Nach Darstellung der Täter stammen die Daten aus Snowflake-Umgebungen, auf die sie mit gestohlenen Authentifizierungs-Tokens zugriffen. „Die Metrikdaten Ihrer Snowflake-Instanzen wurden dank Anodot.com kompromittiert“, heißt es in einem Eintrag auf der Erpressungsseite von ShinyHunters.
Rockstar Games äußerte sich gegenüber BleepingComputer trotz mehrfacher Anfragen nicht, bestätigte den Vorfall aber gegenüber Kotaku. Demnach sei nur eine begrenzte Menge nicht wesentlicher Unternehmensinformationen betroffen, und es gebe keine Auswirkungen auf die Organisation oder die Spieler.
Gegenüber BleepingComputer erklärten die Angreifer, bei den geleakten Daten handele es sich vorrangig um interne Analysen zur Überwachung der Online-Dienste und der Support-Tickets von Rockstar. Dazu zählen den Angaben zufolge Kennzahlen zu Einnahmen und Käufen im Spiel, die Auswertung des Spielerverhaltens sowie Daten zur Spielökonomie von Grand Theft Auto Online und Red Dead Online. Die Datensätze sollen zudem Support-Analysen für die Zendesk-Instanz des Unternehmens enthalten. In einer BleepingComputer vorgelegten Dateiliste fanden sich außerdem Verweise auf Systeme zur Betrugserkennung und auf das Testen von Anti-Cheat-Modellen.
Der Vorfall ist Teil einer größeren Datendiebstahl-Kampagne, die auf einen Sicherheitsvorfall bei Anodot zurückgeht — einem Unternehmen für die Erkennung von Datenanomalien, das sich mit zahlreichen SaaS-Cloud-Plattformen verbinden lässt. Wie BleepingComputer zuerst berichtete, entwendeten die Angreifer Authentifizierungs-Tokens des Dienstes und nutzten sie, um auf Kundendaten in verbundenen Snowflake-, S3- und Amazon-Kinesis-Instanzen zuzugreifen.
Snowflake bestätigte gegenüber BleepingComputer kürzlich, ungewöhnliche Aktivitäten bei einer geringen Zahl von Kundenkonten festgestellt zu haben, die mit einer Drittanbieter-Integration verknüpft waren. Das Unternehmen sperrte die betroffenen Konten und informierte die Kunden; später bestätigte es, dass es sich bei dem Drittanbieter um Anodot handelte. ShinyHunters erklärte gegenüber BleepingComputer, hinter den Angriffen zu stehen, und gab an, mit den kompromittierten Tokens Daten von Dutzenden Unternehmen erbeutet zu haben.
Rockstar Games war bereits 2022 von einem Datenabfluss betroffen, als ein mit der Erpressergruppe Lapsus$ in Verbindung stehender Angreifer Gameplay-Videos und Quellcode von Grand Theft Auto 6 veröffentlichte.
