La brecha se originó en Anodot, proveedor de analíticas en la nube, permitiendo a los atacantes acceder a Snowflake con tokens robados. Los datos incluyen métricas de ingresos y comportamiento de jugadores de GTA Online y Red Dead Online.
El grupo de extorsión ShinyHunters publicó este 13 de abril un conjunto de datos con más de 78.6 millones de registros pertenecientes a Rockstar Games, desarrollora de la saga Grand Theft Auto. La filtración se produjo tras el rechazo de la compañía a negociar el pago de un rescate cuya fecha límite vencía el 14 de abril. El incidente, confirmado por BleepingComputer, expone métricas operativas internas de los servicios en línea de la empresa, aunque no datos personales de jugadores ni código fuente.
La vía de acceso no fue un ataque directo a la infraestructura de Rockstar. Los atacantes comprometieron primero a Anodot, una plataforma SaaS de monitoreo de costos y detección de anomalías en la nube que integra con múltiples proveedores. Desde ahí, los threat actors extrajeron tokens de autenticación que permitieron el acceso legítimo, a ojos del sistema a las instancias de Snowflake donde Rockstar almacena sus datos analíticos.
Snowflake confirmó a BleepingComputer que detectó actividad inusual en un pequeño número de cuentas de clientes vinculadas a una integración de terceros, y procedió a bloquear las cuentas afectadas y notificar a los clientes.
Los datasets filtrados contienen información operativa detallada: métricas de ingresos por microtransacciones en GTA Online, incluyendo ventas de Shark Cards y suscripciones GTA+, datos de comportamiento de jugadores, balances de economía interna y analíticas del sistema de soporte al cliente gestionado a través de Zendesk. También se incluyen referencias a sistemas de detección de fraude y pruebas de modelos anti-cheat.
Según lo reportado por Kotaku, Rockstar emitió un comunicado reconociendo el incidente pero minimizando su alcance: "Podemos confirmar que se accedió a una cantidad limitada de información no material de la empresa en conexión con una brecha de datos de terceros. Este incidente no tiene impacto en nuestra organización ni en nuestros jugadores."
El patrón de ataque replica campañas previas de ShinyHunters, grupo activo desde 2020 y responsable de brechas en Microsoft, Ticketmaster, AT&T, Cisco y la Comisión Europea. Su modus operandi prioriza la explotación de la cadena de suministro, en lugar de vulnerar directamente al objetivo, comprometen integradores y plataformas SaaS que ya poseen credenciales de acceso privilegiado. Anodot había reportado desde el 4 de abril que sus conectores estaban caídos en múltiples regiones, incluyendo Snowflake, Amazon S3 y Amazon Kinesis, lo que sugiere que el compromiso ya estaba en curso antes de la notificación pública.
Para las organizaciones que dependen de integraciones SaaS, este incidente subraya la necesidad de auditar los permisos de terceros, rotar tokens de autenticación de forma regular y monitorear consultas anómalas en data warehouses. Rockstar ya había sufrido una brecha significativa en 2022, cuando un adolescente asociado a Lapsus$ filtró videos de gameplay y código de GTA 6, siendo posteriormente sentenciado a prisión hospitalaria en el Reino Unido. Sin embargo, este nuevo incidente demuestra que incluso sin datos personales de por medio, la exposición de métricas de negocio puede tener implicaciones competitivas y reputacionales severas.
FUENTE ORIGINAL
BleepingComputer↗CURADO POR
Santiago Torres