Rynek

CD Projekt padł ofiarą hakerów. Znowu

Haker chwali się zdobyciem kodu źródłowego „Cyberpunka 2077”, „Gwinta”, a także – „niewydanej wersji Wiedźmina 3”. Haker chwali się zdobyciem kodu źródłowego „Cyberpunka 2077”, „Gwinta”, a także – „niewydanej wersji Wiedźmina 3”. POLITYKA / mat. pr.
Przestępca grozi, że upubliczni sekrety „Cyberpunka 2077” i „Wiedźmina 3”, ma też wgląd w dane osobowe twórców obu gier. „Szanse na jego zidentyfikowanie są bardzo małe” – ocenia ekspert Komisji Europejskiej.

Od rana wiadomo, że niezidentyfikowana osoba (lub osoby) uzyskała dostęp do wewnętrznej sieci spółki. Sprawca zostawił CD Projektowi wiadomość, zgodnie z którą udało mu się wejść w posiadanie dokumentów (księgowych, administracyjnych, prawnych, związanych z relacjami inwestorskimi) oraz danych działu HR. Chwali się także zdobyciem kodu źródłowego „Cyberpunka 2077”, „Gwinta” i – tu największa niespodzianka – „niewydanej wersji Wiedźmina 3”. Równocześnie grozi, że udostępni swoje zdobycze w internecie, co ma sprawić – tu cytat – „że wasz publiczny wizerunek stanie się jeszcze bardziej g***iany, a ludzie zobaczą, jak wasza g****na firma funkcjonuje. Inwestorzy stracą zaufanie do spółki, a kurs akcji zanurkuje jeszcze głębiej” (od grudnia stopniał o ok. 200 zł). Na koniec stawia ultimatum: studio ma 48 godz., by usiąść z szantażystą do rozmów.

Czytaj także: Gry wideo – biznes na ten czas

„Prawdopodobnie zawiniła administracja”

Upublicznienie kodu źródłowego może być dla warszawiaków ogromnym problemem. – Gra wideo jest programem komputerowym, przy czym komputery nie „zgadują” tego, jak ją odczytać, same z siebie. Trzeba w tym celu napisać specjalny program, kod źródłowy właśnie – tłumaczy w rozmowie z „Polityką” Maciej Miąsik, nestor polskiego gamedevu, a zarazem były pracownik CD Projektu. – Wgląd w kod źródłowy pozwala podejrzeć, co zakodowali w grze programiści, jak ona właściwie działa. Jeżeli nim dysponujemy, możemy poznać mnóstwo sekretów produkcji. To bardzo ciekawa lektura.

Czytaj także: Crunch, czyli o harówce twórców gier

– Takie kody trzyma się w specjalnych, zabezpieczonych odpowiednimi hasłami repozytoriach. Zazwyczaj są one bardzo złożone, a za ich bezpieczeństwo odpowiada cały szereg programistów – wyjaśnia Grzegorz Zajączkowski, lider cyfryzacji Komisji Europejskiej. – Nie wiadomo, co zawiodło w przypadku CD Projektu. Być może doszło do wykorzystania konta jednego z członków zespołu albo odkrycia jakiejś nieznanej słabości repozytorium? – zastanawia się. Jak dodaje: to raczej efekt ludzkiego błędu. – Prawdopodobnie zawiniła administracja CD Projektu. Haker przechwycił jej hasła i uzyskał w ten sposób dostęp do systemu. Problemem mogła być także podatność urządzeń sieciowych na ataki, na przykład niezaktualizowany router.

Dla CD Projektu to wcale nie pierwszyzna. W 2014 firma informowała, że – w wyniku obejścia jej systemu zabezpieczeń – hakerzy pozyskali materiały produkcyjne „Wiedźmina 3” (w tym wczesne wersje scenariusza). Trzy lata później miał miejsce kolejny włam, tym razem sprawcy zażądali okupu za informacje na temat „Cyberpunka 2077” (skradziono wewnętrzne pliki zawierające nieaktualne projekty gry).

Czytaj także: Cyberpunk 2077”, gorąca premiera. Po co się tak spieszycie?

Zidentyfikowanie sprawców? Niemal niemożliwe

CD Projekt odpowiedział na niedawny atak krótkim oświadczeniem. Zapewnia, że nie przystanie na żądania hakerów i nie zamierza podejmować z nimi żadnych negocjacji. „Mamy świadomość, że może to doprowadzić do ujawnienia wykradzionych danych. Podejmujemy niezbędne kroki, by złagodzić skutki takiego wycieku” – napisano. Zgodnie z obowiązującym prawem studio poinformowało o sytuacji UODO, uspokoiło również, że w żaden sposób nie ucierpiały dane użytkowników – zarówno posiadaczy „Wiedźminów” i „Cyberpunka”, jak i klientów sklepu internetowego GOG.

Mniej szczęścia mieli pracownicy. Nieoficjalnie udało nam się dowiedzieć, że zostali oni poinstruowani, w jaki sposób zabezpieczyć swoje dane, a część z nich poszła dziś wymienić dowody osobiste. Skala wycieku nie jest jednak znana, nie do końca więc wiadomo, czym dysponują cyberprzestępcy.

Zajączkowski określa szanse na zidentyfikowanie sprawcy jako „bardzo małe”. – A właściwie: „zidentyfikowanie sprawców” – dopowiada – bo wydaje mi się, że mówimy o liczbie mnogiej, w dodatku ludziach, którzy wiedzą, jak zabezpieczyć swoje działania w sieci. Oczywiście mogli oni popełnić błąd i właśnie dlatego CD Projekt powinien wynająć najlepszych możliwych ludzi, którzy ten potencjalny błąd wykryją.

CD Projekt znów pod pręgierzem

Lista kłopotów warszawskiej spółki wydłuża się z każdym dniem od debiutu „Cyberpunka 2077”. Choć pochwaliła się ona wówczas bezprecedensową liczbą zamówień przedpremierowych (8 mln egz.!), szybko okazało się, że edycje przeznaczone na PlayStation 4 i Xboksa One cierpią przez lichą wydajność i moc problemów technicznych. Mimo że raptem dwa tygodnie wcześniej prezes Adam Kiciński zapewniał, że gra działa na obu platformach „zaskakująco dobrze”.

Czytaj także: „Cyberpunk 2077”: co wyszło z długo wyczekiwanej gry

W efekcie Sony wycofało tytuł ze swojego sklepu PlayStation Store, a agregujący oceny krytyków portal OpenCritic wydał ostrzeżenie, informując, że CD Projekt mógł celowo zataić mizerię konsolowych wydań. Nie są to oskarżenia wyssane z palca, bo przedpremierowo nikt – streamerzy, youtuberzy ani dziennikarze – nie mógł wersji konsolowych ograć (ani tym bardziej pokazać!), studio prezentowało zaś starannie wyselekcjonowane sceny, które miały świadczyć o dobrym stanie projektu. Urząd Ochrony Konkurencji i Konsumenta sprawdza teraz, czy CD Projekt radzi sobie z wprowadzaniem poprawek i w jaki sposób rozpatruje reklamacje niezadowolonych klientów. Jeżeli dopatrzy się na tych polach uchybień – spółka może zapłacić dotkliwą karę, wynoszącą nawet 10 proc. jej rocznych przychodów!

Czytaj także: Cybercrunch, czyli dlaczego gry robi się przez sześć dni w tygodniu

Zarząd przeprosił za zaistniałą sytuację aż trzykrotnie, sygnalizując – ustami prezesa Kicińskiego – że „nie doszacował skali i złożoności problemów” oraz „zbagatelizował sygnały świadczące o potrzebie dodatkowych ulepszeń”. Ponieważ jednak ten sam zarząd parokrotnie zapewniał o dobrym stanie portów na PlayStation 4 i Xboksa One, od grudnia spółka otrzymała dwa pozwy zbiorowe od amerykańskich kancelarii, które oskarżają ją o wprowadzanie inwestorów w błąd (podobne inicjatywy zapowiedzieli także polscy prawnicy). Jak wyjaśnia Wojciech Marchwicki (kancelaria Hogan Lovells): – Na pewno oświadczenia spółki są teraz uważnie czytane przez wszystkich, którzy rozważają podjęcie kroków prawnych. Istnieje ryzyko, że potwierdzają one, iż zarząd był świadomy nieprawidłowości czy niefunkcjonalności produktu, który zamierza za chwilę sprzedawać.

Mało? Niezależni twórcy – w tym Thomas Mahler, reżyser „Ori and the Will of the Wisps” – otwarcie oskarżyli Polaków o zwodniczy marketing. Całkiem niedawno CD Projekt opublikował także patch, który... uniemożliwiał przejście gry (a nieco później – ku uciesze internautów – patch, który naprawiał tamten patch). W dodatku okazało się, że modyfikacje „Cyberpunka 2077” mogą zawierać lukę, za pośrednictwem której hakerzy przejmą kontrolę nad naszymi komputerami.

CD Projekt jak nikt przekonał się, że upadek z wysokiego konia może być bardzo bolesny. Atak cyberprzestępców to kolejny kamyczek wizerunkowej lawiny, z której spółka będzie się wygrzebywać przez lata.

Więcej na ten temat
Reklama

Codzienny newsletter „Polityki”. Tylko ważne tematy

Na podany adres wysłaliśmy wiadomość potwierdzającą.
By dokończyć proces sprawdź swoją skrzynkę pocztową i kliknij zawarty w niej link.

Informacja o RODO

Polityka RODO

  • Informujemy, że administratorem danych osobowych jest Polityka Sp. z o.o. SKA z siedzibą w Warszawie 02-309, przy ul. Słupeckiej 6. Przetwarzamy Twoje dane w celu wysyłki newslettera (podstawa przetwarzania danych to konieczność przetwarzania danych w celu realizacji umowy).
  • Twoje dane będą przetwarzane do chwili ew. rezygnacji z otrzymywania newslettera, a po tym czasie mogą być przetwarzane przez okres przedawnienia ewentualnych roszczeń.
  • Podanie przez Ciebie danych jest dobrowolne, ale konieczne do tego, żeby zamówić nasz newsletter.
  • Masz prawo do żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania, a także prawo do przenoszenia swoich danych oraz wniesienia skargi do organu nadzorczego.

Czytaj także

Kultura

Polonia jest taka jak my. Ewa Winnicka opowiada o polskim Greenpoincie

Mnie ten temat dlatego tak bardzo pociąga, że zmusza do zastanowienia, co to znaczy być w ogóle Polakiem – mówi Ewa Winnicka, autorka książki „Greenpoint. Kroniki Małej Polski”.

Janusz Wróblewski
16.06.2021
Reklama

Ta strona do poprawnego działania wymaga włączenia mechanizmu "ciasteczek" w przeglądarce.

Powrót na stronę główną