das auch. Diese Art von Hacks auf Videospielunternehmen scheint zuzunehmen, möglicherweise aufgrund des Werts der darin enthaltenen Informationen. Viele Spieler verlangen nach allen Informationen, die sie über ein mit Spannung erwartetes Spiel erhalten können, einschließlich durchgesickerter Informationen, während persönliche Daten im Dark Web weiterhin wertvoll sind. Rocksteady Studios und Warner Bros. erlebten kürzlich ein Leck – wahrscheinlich aus einem geschlossenen Alphatest – für Suicide Squad: Töte die Justice League. Im Dezember wurde die GTA 6 Der Trailer wurde früh nach einem Leak veröffentlicht, und natürlich gab es davor den Verstoß gegen das laufende Filmmaterial (zwei Teenager wurden verhaftet und wegen des letztgenannten Hacks angeklagt). Berichten zufolge haben Hacker auch auf Informationen zugegriffen Der Letzte von uns Teil 2 bevor es veröffentlicht wurde, indem eine Schwachstelle in ausgenutzt wurde Der Letzte von uns. Im Jahr 2023 kam es auch bei Microsoft und Bethesda zu einer Panne, allerdings mit physischen Kopien des Spiels Sternenfeld nachdem Kopien des noch unveröffentlichten Spiels aus einem Lagerhaus gestohlen wurden.
In einem Fall, der eher dem jüngsten Verstoß gegen Insomniac ähnelt, berichtete CD Projekt Red, dass im Juni 2021 Informationen aktueller und ehemaliger Mitarbeiter und Auftragnehmer gestohlen wurden. Zuvor, im Jahr 2020, war Capcom einem Ransomware-Angriff ausgesetzt, der Spielinformationen und die persönlichen Daten von Hunderten von Personen preisgab Tausende von Menschen, darunter Kunden, Aktionäre und Mitarbeiter.
Sony Interactive Entertainment hat auf die Anfrage von Polygon nach einer Stellungnahme dazu, wie das Unternehmen seine Mitarbeiter künftig schützen will, nicht geantwortet.