2022年《GTA6》泄露案的主犯刚被关进医院,同一拨黑客又摸进了Rockstar的后台。这次他们连技术演示都省了,直接发帖:"4月14日前打钱,否则开闸。"
ShinyHunters——这个搞过微软、谷歌、Ticketmaster的老牌团伙——把勒索信写得像外卖催单。没有数据预览,没有威胁级别说明,只有一句"会让你有若干烦人的(数字)麻烦"。这种敷衍程度,堪比程序员写的"已知问题"文档。
Rockstar的回应同样简短。他们向Kotaku确认"第三方数据泄露",强调"少量非核心公司信息"被访问,"对组织和玩家无影响"。
措辞很标准,但时机微妙。距离《GTA6》第二部预告片发布不到半年,任何风吹草动都会被放大。
两年前的泄露案,把一个孩子送进了医院
2022年9月,Lapsus$组织攻破Rockstar系统,泄露了90多段《GTA6》开发 footage。当时18岁的主犯Arion Kurtaj被判"无限期住院治疗"——英国法律对精神状况不适合服刑者的特殊处置。
那起案件暴露了游戏行业的结构性脆弱:开发周期动辄十年,代码和素材在云端流转数年,攻击窗口比发售窗口长得多。
ShinyHunters选择此时出手,可能算准了Rockstar的软肋。2022年泄露后,公司被迫提前官宣《GTA6》,打乱了营销节奏。对一家靠悬念吊胃口的厂商来说,信息失控比信息丢失更致命。
"非核心信息"的模糊地带
Rockstar的声明留有余地。"非核心"可以指内部邮件模板,也可以指未公布的DLC排期。ShinyHunters的沉默同样可疑——如果他们真的拿到了猛料,通常会选择分期放料施压,而非一次性倒计时。
这种双向的信息 withholding,让外界难以判断威胁等级。
第三方供应商泄露是近年游戏业的通病。2023年Insomniac Games遭勒索,1.3TB数据外流,包括《金刚狼》完整开发计划;同年Capcom、EA均遭遇类似事件。游戏公司的供应链安全,正在变成比反作弊更难啃的骨头。
勒索软件的"疲劳战术"
ShinyHunters的简短勒索信,可能是一种策略性降级。当受害者对数据泄露脱敏,冗长的威胁反而显得虚张声势。短促的 deadline 制造紧迫感,模糊的"数字麻烦"保留想象空间。
Rockstar选择公开承认而非私下谈判,说明他们评估后认为:承认的成本低于被突然爆料的不可控成本。
4月14日的 deadline 已过。截至发稿,ShinyHunters的网站上那条帖子仍在,但尚未出现大规模数据泄露的报道。是Rockstar付了钱,还是黑客手里本来就没货?
游戏行业的安全团队现在可能都在问同一个问题:当你的"第三方"被攻破时,你怎么证明自己不是下一个?
热门跟贴