Rockstar Games đã xác nhận một vụ rò rỉ dữ liệu quy mô lớn sau khi nhóm tấn công ShinyHunters khai thác một tích hợp bên thứ ba. Sự kiện này đã cho phép nhóm truy cập vào kho dữ liệu Snowflake nội bộ của công ty. Hậu quả là hơn 78,6 triệu bản ghi đã bị rò rỉ vào ngày 14 tháng 4 năm 2026.
Phân Tích Kỹ Thuật Vụ Tấn Công
Khai Thác Tích Hợp Bên Thứ Ba: Anodot
Vụ xâm nhập mạng không bắt nguồn từ một cuộc tấn công trực tiếp vào hạ tầng của Rockstar. Thay vào đó, ShinyHunters đã lợi dụng Anodot. Anodot là một nền tảng SaaS giám sát và phân tích chi phí đám mây được hỗ trợ bởi AI. Rockstar sử dụng Anodot để quản lý hạ tầng kỹ thuật số của mình.
Những kẻ tấn công đã trích xuất các token xác thực từ hệ thống của Anodot. Điều này cho phép chúng mạo danh một dịch vụ nội bộ hợp pháp. Từ đó, chúng có thể di chuyển ngang vào kho dữ liệu Snowflake được kết nối của Rockstar.
Đáng chú ý, không có lỗ hổng bảo mật nào trong chính Snowflake bị khai thác. Các token này cung cấp quyền truy cập đáng tin cậy và có vẻ hợp pháp. Điều này giúp chúng ban đầu lẩn tránh sự phát hiện.
Dòng Thời Gian Xâm Nhập và Đe Dọa
Anodot đã báo cáo các vấn đề kết nối từ ngày 4 tháng 4. Nền tảng này ghi nhận các bộ thu thập dữ liệu của mình đã ngoại tuyến trên nhiều khu vực. Các khu vực này bao gồm Snowflake, Amazon S3 và Amazon Kinesis.
Dòng thời gian cho thấy sự thỏa hiệp đã diễn ra trước khi Rockstar được biết. ShinyHunters nổi tiếng với kiểu tấn công chuỗi cung ứng này. Chúng nhắm mục tiêu vào các hệ thống định danh, khóa API và các tích hợp bên thứ ba. Thay vì dựa vào các khai thác truyền thống.
Vào ngày 11 tháng 4 năm 2026, ShinyHunters đã đăng cảnh báo trên trang rò rỉ web đen của chúng: “Rockstar Games! Các phiên bản Snowflake của bạn đã bị xâm phạm nhờ Anodot.com. Trả tiền hoặc chúng tôi sẽ rò rỉ dữ liệu.”
Cảnh báo cuối cùng là liên hệ trước ngày 14 tháng 4 năm 2026. Nếu không, dữ liệu sẽ bị rò rỉ cùng với “nhiều vấn đề (kỹ thuật số) khó chịu” khác. Khi Rockstar từ chối đàm phán, phù hợp với hướng dẫn của cơ quan thực thi pháp luật toàn cầu, nhóm này đã xác nhận với BBC rằng sẽ công bố dữ liệu bị đánh cắp.
Tác Động và Dữ Liệu Bị Rò Rỉ
Chi Tiết Dữ Liệu Bị Đánh Cắp
Kho lưu trữ bị rò rỉ chứa 78,6 triệu bản ghi. Chúng được mô tả là một tập dữ liệu phân tích đa miền. Dữ liệu này được sử dụng cho GTA Online (GTAO) và Red Dead Online (RDO).
Theo dữ liệu từ vụ rò rỉ dữ liệu, GTA Online tạo ra khoảng 500 triệu đô la hàng năm. Điều này được thúc đẩy bởi khoảng 7,3 triệu đô la doanh số bán Shark Card hàng tuần. Ngoài ra còn có 2,3 triệu đô la doanh thu đăng ký GTA+.
Phân tích cấp nền tảng cho thấy PS5 là động lực doanh thu hàng đầu. Với 4,49 triệu đô la doanh thu hàng tuần và 3,47 triệu người dùng hoạt động hàng tuần. Tiếp theo là Xbox Series X với 1,87 triệu đô la hàng tuần.
Các chỉ số hoạt động của người chơi cho thấy GTAO trung bình 9,9 triệu người dùng hoạt động hàng tuần. Đỉnh điểm là 15,4 triệu. Trong khi RDO trung bình 969.848 người dùng hoạt động hàng tuần.
Điều quan trọng, không có mật khẩu người chơi, chi tiết thanh toán, thông tin nhận dạng cá nhân (PII), mã nguồn hoặc tài sản phát triển GTA 6 nào nằm trong vụ rò rỉ dữ liệu này.
Phản Ứng của Rockstar Games và Bài Học An Ninh Mạng
Tuyên Bố Chính Thức từ Rockstar Games
Trong một tuyên bố gửi tới nhiều hãng tin, bao gồm Kotaku và IGN, người phát ngôn của Rockstar Games đã xác nhận: “Chúng tôi có thể xác nhận rằng một lượng hạn chế thông tin công ty không quan trọng đã bị truy cập. Sự việc này liên quan đến một vụ rò rỉ dữ liệu từ bên thứ ba. Sự cố này không ảnh hưởng đến tổ chức của chúng tôi hoặc người chơi của chúng tôi.”
Tấn Công Chuỗi Cung Ứng và Mối Đe Dọa Mạng
Sự cố này củng cố một mô hình mối đe dọa dai dẳng và leo thang: tấn công chuỗi cung ứng thông qua các tích hợp SaaS đáng tin cậy. ShinyHunters trước đây đã xâm nhập Ticketmaster, AT&T, Microsoft và Cisco bằng các phương pháp tương tự.
Việc chuyển đổi từ Anodot sang Snowflake nhấn mạnh rằng ngay cả các tổ chức có môi trường nội bộ kiên cố vẫn dễ bị tổn thương. Điều này xảy ra thông qua các trình kết nối bên thứ ba giữ thông tin xác thực truy cập đặc quyền.
Khuyến Nghị Bảo Mật Thông Tin
Các nhóm an ninh được khuyến nghị kiểm toán tất cả các tích hợp SaaS để đảm bảo nguyên tắc least-privilege access. Đồng thời, cần thường xuyên xoay vòng các token xác thực. Bên cạnh đó, việc giám sát hành vi truy vấn Snowflake bất thường là một chỉ báo sớm về sự di chuyển ngang qua các công cụ của bên thứ ba. Xem thêm chi tiết về vụ bắt giữ hacker liên quan đến Snowflake.
Chỉ Số Thỏa Hiệp (IOCs)
- Tác nhân đe dọa: ShinyHunters
- Phương thức tấn công: Khai thác tích hợp SaaS bên thứ ba (Anodot) để truy cập Snowflake.
- Hệ thống bị ảnh hưởng: Rockstar Games, Anodot (dùng bởi Rockstar), Snowflake (kho dữ liệu), các dịch vụ GTA Online (GTAO), Red Dead Online (RDO).
- Dữ liệu bị rò rỉ: 78,6 triệu bản ghi dữ liệu phân tích đa miền liên quan đến GTAO và RDO.
- Thời gian tấn công sơ bộ: Phát hiện vấn đề kết nối Anodot từ 4 tháng 4 năm 2026.
- Thời gian rò rỉ công khai: 14 tháng 4 năm 2026.
