Den 12 december meddelade den ökända ransomware-gruppen Rhysida att den håller en mängd data från Insomniac Games som gisslan. Om Insomniac Games ville förhindra att informationen släpptes skulle det behöva betalas. Rhysida ville ha 50 bitcoin (ungefär 2 miljoner dollar) för datan – och det var villig att ta det från alla som ville ha det, via en auktion på sin mörka webbplats. När den pålagda deadline på sju dagar passerade utan köpare, publicerade Rhysida de flesta av de hackade data online – en massiv 1,67 TB som innehåller mer än 1,3 miljoner filer, enligt cybersäkerhetswebbplatsen CyberDaily.
Data laddades upp i tre separata delar, var och en organiserad i en datakatalog med ett gränssnitt som liknar Microsofts filutforskare. Dessa filer innehåller massor av material under utveckling från Insomniacs kommande Wolverine-spel, inklusive designdokument, castinginformation och nivådesigner. Pågående gameplay från Marvel’s Wolverine började spridas snabbt, liksom annan information om studions partnerskap med Marvel. Det är en förödande och aldrig tidigare skådad läcka av spelinformation, liknande i omfattning som förra årets Grand Theft Auto 6-brott. Adam Marrè, informationssäkerhetschef på cybersäkerhetsföretaget Arctic Wolf och tidigare Avalanche Software-spelutvecklare, sa till ProSpelare att Insomniac-överträdelsen “tycks vara en av de mer betydande intrången i spelindustrin.” Jonathan Weissman, huvudlektor vid Rochester Institute of Technologys avdelning för cybersäkerhet, sa till ProSpelare att cyberattacken och efterföljande läckor är “helt utan motstycke.”
Men Insomniac-läckan inkluderar mycket, mycket mer än bara speltillgångar. I praktiken kan hundratals anställda ha blivit doxxed.
“För det första finns det filer från det kommande Wolverine-spelet och företagets 12-åriga releaseplan,” sa Weissman till ProSpelare. “Enbart det är fruktansvärt. Det är dock mycket djupare än så. Vi pratar om sekretessavtal med stora företag och studior, intern utvecklare Slack-kommunikation, interna HR-dokument, skannade personalpass och mer.”
Bland de känsliga HR-dokument som publiceras av Rhysida finns interna utredningar och disciplinära rapporter, anställdas personuppgifter (som passskanning) och inspelade videor från möten – till och med en lista över anställda och deras T-shirtstorlekar. Intrånget sätter hundratals anställda i fara i en bransch som redan är fientlig mot utvecklare, särskilt människor i marginaliserade grupper. (Trakasserier och hot från spelare mot videospelsutvecklare är ett allvarligt problem i branschen – över 75 % av utvecklarna i en undersökning från 2023 Game Developers Conference sa det, och 40 % av de tillfrågade hade upplevt det direkt.)
“Bara direkt ondska”
Marrè sa att den omfattande karaktären av läckan – särskilt dess inkludering av personalinformation och kommunikation – är atypisk för videospelsindustrin och gör detta till “en allvarligare kränkning av integritet och säkerhet.” Det kan jämföras med andra storskaliga hack i andra branscher där personaldata spelar in.
Spelutvecklaren Rami Ismail sa till ProSpelare att Insomniac-läckan verkligen är en besvikelse, och den har en inverkan på hur ett spel uppfattas. Han sa att utvecklare alltid säger “folk vet bara vilka skepp”, vilket betyder att “spelare kommer att bedöma ett spel efter hur det skickas”, inte processen som ledde till slutresultatet. Det är en “tvivelaktig och djupt sårande” praxis att läcka oavslutade speltillgångar, sa Ismail, men att publicera personalinformation är “bara direkt ondska.”
“Det är skrämmande för mig att dessa spelutvecklare nu måste oroa sig för att deras personliga information finns där ute,” sa Ismail i ett mejl. “Jag har avsiktligt inte tittat på filerna, men jag skulle anta att dessa filer kan innehålla namn, adresser eller annan känslig information – i så fall måste utvecklare, en grupp som redan riskerar doxxing och hat – nu ta reda på hur man kan skydda sig själva och sina familjer.”
Rhysida, gruppen som hackade Insomniac och publicerade informationen på nätet, är känd för statliga myndigheter trots att det är en relativt ny verksamhet. United States Department of Health and Human Services Office of Information Security sa att Rhysida verkar genom att använda nätfiskeattacker för att få åtkomst på distans, såväl som andra typer av attacker. Den amerikanska byrån för cybersäkerhet och infrastruktursäkerhet varnade också för Rhysida ransomware i november efter att organisationen riktat in sig på sjukvårdsindustrin och statliga institutioner. CISA avböjde att kommentera Insomniac-hacket och pekade istället på dess meddelande från november.
Marrè sa till ProSpelare att Sony och Insomniac måste förbättra sina cybersäkerhetsåtgärder. “Detta kan inkludera att stärka nätverkssäkerheten, implementera mer robusta autentiseringsprocesser och genomföra regelbundna säkerhetsrevisioner och penetrationstester,” sa han. “Träning för anställda om cybersäkerhetsmedvetenhet är också avgörande för att minska riskerna från nätfiske eller social ingenjörsattacker.” Han föreslog att företaget kan erbjuda en kreditövervakningstjänst eller skyddsprogram för identitetsstöld.
Weissman höll med om att utbildning av anställda är av största vikt: “Den svagaste länken i en implementering av cybersäkerhet kommer alltid att vara människorna”, sa han. “Det krävs ett enda klick på en länk eller en nedladdning och öppning/körning av en bilaga för att ångra (säkerhetsåtgärder). Det behöver inte sägas att utbildning och utbildning i cybersäkerhet för anställda är viktigast.”
Bild: Insomniac Games
För Rhysida verkar målet vara pengar – en talesman för gruppen sa till CyberDaily lika mycket. Dessa typer av hacks på videospelsföretag verkar öka, kanske på grund av värdet av informationen de innehåller. Många spelare ropar efter all information de kan få om ett mycket efterlängtat spel, inklusive läckt information, medan personlig information förblir värdefull på den mörka webben. Rocksteady Studios och Warner Bros. upplevde nyligen en läcka – troligen från ett stängt alfatest – för Suicide Squad: Kill the Justice League. I december publicerades GTA 6-trailern tidigt efter en läcka, och naturligtvis fanns det pågående filmintrång innan dess (två tonåringar greps och åtalades för det senare hacket). Hackare ska också ha fått tillgång till information om The Last of Us Part 2 innan den släpptes genom att utnyttja en sårbarhet i The Last of Us. 2023 hade Microsoft och Bethesda också ett intrång, men med fysiska kopior av spelet Starfield efter att kopior av det ännu ej släppta spelet stulits från ett lager.
I ett fall som mer liknar Insomniacs senaste intrång rapporterade CD Projekt Red att nuvarande och tidigare anställdas och entreprenörsinformation stals i juni 2021. Innan dess, 2020, stod Capcom inför en ransomware-attack som läckte spelinformation och personlig information från hundratals tusentals människor, inklusive kunder, aktieägare och anställda.
Sony Interactive Entertainment har inte svarat på ProSpelare begäran om kommentarer om hur man planerar att skydda sina anställda i framtiden.