Hackers dão até segunda-feira pra Rockstar pagar resgate ou vazam dados internos da empresa

O grupo hacker ShinyHunters publicou um aviso na dark web na sexta-feira (11) dizendo que invadiu os sistemas da Rockstar Games e deu até segunda-feira, 14 de abril, pra empresa negociar. A mensagem é direta: “este é um aviso final para entrar em contato antes de vazarmos tudo”. Se a Rockstar não responder, o grupo ameaça publicar os dados roubados e causar o que chamou de “problemas digitais irritantes”.

A Rockstar não se pronunciou. A Take-Two Interactive, dona da empresa, também não.

Como a invasão aconteceu

O ShinyHunters não invadiu a Rockstar diretamente. O ataque explorou uma brecha na Anodot, uma empresa israelense de SaaS que a Rockstar usa pra monitoramento de custos em nuvem. Ao comprometer a Anodot, os hackers conseguiram tokens de autenticação, que são credenciais de confiança entre serviços que permitem acesso legítimo à infraestrutura conectada sem precisar de senha ou autenticação multifator.

Com esses tokens, o grupo acessou o ambiente Snowflake da Rockstar, uma plataforma de análise de dados em nuvem que armazena telemetria e dados analíticos. A Snowflake confirmou que a Anodot sofreu um incidente de segurança afetando um “número pequeno de clientes”. O site da Anodot mostrou sinais de “manutenção crucial” no cluster de Frankfurt, compatível com uma resposta a incidente.

A Rockstar não foi a única vítima. O ShinyHunters alega ter atingido também a Amtrak e a McGraw Hill usando o mesmo método, com mais de 100 milhões de registros combinados. O BleepingComputer reportou que mais de uma dúzia de empresas foram afetadas na campanha.

O que foi roubado (e o que não foi)

Segundo o ShinyHunters, os dados incluem registros financeiros, hábitos de gastos de jogadores com dados geográficos, cronogramas de marketing, e contratos com terceirizados, Sony, dubladores e gravadoras musicais. O grupo afirmou que não há evidência de que senhas ou dados de pagamento de jogadores tenham sido acessados. É um vazamento corporativo e operacional, não um dump de credenciais de consumidores.

O valor do resgate não foi divulgado publicamente. Pra referência: em 2024, a AT&T supostamente pagou US$ 370 mil ao ShinyHunters pra deletar dados roubados. Os dados do Ticketmaster foram oferecidos por US$ 500 mil em fóruns hackers.

Nenhuma amostra dos dados foi publicada até agora como prova. O ShinyHunters listou a Rockstar no site de leaks da dark web, mas não mostrou capturas de tela, amostras de banco de dados ou trechos de arquivos. A violação permanece sem verificação independente.

Não é o mesmo hack de 2022

Em setembro de 2022, Arion Kurtaj, um adolescente britânico de 18 anos do grupo Lapsus$, vazou mais de 90 vídeos de gameplay de GTA 6. Ele fez o ataque de um quarto de hotel usando um Amazon Fire Stick e uma TV, depois que seu laptop tinha sido confiscado enquanto estava em liberdade condicional. Kurtaj foi considerado severamente autista e inapto para julgamento. Um júri britânico o condenou em agosto de 2023, e o juiz determinou internação psiquiátrica por tempo indeterminado.

O ataque do ShinyHunters é completamente diferente. Não é engenharia social. É exploração de cadeia de suprimentos de software, comprometendo um fornecedor de nuvem pra acessar os clientes dele. Grupo diferente, método diferente, dados diferentes.

O detalhe inquietante: o hacker preso em 2022 já insinuou que o código-fonte de GTA 6 ainda pode estar em circulação. É uma ameaça separada que continua pendente.

O que a Rockstar tem a perder

GTA 6 está marcado pra 19 de novembro de 2026, com orçamento de desenvolvimento e marketing superior a US$ 1 bilhão. O ataque atual não parece envolver código-fonte do jogo. Mas o vazamento de cronogramas de marketing, contratos com a Sony, acordos com dubladores e detalhes de terceirização exporia planos comerciais que a Rockstar mantém trancados.

Pra uma empresa que opera com nível de sigilo quase militar, qualquer vazamento de informação interna é um problema sério. Depois de 2022, a Rockstar implementou um arsenal de contramedidas: armadilhas canárias no estilo CIA (informações ligeiramente diferentes pra cada funcionário pra rastrear a origem de leaks), campanhas de desinformação interna, compartimentalização de acesso, retorno obrigatório ao escritório e NDAs agressivos. O resultado é que quase nenhuma imagem de gameplay de GTA 6 circulou desde 2022.

Mas toda essa segurança interna não protege contra o ponto cego que o ShinyHunters explorou: fornecedores terceirizados de SaaS. Você pode trancar a porta da frente com sete fechaduras. Se o encanador deixar a janela aberta, não adianta nada.

Quem é o ShinyHunters

O ShinyHunters é um grupo criminoso ativo desde 2019-2020. Operam principalmente através de exploits em integrações SaaS e cadeia de suprimentos. Segundo o Google Cloud, o grupo está expandindo operações focadas em roubo de dados via plataformas de nuvem. Um francês de 21 anos foi extraditado do Marrocos pros EUA em 2023 por suposto envolvimento nas operações do grupo. Eles também são os operadores do BreachForums, um dos fóruns hackers mais populares da dark web.

O histórico inclui violações da Microsoft, GitHub, Tokopedia, Mashable e da própria Ticketmaster em 2024.

O que esperar na segunda-feira

Se a Rockstar não negociar até 14 de abril, o ShinyHunters provavelmente vai publicar os dados no BreachForums ou no próprio site de leaks. Se negociar e pagar, provavelmente nunca saberemos. A Take-Two Interactive é empresa de capital aberto e, pelas regras da SEC desde 2023, é obrigada a divulgar incidentes de cibersegurança materiais em até quatro dias úteis. O silêncio até agora significa que a empresa ainda está avaliando, não considera o incidente material, ou não confirmou a violação internamente.

Segunda-feira vai dizer qual das três opções é a certa.