No fim de semana, o código-fonte, a arte e outras documentações de Pokémon se espalharam rapidamente pelas redes sociais e outros fóruns da Internet. De onde veio isso? A Game Freak confirmou na semana passada que foi hackeada, com mais de 2.600 dados de funcionários coletados. Isto não confirme o roubo massivo de seus dados de jogo, mas os dados do jogo provavelmente se originam da mesma violação. Um hacker alegou ter adquirido 1 TB de dados, incluindo código-fonte para Lendas Pokémon: ZA e os jogos Pokémon da próxima geração, além de versões de jogos mais antigos, arte conceitual e documentos de história. Muitas informações já foram divulgadas – e mais serão enviadas para a internet, de acordo com o hacker.
Empresas de videogame continuam sendo hackeadas
Simplificando, este é provavelmente um dos maiores vazamentos da história do Pokémon. Ele rivaliza com o vazamento de 1,67 TB de dados hackeados da Insomniac Games do notório grupo de ransomware Rhysida, que foi lançado em dezembro do ano passado, e um hack da Rockstar Games de 2022 em que inacabado Grande roubo de automóveis 6 a filmagem foi publicada mais cedo. Esses hacks são sempre uma grande notícia porque a indústria de videogames é famosa por ser secreta, gerando entusiasmo por meio de teasers, trailers e anúncios cuidadosamente planejados. Esse hype é valioso para desenvolvedores e editores, mas do mesmo modo para vazadores em busca de influência online, hackers em busca de resgate e jogadores ansiosos por consumir qualquer coisa sobre sua franquia favorita. Mas como isso continua acontecendo?
As tentativas de phishing acontecem muitas vezes e não são exclusivas da Game Freak ou de qualquer outra empresa de videogame, Akamai o pesquisador de segurança cibernética Stiv Kupchik disse ao Polygon. Mas a audiência das informações vazadas é enorme, o que significa atenção generalizada. Os fãs de videogame clamam por esse tipo de conteúdo.
“Há um interesse intenso por parte dos fãs do produto sobre o que está por vir, o que as pessoas estão pensando e desse modo por diante”, disse Justin Cappos, professor da Universidade de Nova York na Escola de Engenharia Tandon. “Pelo menos eu sei que quando eu era um menino e brincava com jogos de computador e coisas desse modo, uma das minhas coisas favoritas era invadir minha cópia local do jogo e revertê-la e alterá-la e fazê-la funcionar diferente. coisas. Então, hoje em dia, obviamente há muitas pessoas bastante interessadas nisso, e os videogames são um alvo especialmente fácil, o que do mesmo modo os torna atraentes para pessoas como criminosos cibernéticos.”
Cappos disse que as empresas de videogames muitas vezes priorizam outras coisas além da segurança: elas se concentram em sistemas que permitem um prosperidad rápido, muitas vezes usando “equipes grandes que tendem a estar sobrecarregadas”. A Nintendo é boa em segurança, disse Cappos, mas as coisas podem ficar complicadas quando se trata dos diferentes parceiros da Nintendo. “Uma das coisas difíceis de jogar na defesa é que você tem que jogar na defesa corretamente o tempo todo”, disse Cappos. “Você não pode cometer um deslize uma vez. E por isso não importa se duas das três empresas fizeram um bom trabalho. Um deles bagunça e você está em apuros.”
Adam Marrè, diretor de segurança da informação da empresa de segurança cibernética Arctic Wolf, acrescentou que as empresas de videogame tendem a ser visadas porque podem estar mais inclinadas a pagar resgate para manter off-line conteúdo não lançado.
Não parece haver nenhum resgate em jogo na violação recente da Game Freak, mas capturas de tela do portal de desenvolvedores da Nintendo de um funcionário da Game Freak sugerem que o hacker obteve acesso aos arquivos em uma engenharia social ou esquema de phishing - como aconteceu com a Insomniac Games e Grande roubo de automóveis 6 vazamentos. No entanto, tanto nos casos da Rockstar Games quanto da Insomniac Games, grupos de hackers conhecidos assumiram a responsabilidade pelas informações vazadas. Um grupo chamado Lapsus$ assumiu a responsabilidade pelo GTA6 violação, por meio da qual um hacker de 17 anos usou métodos de phishing e engenharia social para obter acesso aos canais Slack da empresa Rockstar Games. (O hacker foi condenado à custódia indefinida em um hospital.) Um grupo diferente, Rhysida, assumiu a responsabilidade pelo vazamento da Insomniac Games; Rhysida é conhecida por usar ataques de phishing para obter acesso aos servidores. A motivação para o hack recente da Game Freak não é clara – mas às vezes pode ser causada por influência.
“Os jogos são uma indústria de grande destaque”, disse Kevin Gosschalk, CEO da Arkose Labs. “Muitos dos invasores que visam a indústria de jogos do mesmo modo são jogadores que estão apenas interessados em vazar os próximos jogos. É de alta publicidade e lhes dá muita influência.”
A engenharia social e o phishing não exigem necessariamente ferramentas especiais ou habilidades técnicas: em vez disso, os hackers que usam esses métodos tentam enganar a vítima para que forneça acesso a uma conta ou baixe software malicioso. Cappos disse que a pesquisa mostra que 20% das pessoas que recebem uma tentativa de phishing confiável – “não apenas um e-mail aleatório de um príncipe nigeriano”, disse ele – caem nessa.
“O phishing funciona induzindo a vítima a compartilhar credenciais confidenciais ou tokens de acesso, ou a executar comandos ou arquivos enviados pelo invasor”, disse Kupchik ao Polygon. “Desse jeito como na pesca tradicional, tudo começa com uma isca – pode ser um e-mail, um documento ou um site, que parece legítimo, mas na verdade está sob o controle do invasor. A vítima pensaria que está baixando software legítimo ou fazendo login em um site interno, mas em vez disso estaria entregando suas credenciais aos invasores ou executando cargas maliciosas sem suspeitar.”
A parte “fácil” é obter essas credenciais para efetuar login, disse o gerente sênior da RSA Security, Lorenzo Pedroncelli. A parte difícil é superar a autenticação multifatorial que as plataformas seguras do mesmo modo podem exigir - é aí que entra a engenharia social. “Se você não tiver MFA em vigor, um e-mail, senha ou outra credencial de phishing pode efetuar muito. mais danos”, disse Pedroncelli. Cappos acrescentou que a autenticação baseada em SMS é menos segura do que outros tipos, mas ainda existem maneiras de entrar. “Normalmente, o que acontece com a maioria dos hacks baseados em autenticação é que eles não têm autenticação multifatorial habilitada em todos os lugares”, disse ele. . “Algumas pessoas têm, outras não, e conseguem encontrar uma maneira de entrar por meio de pessoas que têm mais acesso do que deveriam e não têm a autenticação multifator habilitada.” Caso contrário, um invasor terá que enganar uma pessoa para que ela forneça seus códigos de MFA. (Cappos recomenda que você use autenticação multifator segura e mantenha seu software atualizado, porque este último pode ser outra forma de as pessoas entrarem, explorando software desatualizado.)
O último vazamento da Game Freak é um tipo de vazamento muito diferente do que, digamos, o momento em que alguém tirou fotos do Espada Pokémon e Escudo Pokémon guias de estratégia antes do lançamento dos jogos. A Pokémon Company resolveu um processo em 2021 com as pessoas que vazaram essas fotos no Discord, ordenando-lhes que pagassem US$ 150.000 cada. Naquela situação anterior, as informações vazadas limitavam-se às coisas que estavam impressas no guia de estratégia, como novos Pokémon. Era uma informação que a The Pokémon Company não queria divulgar, mas é muito menos séria do que o que foi compartilhado online neste enorme hack recente. É do mesmo modo um cenário diferente de quando os funcionários vazam informações para a imprensa, como com Efeito Fallout 4configuraçãoou quando a Microsoft carregou acidentalmente documentos judiciais editados para um repositório de arquivos associado ao Comissão Federal de Comércio v. caso.
Especialistas em segurança cibernética que conversaram com a Polygon dizem que é muito cedo para compreender completamente o impacto ou as motivações dos hackers; A Insomniac Games foi hackeada por um grupo de ransomware e seu interesse declarado era financeiro. A pessoa que hackeou o Game Freak parece ter alguma afinidade com o Game Freak e o Pokémon: Eles alegaram ter o código-fonte para Lendas Pokémon: ZA e os jogos da próxima geração, mas supostamente disseram que “não vão estragar os lançamentos desses jogos”.