CD Projekt poinformował dziś rano, że padł ofiarą ataku hakerskiego. Adam Kiciński, prezes spółki, wyjaśnia, że w informacji pozostawionej przez przestępców nie było żądania okupu.
- Była natomiast groźba upublicznienia skradzionych dokumentów i danych w razie niespełnienia żądań oraz oczekiwanie kontaktu w ciągu 48 godzin – mówi Adam Kiciński.
Podaje, że ofiarą ataku padły serwery i znajdujące się na nich zasoby grupy CD Projekt i że nie doszło do wycieku danych osobowych graczy oraz innych użytkowników usług firmy.
- Obecnie skupiamy się na badaniu incydentu, zabezpieczaniu infrastruktury i przywracaniu danych, które - zgodnie z naszymi wewnętrznymi procedurami - są regularnie zapisywane w formie kopii zapasowych. Jest zbyt wcześnie na ocenę długoterminowych skutków ataku. Na pewno krótkoterminowo wpłynie on na tempo prowadzonych prac deweloperskich – informuje prezes.
CD Projekt informację o cyberataku przekazał na Twitterze. W ocenie spółki dotychczasowe ustalenia wewnętrzne dotyczące ataku i jego skutków nie uzasadniają przekazywania informacji w formie raportu giełdowego.
- Obecnie podejmujemy m.in. działania wyjaśniające i weryfikujące. Jeżeli wnioski będą świadczyć o zasadności opublikowania przez nas raportu bieżącego, niezwłocznie go opublikujemy – tłumaczy Adam Kiciński.
Zwraca uwagę, ze obecne podejście spółki jest zgodne ze stosowaną do tej pory praktyką komunikacyjną w tego rodzaju przypadkach z lat ubiegłych.
Trudna ocena
Haker poinformował spółkę, że przejął kody źródłowe „Wiedźmina 3”, „Cyberpunka”, „Gwinata” oraz wszystkie informacje związane z księgowością, administracją, inwestycjami oraz działami HR i spraw prawnych. Szantażyści dają dwie doby na skontaktowanie się z nimi i uzgodnienie warunków zwrotu skradzionych plików. W innym wypadku grożą sprzedażą albo ujawnieniem kodów źródłowych oraz przesłaniem wewnętrznych dokumentów firmy do dziennikarzy.
W ocenie specjalistów żeby ocenić potencjalny ataku na CD Projekt należałoby wiedzieć co naprawdę zostało skradzione przez hakerów.
- Deklaracje z listu od włamywacza nie zawsze jest zgodna z prawdą. Inna sprawa, że nie wiadomo, czy sama spółka ma już pełną wiedze co zostało skradzione. Jeśli są tam np. informacje o okolicznościach premiery „Cyberpunka”, które postawiłyby firmę w niekorzystnej sytuacji, to byłoby to bolesne wizerunkowo. To oczywiście spekulacje – na razie jest więcej pytań niż odpowiedzi. Rzeczywiste znaczenie tej sytuacji będzie można ocenić dopiero po fakcie – mówi Andrzej Kozłowski, redaktor naczelny CyberDefence24.
Na celowniku hakerów
Cyberataki to dość powszechne zjawisko u producentów gier. W ubiegłym roku ofiarami hakerów padły m.in. Capcom, czy Nintendo, rok wcześniej Zynga.
Ostatni atak to nie pierwsza tego typu sytuacja w przypadku CD Projektu. Spółka w 2017 r. informowała o incydencie związanym z cyberbezpieczeństwem i żądaniem okupu.
- Niepokojąca jest sytuacja w której być może nie poczyniono dodatkowych, wystarczająco silnych zabezpieczeń. CD Projekt non stop pracuje nad patchami, jest pośpiech, praca zdalna wymuszona pandemią – to wszystko sprzyja incydentem cyberbezpieczeństwa – mówi ekspert.
W ubiegłym tygodniu CD Projekt informował o załataniu błędów bezpieczeństwa w „Cyberpunku”, które mogły stwarzać możliwość przejęcia kontroli nad komputerem. Jedna z luk wynikała z przepełnienia bufora, co jest poważnym, ale powszechnym w świecie problemem. Druga polegałą na braku tzw. randomizacji wirtualnych adresów. Wg. specjalistów kompilacja tych dwóch błędów dawała spore możliwości atakującym.
Według nieoficjalnych informacji „PB” podejmował jednak kroki zmierzające do poprawy cyberbezpieczeństwa. Współpracuje m.in. z Niebezpiecznik.pl, który doradza wielu spółkom w tematyce bezpieczeństwa.
- Zakres świadczonych usług doradczych jest objęty umową NDA, więc nie komentujemy konkretnych zleceń. Możemy jednak potwierdzić, że żadne z wykonywanych zleceń nie dotyczy obecnego incydentu, o którym dziś poinformowała spółka CD Projekt – informuje Piotr Konieczny, właściciel Niebezpiecznik.pl.