GTA 6 Leak könnte kommen als ShinyHunters Hacker-Gruppe Adressen Rockstar Games mit Redemption

Die Hackergruppe ShinyHunters hat Rockstar Games auf ihrer Dark-Web-Leak-Seite veröffentlicht und behauptet, über ein kompromittiertes Analysetool eines Drittanbieters Zugriff auf die Cloud-Daten des Studios zu haben. Die Gruppe hat den 14. April als Deadline für das Lösegeld festgelegt. Zahlen Sie, oder die Daten werden veröffentlicht.

Laut The CyberSec Guru, einem Cybersecurity-Forscher, der den Vorfall verfolgt, hat ShinyHunters das Ultimatum direkt auf seiner Leak-Site gepostet und den Entwickler von Grand Theft Auto mit einer Zahlungsaufforderung bedacht. Die Angreifer behaupten, dass sie nicht direkt bei Rockstar oder dessen Snowflake Data Warehouse eingedrungen sind. Sie gingen über Anodot, eine SaaS-Plattform, die Rockstar für die Überwachung von Cloud-Kosten und die Erkennung von Ausgabenanomalien nutzt. Aus den Systemen von Anodot holten sich die ShinyHunters Authentifizierungstoken - digitale Anmeldeinformationen, die es einem Dienst ermöglichen, ohne manuelle Passworteingabe mit einem anderen zu kommunizieren. Da die Snowflake-Instanz von Rockstar diesen Token vertraute, griffen die Angreifer auf die Umgebung zu, als handele es sich um einen legitimen internen Prozess.

Snowflake selbst scheint nicht kompromittiert worden zu sein. Die Plattform authentifizierte gültige Anmeldeinformationen, und genau dafür wurde sie entwickelt. Der Fehler trat auf der Integrationsebene auf: Anodot verfügte über umfassende Leseberechtigungen für Rockstars Snowflake-Warehouse, und sobald Anodot kompromittiert wurde, gingen diese Berechtigungen auf die Angreifer über. ShinyHunters hat Berichten zufolge Datenbankexporte über einen längeren Zeitraum durchgeführt, bevor etwas bemerkt wurde. Da das Zugriffsmuster einer normalen Überwachungsaktivität entsprach, hatte das Sicherheitsteam von Rockstar keinen offensichtlichen Grund, einzugreifen.

Bild: Anodot-Statusseite über The CyberSec Guru

Nach Angaben von The CyberSec Guru handelt es sich bei der Sicherheitsverletzung vermutlich eher um Unternehmensdaten als um durchgesickerten Spielecode. Berichtet wird, dass Rockstars Marketingpläne für GTA 6 betroffen sind, nicht aber der Quellcode des Spiels. Der volle Umfang der Daten, auf die zugegriffen wurde, bleibt unklar. Zum Zeitpunkt der Erstellung dieses Artikels haben sich Rockstar Games und die Muttergesellschaft Take-Two Interactive noch nicht geäußert. Dieses Schweigen steht im Einklang mit der Art und Weise, wie beide Unternehmen mit früheren Vorfällen umgegangen sind.

Rockstar ist nicht das einzige Ziel in dieser Welle. ShinyHunters forderte vor kurzem Daten von über 400 Unternehmen, die mit Salesforce-Integrationen verbunden sind. Zu den namentlich genannten Opfern gehören Cisco, der kanadische Telekommunikationsanbieter Telus und der niederländische Anbieter Odido. In Forenbeiträgen der Gruppe wird auch auf Daten der Europäischen Kommission verwiesen. Der gemeinsame Nenner all dieser Fälle ist der Zugriff durch Dritte - ein kompromittiertes Tool, das Dutzende oder Hunderte von Unternehmen in Mitleidenschaft zieht.

ShinyHunters ist seit etwa 2020 aktiv. Die Gruppe zielt auf APIs, Identitätssysteme und Integrationsebenen ab, nicht auf einzelne Nutzer. In der Vergangenheit wurden unter anderem 500 Gigabyte Microsoft-Quellcode im Jahr 2020, 270 Millionen Wattpad-Nutzerdaten sowie Daten von AT&T und Ticketmaster entwendet. Die Gruppe wird auch mit der Snowflake-bezogenen Diebstahlswelle von Anmeldedaten in Verbindung gebracht, von der im Jahr 2025 mehrere Unternehmen betroffen waren. Sie verstehen es, die Presse zu mobilisieren und den öffentlichen Druck als Druckmittel gegen ihre Ziele einzusetzen.

Rockstar war schon einmal hier. Im Jahr 2022 ließ ein Teenager frühes Material zu GTA VI durchsickern, nachdem er die Slack-Kanäle des Studios kompromittiert hatte. Dieser Verstoß war opportunistisch. Dieses Mal ist es methodischer, da es über die Software-Lieferkette eines Unternehmens und nicht über das Konto eines einzelnen Mitarbeiters läuft.

GTA VI ist die am meisten erwartete Spielveröffentlichung seit Jahren, und diese Vorfreude macht Rockstars interne Daten ungewöhnlich wertvoll. Wenn ShinyHunters auf Snowflake-Instanzen zugegriffen hat, die mit Rockstars Operationen verbunden sind, erstreckt sich die potenzielle Gefährdung auf Finanzdaten von GTA Online und Red Dead Online, Spielerausgaben und geografische Analysen, Marketing-Zeitpläne und vertragliche Vereinbarungen mit Sony, Microsoft, Synchronsprechern und Musiklizenzgebern. Die Frist für die Lösegeldzahlung läuft am 14. April ab, und wenn die Spielerdaten bis dahin auftauchen, sieht sich Rockstar mit den Offenlegungsanforderungen der GDPR und des CCPA, einer möglichen Prüfung durch die FTC und dem Risiko einer Sammelklage konfrontiert - und das alles, während man sich auf einen großen Launch vorbereitet.

Bisher gibt es keine Anzeichen dafür, dass auf die Passwörter einzelner Spieler oder die Daten von Zahlungskarten zugegriffen wurde. Die Sicherheitsverletzung scheint ein Unternehmen zu betreffen. Dennoch ist die Aktivierung der Zwei-Faktor-Authentifizierung für Rockstar Social Club-Konten eine vernünftige Vorsichtsmaßnahme.

Ich finde es schwierig, diese Behauptung von der Hand zu weisen, wenn man bedenkt, wie viele Unternehmen bereits Schäden durch die Operationen von ShinyHunters im Rahmen der Snowflake- und Salesforce-Integrationswellen bestätigt haben. Wir können uns an Rockstars jüngste Einstellungsaktivitäten erinnern, insbesondere an den Ansturm auf QA-Testpersonal, und wenn das Unternehmen weiterhin schweigt, könnte die Verfolgung ähnlicher operativer Signale - wie die sprunghafte Zunahme von Testereinstellungen oder interne Umstrukturierungen - einen indirekten Beweis dafür liefern, ob die gestohlenen Daten echt sind und wie viel davon das Studio als sensibel betrachtet. Da es sich bei der gemeldeten Enthüllung eher um Unternehmensunterlagen und Marketingpläne als um Quellcode handelt, vermute ich, dass die Daten auch Details darüber enthalten könnten, wie sich Rockstars Spiel-Engine tatsächlich verändert hat - die Engine, die das Studio Berichten zufolge für GTA 6 von Grund auf neu entwickelt hat und die zu den am strengsten gehüteten technischen Ressourcen der Branche gehört.

Der Einbruch erfolgte nicht durch ein schwaches Passwort oder eine falsch konfigurierte Firewall. Es handelte sich um ein Authentifizierungs-Token, das in einer Analyseplattform eines Drittanbieters gespeichert war, der Rockstar breiten Zugang zu seinem Datenlager gewährte. Die Standardempfehlungen lauten: Token-Rotation, Zugriffsrichtlinien mit den geringsten Rechten, Überwachung der Ausgänge und Multi-Faktor-Authentifizierung bei Dienstkonten. Die meisten Unternehmen setzen immer noch nicht alle vier durch. Die Unternehmen, die in diesem Monat auf der Leck-Site von ShinyHunters auftauchen, bekommen die Kosten für diese Lücke zu spüren.

Dieser Bericht stützt sich auf Behauptungen von Bedrohungsakteuren und laufende Untersuchungen. Rockstar Games hat den Umfang der Sicherheitsverletzung nicht bestätigt.

Lesen Sie auch, dass der ehemalige Rockstar Games-Entwickler Rob Carr, der als Sounddesigner an Red Dead Redemption und Grand Theft Auto V gearbeitet hat, kürzlich im Podcast Kiwi Talkz auftrat und über Rockstars "unbegrenzten" Ansatz bei der Entwicklung sprach - die Philosophie, jedes Spielelement auf dem höchstmöglichen Niveau zu entwickeln. Da sich das Budget von GTA VI Berichten zufolge auf 3 Milliarden Dollar beläuft, deuten Carrs Kommentare darauf hin, dass die Ambitionen des Studios in Bezug auf Umfang und Details alles bisher Dagewesene übertreffen könnten.