7860万条记录,4月14日全挂网上。GTA Online每年5亿美元营收、PS5单周449万美元流水、玩家峰值1540万——这些本该锁在Snowflake仓库里的数字,现在成了黑客的免费广告。
Rockstar Games这次栽得有点冤。攻击者ShinyHunters根本没碰Rockstar的服务器,而是从一家叫Anodot的第三方SaaS平台"借道"进去的。这家做AI云成本监控的公司,本来是帮Rockstar省钱的"成本管家",结果变成了黑客的VIP通道。
攻击路径堪称教科书级的供应链迂回:Anodot系统里提取认证令牌→伪装成合法内部服务→大摇大摆走进Rockstar的Snowflake数据仓库。
Snowflake本身没漏洞,令牌给的信任太真,监控最初都没响。这种"借身份"的打法,比暴力破解省事多了。
时间线:4月4日就有信号,没人当回事
Anodot其实早发现了异常。4月4日,他们的数据收集器在多个区域离线,包括Snowflake、Amazon S3、Amazon Kinesis。这相当于"管家"报告"几个房间的监控摄像头坏了",但没人联想到有人正在复制钥匙。
等Rockstar反应过来,ShinyHunters已经在暗网明码标价。4月11日,黑客在其泄露站点发帖:「Rockstar Games!你们的Snowflake实例通过Anodot.com被攻陷。付钱,否则泄露。」
勒索信还附带"售后服务"威胁:「这是最后通牒,4月14日前联系,否则泄露外加一些烦人的(数字)麻烦。」Rockstar选择按全球执法机构的建议拒付赎金,ShinyHunters随即向BBC确认将公开数据。
泄露了什么:钱的事全漏了,人的事没漏
7860万条记录,本质是GTA Online和Red Dead Online的多域分析数据集。翻译成人话:玩家行为、消费模式、平台分布——运营团队每天盯着看的那些仪表盘,原样打包送给了互联网。
具体数字相当赤裸:
GTA Online年营收约5亿美元,每周鲨鱼卡(游戏内货币)卖出730万美元,GTA+订阅再贡献230万。PS5是头号现金牛,单周流水449万美元,周活347万;Xbox Series X以187万美元周流水、对应周活数位居第二。
玩家活跃度方面,GTA Online平均周活990万,峰值冲到1540万;Red Dead Online相对冷清,平均周活约97万。
但Rockstar强调了几遍:没有玩家密码、没有支付信息、没有个人身份信息、没有源代码、没有GTA 6开发资产。泄露的是"业务数据",不是"安全数据"。
对玩家来说,账号没风险;对竞争对手和分析师来说,这份运营手册价值连城。
ShinyHunters的打法:专挑"中间商"下手
这个黑客组织的名声,建立在一种特定偏好上:供应链枢纽、身份系统、API密钥、第三方集成。他们不挖0day,不撞库,专找"谁连了谁"的信任链条下手。
逻辑很直白——直接攻堡垒太难,但堡垒总要开门收快递、通水电、接监控。Anodot这种"基础设施的基础设施",就是完美的跳板。
这次事件里,令牌提取→横向移动→数据渗出,全程没触发传统入侵检测。直到Anodot的收集器大面积离线,才留下一个事后看很明显的脚印。
Rockstar的声明给多家媒体,包括Kotaku和IGN:「我们确认,与第三方数据泄露相关的有限非核心公司信息被访问。此事件对我们的组织或玩家没有影响。」
"非核心"是个有趣的定性。营收结构、平台占比、用户生命周期价值——这些在财报里要么模糊带过,要么根本不提。现在全摊开了。
行业启示:你的"成本管家"可能是别人的后门
Snowflake这类数据仓库的商业模式,天然鼓励广泛集成。客户连得越多,价值越大,攻击面也越宽。Anodot不是唯一一家做云成本监控的,类似的SaaS工具在大型企业里动辄几十上百个。
每个集成点都是潜在的令牌泄露点。而令牌一旦被盗,日志里看起来就是"正常访问"——直到你发现数据在往外流。
Rockstar的应对符合标准剧本:不付赎金、公开定性、切割影响范围。但7860万条记录已经在外,竞争对手拿着这份运营数据能做什么,没人能预测。
一个细节值得玩味:泄露数据精确到PS5和Xbox Series X的周流水对比,却没提PC和旧世代主机。是数据本身就不全,还是Rockstar对不同平台的数据权限管理有差异?
ShinyHunters的勒索信里那句"烦人的(数字)麻烦"最终没有兑现——至少目前没看到DDoS或篡改攻击。也许他们只是想要钱,也许更大的筹码还没打出来。
当你的云成本监控工具报警时,你首先想到的是"又超预算了"还是"有人正在复制我的数据"?
热门跟贴