Jak wyciekły materiały na temat Wiedźmina 3? Pytamy eksperta

Tymczasem CD Projekt RED komentuje sprawę.

Wczoraj informowaliśmy o wycieku ważnych informacji dotyczących Wiedźmina 3. Do sieci trafiły informacje dotyczące fabuły, zakończeń, postaci, misji pobocznych i wielu innych elementów - wystarczająco szczegółowe, by zepsuć sobie zabawę ich lekturą.

Wyciek pojawił się na forum 4chan. Wynikało z niego, że pliki zostały przejęte z konta Google Drive jednej z pracowniczek CD Projekt RED. Niektórzy z Was sugerowali w komentarzach, że ta osoba przez pomyłkę ustawiła ich status na publiczny, ale domniemany "haker" twierdzi, że ukradł pliki włamując się na konto. Co więcej, twierdzi też, że "pracuje nad innymi grami" i niebawem udostępni nowe informacje.

Dziś rano CD Projekt RED potwierdził włamanie:

W wyniku obejścia naszego systemu zabezpieczeń do sieci przedostał się szereg plików dokumentujących proces produkcyjny gry Wiedźmin 3: Dziki Gon z różnych okresów developmentu. Część z nich zawiera informacje na temat fabuły Wiedźmina. Prosimy o cierpliwość i przestrzegamy graczy przed czytaniem ujawnionych informacji, ponieważ mogą one zmniejszyć przyjemność z samodzielnego odkrywania gry. Ujawnienie dokumentów w żaden sposób nie wpływa na harmonogram prowadzonych prac. Jak mogło dojść do włamu? Czy chodziło zwykły ludzki błąd i niewystarczające zabezpieczenie? Zapytałem o to Piotra Koniecznego z serwisu Niebezpiecznik.pl.

Na razie brak szczegółowych informacji jak dokładnie atakujący przełamał zabezpieczenia konta Google Apps jednej z pracowniczek CD Projektu, ale zazwyczaj w tego typu sytuacjach miejsce mają dwa scenariusze ataku: 1. phishing (pracownik zwabiany jest na stronę łudząco podobną do strony logowania Google Apps, ale stworzoną przez atakującego. Tam podaje swoje dane logowania, które następnie są wykorzystywane przez atakującego). 2. słabe hasło (atakujący robi rekonesans; tzn. przegląda stronę internetową firmy-celu, publikowane przez nią dokumenty i na tej podstawie ustala dane pracowników, ich funkcję i przede wszystkim loginy. Następnie próbuje popularnych haseł (qwerty, abc123, cdprojekt123, imienazwisko123, etc.). Co ciekawe, można znacznie utrudnić życie atakującemu włączając na swoim koncie Google tzw. dwuskładnikowe uwierzytelnienie. Wtedy atakujący oprócz wykradzionego bądź odgadniętego hasła potrzebuje jeszcze kodu z telefonu ofiary. I najwyraźniej tej dwustopniowej weryfikacji zabrakło. Piotr Konieczny dodaje:

W trakcie wykonywanych przez nas testów penetracyjnych polskich firm korzystających z Google Apps całkiem niezłe rezultaty osiągamy metodą phishingu. Fałszywa strona różni się od domeny firmowej jedną literą (np. jeśli w nazwie oryginalnej domeny występuje litera "m" zastępujemy ją literami "rn") i ma poprawny certyfikat. Ofiary zwabiamy poprzez wysłanie porobionego e-maila (wyglądała jak pochodzący od osoby z kadr). Prosimy w nim o uzupełnienie wewnątrzfirmowej ankiety, która jest hostowa na Google Docs. Statystyka jednego z ostatnich ataków przedstawia się następująco: w przeciągu pierwszej godziny zalogowało się 20% pracowników naszego zleceniodawcy. Pierwsze co robimy po pozyskaniu hasła, to zalogowanie się na konto ofiary i ustawienie filtra "przekazuj kopię wszystkich przychodzących wiadomości na dodatkowy adres e-mail". Po co? Aby po zmianie hasła dalej móc czytać wiadomości kierowane do ofiary lub przejmować konta w serwisach, które zostały założone na firmowy adres e-mail. Firma ma to szczęście, że jest przez graczy wyjątkowo lubiana i społeczność pewnie sama zadba o zgłaszanie do moderacji komentarzy zdradzających szczegóły dotyczące gry. Pozostaje pytanie, czy CD Projekt RED wespół z Google ustali tożsamość "hakera" i pociągnie go do odpowiedzialności. W końcu nie chodzi tylko o informacje dotyczące scenariusza, ale i firmowy know-how, sposób prowadzenia projektów, komunikację i organizację wewnątrz firmy - to są rzeczy, które powinny pozostać tajemnicą.

Marcin Kosman

*Agora jest współwydawcą Wiedźmina 3