CD Projekt padł ofiarą ataku hakerskiego. Zdarzyło się to prawdopodobnie w nocy z niedzieli na poniedziałek. Prokuratura wszczęła już postępowanie przygotowawcze w tej sprawie.
Haker, który dokonał włamania, poinformował, że przejął kody źródłowe gier oraz wszystkie informacje związane z księgowością, administracją, inwestycjami oraz działami HR i spraw prawnych. Nie chciał okupu – dał spółce dwie doby na skontaktowanie się z nim i uzgodnienie warunków zwrotu plików. W przeciwnym razie zagroził sprzedażą albo ujawnieniem kodów oraz przesłaniem wewnętrznych dokumentów firmy do dziennikarzy.
CD Projekt nie zamierzał ulec szantażyście i groźby zaczęły się materializować. W środę w sieci pojawiły się rzekomo kody do gry „Gwint”, a w czwartek do „Cyberpunka” i „Wiedźmina 3” zostały wystawione na aukcji na forum rosyjskiego portalu. Niepotwierdzone dane wskazują, jakoby znalazł się kupiec.
Rumors suggest that the auction was a success and someone has purchased the stolen CD Projekt Red data.
— vx-underground (@vxunderground) February 11, 2021
We do not know the amount in which the materials were purchased for.
We cannot provide screenshots of the auction at this time.
To jednak może być tylko początek perturbacji producenta gier.
Kara pieniężna
CD Projekt poinformował, że nie doszło do wycieku danych osobowych graczy oraz innych użytkowników usług firmy. Łupem hakera padły jednak informacje z działu HR, więc mogło dojść do wycieku danych pracowników. Spółka 9 lutego zgłosiła naruszenie bezpieczeństwa do Urzędu Ochrony Danych Osobowych (UODO).
- Sprawa jest obecnie analizowana przez UODO, a ewentualne dalsze czynności będą zależały od okoliczności – mówi Adam Sanocki, rzecznik urzędu.
Ze względu na skalę incydentu urząd prawdopodobnie uruchomi postępowanie w związku z podejrzeniem zaistnienia nieprawidłowości w procesie przetwarzania danych osobowych. Będzie oceniał m.in, czy incydent miał charakter niezawiniony, czy zawiniony, bo wynikał np. z zaniedbania, błędu lub niedopatrzenia.
– W drugim przypadku spółce grozi kara do 20 mln EUR lub od 2 do 4 proc. globalnych obrotów. Maksymalne kary są jednak stosowane w przypadku najpoważniejszych naruszeń - mówi dr Maciej Kawecki, dziekan Wyższej Szkoły Bankowej, a w przeszłości m.in. dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji.
Przy skali obrotów CD Projektu za ubiegły rok potencjalna kara mogłaby być bolesna. Zakładając, że ubiegłoroczne przychody zamknęły się kwotą 2,77 mld zł, co prognozuje dom maklerski BDM, kara mogłaby sięgnąć 110 mln zł. To jednak mało prawdopodobne, biorąc pod uwagę współpracę CD Projektu z urzędem, szybką reakcję i fakt, że spółka jeszcze przed atakiem wzmacniała cyberochronę.
Jedna z najwyższych do tej pory kar w Polsce to 2,8 mln zł. UODO nałożył ją na Morele.net za wyciek danych ponad 2 mln użytkowników sklepów internetowych.
Pozwy cywilne
CD Projektu zarekomendował pracownikom podjęcie środków bezpieczeństwa i wymianę dowodów lub ustawienie alertów BIK, aby ich dane nie zostały wykorzystane przez nieuprawnione osoby, np. do wzięcia pożyczki. Na Twitterze spółka zwróciła się o podjęcie środków ostrożności do byłych pracowników i sukcesywnie kontaktuje się z nimi indywidualnie.
- Przy tej skali wycieku spółka powinna poinformować o nim pracowników, także byłych. Jeśli nie ma ze wszystkimi kontaktu, to informacja na ten temat powinna się pojawić na stronie internetowej – zwraca uwagę Maciej Kawecki.
Jeśli w wyniku wycieków doszłoby do szkód, np. kradzieży tożsamości, to pojawi się ryzyko potencjalnych pozwów cywilnych o odszkodowania.
– Dotychczas nie otrzymaliśmy żadnej potwierdzonej informacji, żeby ktoś z naszego personelu został poszkodowany. W szczególności nie wiemy nic o jakichkolwiek próbach wyłudzania pożyczek na dane naszych pracowników. Gdyby taka sytuacja wystąpiła, osoba poszkodowana powinna niezwłocznie zgłosić ten fakt policji - informuje Karolina Gnaś, szefowa IR CD Projektu.
Wizerunek
Po informacji o wycieku kurs CD Projektu spadł blisko 6 proc. Wpływ ataku na sam biznes może być ograniczony, ale ucierpieć może wizerunek.
- Z moich obserwacji wynika, że straty wizerunkowe w wyniku wycieku danych zwykle są dość krótkotrwałe. Początkowo jest to oczywiście niekorzystne i skutkuje też spadkiem wyceny spółki, jeśli jej akcje są notowane, ale to szybko przemija. Tak było np. przy wielkich wyciekach z Twittera czy Facebooka – mówi Maciej Kawecki.
Gorzej, jeśli ujawnienie kodów to preludium do wystawienia potencjalnie bardziej wartościowych zasobów, jak np. maili, informacji o niezapowiedzianych grach itd.
- To mogłoby spółkę dotknąć. Inna sprawa, że w takich sytuacjach często pojawiają się fałszywki i mieszane są prawdziwe dokumenty o znikomej wartości ze spreparowanymi, które mogą stawiać spółkę w złym świetle. To stara strategia, a w praktyce trudno odróżnić jedne od drugich, więc media często się na to łapią – uważa Andrzej Kozłowski, redaktor naczelny CyberDefence24.
Spowolnienie prac
Kolejny efekt ataku to spowolnienie prac producenta gier. Z zaszyfrowanymi serwerami trzeba zrobić porządek, przywrócić dane, sprawdzić rozmiar szkód, zabezpieczyć infrastrukturę oraz zbadać, czy hakerzy nie poukrywali jakichś niespodzianek. Nie jest to skutek jedynie potencjalny, gdyż jego wpływ na prace nad grami potwierdził prezes CD Projektu.
- Jest zbyt wcześnie na ocenę długoterminowych skutków ataku. Na pewno krótkoterminowo wpłynie on na tempo prowadzonych prac deweloperskich – przyznaje Adam Kiciński.
To o tyle istotna informacja, że spółka prowadziła intensywne prace nad kolejnymi poprawkami i aktualizacjami do „Cyberpunka”. W drugiej połowie roku miała pojawić się wersja gry przeznaczona na konsole nowej generacji.
Bezpieczeństwo
CD Projekt na początku lutego informował o załataniu luk bezpieczeństwa w „Cyberpunku”, które mogły stwarzać możliwość przejęcia kontroli nad komputerem. Jedna wiązała się z przepełnienia bufora, co jest poważnym, ale powszechnym problemem. Druga polegała na braku tzw. randomizacji wirtualnych adresów. Według specjalistów kompilacja tych dwóch błędów dawała spore możliwości atakującym.
Przejęcie kodów do gier i wgląd do repozytorium deweloperskiego potencjalnie ułatwia hakerom znalezienia luk bezpieczeństwa w grach. Z drugiej strony firma na pewno z większą uwagą będzie podchodziła do kwestii cyberbezpieczeństwa. Być może również inne spółki zaczną mocniej inwestować w ten obszar.