W najbardziej pamiętnym zadaniu „Dzikiego Gonu” Geralt dowiaduje się, że Krwawy Baron, władający kasztelem Wrońce watażka, skrywa mroczny sekret. Za sprawą magii wiedźm jego żona poroniła, a że płód został pochowany bez właściwego obrządku, powrócił do żywych, by jako demoniczny poroniec zemścić się na rodzicielu.
Przenieśmy tę powiastkę we współczesne realia. Krwawym Baronem będzie w naszej historii CD Projekt, wiedźmami – hakerzy, którzy podstępem włamali się na jego serwery, dzieckiem zaś – zgromadzone na nich dane. Finał historii zależy wyłącznie od tego, jak były one przechowywane.
Milion dolarów po raz pierwszy
Od premiery „Cyberpunka 2077” CD Projekt wzbudza mieszaninę rozczarowania i Schadenfreude, ale w tym tygodniu zasłużył wyłącznie na współczucie. We wtorek (a zatem, o ironio, w Dzień Bezpiecznego Internetu!) spółka poinformowała, że cyberprzestępcy przełamali jej zabezpieczenia. Choć hakerzy chcieli dogadać się zakulisowo, warszawiacy publicznie obwieścili, że z szantażystami do stołu usiąść nie zamierzają.
Sprawcy pokazali więc, że nie blefują, udostępniając na forach hakerskich pliki karcianego „Gwinta”. Zapowiedzieli również aukcję, na której wystawią resztę swoich zdobyczy, w tym kody źródłowe hitów studia, jej autorską technologię (silnik REDengine) oraz poufne dokumenty, zawierające m.in. informacje z działu HR. Cena wywoławcza wyniosła milion dolarów, pojawiła się również opcja błyskawicznego zakupu za – bagatela – siedmiokrotność tej sumy. Do licytacji mogli przystąpić jedynie ci, którzy wpłacili depozyt w wysokości 0,1 bitcoina.
HelloKitty opóźni łatanie „Cyberpunka”
Już wieczorem dowiedzieliśmy się, że pliki znalazły nabywcę, choć nie poznaliśmy ani kwoty, jaką zapłacił (monitorująca Dark Web organizacja KELA twierdzi jedynie, że oferta była „satysfakcjonująca”), ani tym bardziej jego tożsamości. Przynajmniej kilkoro ekspertów ds. cyberbezpieczeństwa wyraziło natomiast opinię, że za całą akcją może stać grupa hakerska HelloKitty, która w ubiegłym roku zasłynęła kradzieżą danych brazylijskiej spółki energetycznej CEMIG. Modus operandi jest podobne, w obu wypadkach złodzieje pozostawili na serwerach ofiar swoją wizytówkę – plik tekstowy zatytułowany „read_me_unlock.txt”.
Gdy czytacie te słowa, CD Projekt zabezpiecza swoją infrastrukturę i przywraca dane z kopii zapasowych. Prezes Adam Kiciński przyznał, że sytuacja odbije się na tempie prac nad poprawkami do „Cyberpunka 2077”, zapowiadanymi dodatkami do gry oraz „Cyberpunkiem: Multiplayer”.
A choć o ataku i jego skutkach wiemy coraz więcej, znaków zapytania wciąż jest bardzo wiele. Nie wiadomo, czy poszkodowany został któryś z twórców, spółka zapobiegawczo przeszkoliła zatrudnionych i zaleciła ostrożność wszystkim, którzy współpracowali z nią w przeszłości. Dziennikarz i piarowiec Marcin Kosman zabił wczoraj na alarm, podnosząc na Twitterze, że wyciec mogły także dane byłych pracowników, a więc i jego (przez lata był związany z CDP.pl, należącym do CD Projektu dystrybutorem pudełkowych gier). „Do jednego [z byłych kolegów] już dzwonił bank z pytaniem, czy to on chce wziąć kredyt (nie, nie on)” – ostrzegł Kosman. Nadmieńmy, że nie ma bezpośredniego dowodu, który łączyłby atak ransomware z rzekomą próbą wyłudzenia kredytu.
Czytaj też: Dlaczego gry robi się przez sześć dni w tygodniu
CD Projekt jak żona Cezara
PAP poinformował, że postępowanie dotyczące włamania nadzoruje Prokuratura Rejonowa Warszawa-Północ. Adw. Michał Pękała, Counsel, Head of Gaming w kancelarii Maruta Wachta Sp. J., a zarazem prawnik związany z Fundacją Indie Games Polska, nie pokłada w jej działaniach wielkich nadziei: – W idealnym świecie prokuratura stawia cyberprzestępcom akt oskarżenia i doprowadza do ich skazania – zagaja w rozmowie z „Polityką” – ale w praktyce, obawiam się, nie może zrobić wiele. Prawdopodobnie podejmie tzw. śledztwo internetowe, zleci wykwalifikowanym informatykom, wspartym policyjnymi ekspertami, wizytę w biurze spółki, by zbadali, czy zostały jakieś ślady włamania na serwery. Oczywiście ma też prawo przesłuchać jej włodarzy oraz osoby, które mają dostęp do danych logowania, by sprawdzić, czy nie zostały celowo lub przez niedbałość udostępnione na zewnątrz – ocenia. Teoretycznie jest możliwe namierzenie miejsca, z którego logowali się hakerzy (IP tracing). W praktyce wydaje się to mało prawdopodobne.
CD Projekt musi teraz zachowywać się jak żona Cezara. Niezwłocznie zgłosił więc wyciek danych (tzw. data breach) do Urzędu Ochrony Danych Osobowych i poinformował swoich pracowników o zagrożeniu. – Jeżeli by tego nie zrobił – wyjaśnia Pękała – prezes UODO mógłby wszcząć postępowanie kontrolne. Gdyby zaś stwierdził nieprawidłowości, mogłoby się to skończyć nałożeniem na firmę kary administracyjnej wynikającej zarówno z samego uchybienia w przetwarzaniu danych, jak i w wyniku braku zgłoszenia o wycieku.
Czytaj też: Jak z książki zrobić grę?
Kodów źródłowych lepiej nie udostępniać
– Zakładam, że prawnicy CD Projektu podjęli decyzję, żeby złożyć tzw. zawiadomienie wstępne, poinformowali urząd o ataku na serwery... natomiast w momencie zgłoszenia nie wiedzieli jeszcze, czy wyciekły jakieś dane osobowe, trudno to bowiem stwierdzić w tak krótkim czasie. Biorąc pod uwagę doniesienia prasowe, spółka może wkrótce złożyć zawiadomienie uzupełniające, w którym spróbuje wyczerpująco określić, jakie to dane, których osób i w jakim zakresie wypłynęły. Jeżeli urząd dojdzie do wniosku, że – przykładowo – CD Projekt zastosował nieodpowiednie rozwiązania informatyczne, niezapewniające odpowiedniego poziomu bezpieczeństwa danych, albo że informacje na temat pracowników były niedostatecznie zaszyfrowane – kara może być dotkliwa. Jak bardzo? Dwa lata temu Morele.net musiało zapłacić – za naruszenie przepisów RODO – 2,8 mln zł. W teorii UODO może zażądać w takich sytuacjach nawet 4 proc. rocznego światowego obrotu z poprzedniego roku lub 20 mln euro (w zależności od tego, która z tych kwot byłaby wyższa).
Na marginesie: nawet gdyby hakerzy zdecydowali się upublicznić skradzione zdobycze, lepiej ich nie pobierać i nie udostępniać dalej. Ściągając program komputerowy (a więc kod źródłowy), trzeba go przecież zapisać, a więc stworzyć kopię, choćby nawet w pamięci krótkotrwałej. Niezależnie od tego, czy kopistą okaże się programista, który będzie chciał podpatrzeć mechanizmy „Gwinta”, wykładowca uniwersytecki, który zademonstruje studentom na zajęciach bolączki „Cyberpunka 2077”, czy gracz, który chciałby sprawdzić niewydaną wersję „Wiedźmina 3” z obsługą ray tracingu – grozi mu odpowiedzialność cywilna. A w przypadku dalszego udostępnienia tak skopiowanego kodu – nawet odpowiedzialność karna.
Czytaj też: CD Projekt przed amerykańskim sądem
Armagedonu raczej nie będzie
Zamieszanie nie pozostawiło inwestorów obojętnymi; od momentu upublicznienia informacji o wycieku kurs akcji producenta gier spadł o ok. 20 zł. Paweł Bieniek, szef biura analiz StockWatch.pl, uspokaja, że to raczej chwilowe tąpnięcie. – Kurs reaguje, gdy sytuacja wokół spółki zagraża biznesowi. Fakt, że ktoś weźmie kredyt na pracownika, niewiele dla inwestorów znaczy. Oczywiście ucierpiała reputacja studia, w dodatku dalej nie wiemy, jak głęboko hakerzy spenetrowali jego serwery... Natomiast armagedonu raczej nie będzie. Na pewno wzrośnie nieufność do firmy i jej usług, ale przecież nie jest tak, że Sony czy Microsoft nie będą chciały wydać kolejnej gry CD Projektu. Dla relacji biznesowych z partnerami ta sytuacja nie ma większego znaczenia.
– Na kurs wpływają emocje, a w tym momencie są rozhuśtane. Ale ich działanie jest chwilowe, nie długoterminowe. O dalszym losie notowań zdecyduje raczej sposób poradzenia sobie przez CD Projekt z kiepskim działaniem „Cyberpunka 2077” na PlayStation 4 i Xboksie One – puentuje Bieniek.
Czytaj też: Co łączy „Szklaną pułapkę” i „Cyberpunk 2077”?