Le 12 décembre, le célèbre groupe de ransomware Rhysida a annoncé qu’il détenait en otage une masse de données d’Insomniac Games. Si Insomniac Games voulait empêcher la divulgation de l’information, il lui faudrait payer. Rhysida voulait 50 bitcoins (environ 2 millions de dollars) pour les données – et elle était prête à les prendre n’importe qui qui le voulait, via une vente aux enchères sur son site dark-web. Lorsque le délai imposé de sept jours s’est écoulé sans acheteur, Rhysida a mis en ligne la plupart des données piratées – un volume massif de 1,67 To contenant plus de 1,3 million de fichiers, selon le site de cybersécurité CyberDaily.
Les données ont été téléchargées en trois parties distinctes, chacune organisée dans un catalogue de données avec une interface similaire à l’explorateur de fichiers de Microsoft. Ces fichiers incluent de nombreux éléments de développement du prochain jeu Wolverine d’Insomniac, notamment des documents de conception, des informations de casting et des conceptions de niveaux. Gameplay en cours de Wolverine de Marvel a commencé à se répandre rapidement, tout comme d’autres informations sur le partenariat du studio avec Marvel. Il s’agit d’une fuite dévastatrice et sans précédent d’informations sur le jeu, d’une ampleur similaire à celle de l’année dernière. Grand Theft Auto 6 enfreindre. Adam Marrè, responsable de la sécurité de l’information chez la société de cybersécurité Arctic Wolf et ancien développeur de jeux Avalanche Software, a déclaré que la violation d’Insomniac « semble être l’une des violations les plus importantes de l’industrie du jeu ». Jonathan Weissman, maître de conférences au département de cybersécurité du Rochester Institute of Technology, a déclaré que la cyberattaque et les fuites qui en ont résulté sont « totalement sans précédent ».
Mais la fuite d’Insomniac comprend bien plus que de simples éléments de jeu. En fait, des centaines d’employés pourraient avoir été doxxés.
« Tout d’abord, il y a des fichiers du prochain jeu Wolverine et du plan de sortie de la société sur 12 ans », a déclaré Weissman. « Rien que cela, c’est terrible. Cependant, c’est bien plus profond que cela. Nous parlons d’accords de non-divulgation avec de grandes entreprises et studios, de communications internes avec Slack pour les développeurs, de documents RH internes, de passeports d’employés numérisés, et bien plus encore.
Parmi les documents RH sensibles publiés par Rhysida figurent des enquêtes internes et des rapports disciplinaires, des informations personnelles sur les employés (telles que les scans de passeport) et des vidéos enregistrées de réunions, voire une liste des employés et leurs tailles de T-shirt. Cette violation met en danger des centaines d’employés dans un secteur déjà hostile aux développeurs, en particulier aux personnes appartenant à des groupes marginalisés. (Le harcèlement et les menaces des joueurs envers les développeurs de jeux vidéo sont un problème sérieux dans l’industrie : plus de 75 % des développeurs lors d’un sondage de la Game Developers Conference de 2023 l’ont dit, et 40 % des personnes interrogées en ont fait l’expérience directement.)
Marrè a déclaré que la nature étendue de la fuite – en particulier son inclusion d’informations et de communications sur les employés – est atypique pour l’industrie du jeu vidéo et en fait « une violation plus grave de la vie privée et de la sécurité ». Cela peut être comparé à d’autres piratages à grande échelle dans d’autres secteurs où les données des employés entrent en jeu.
Le développeur du jeu Rami Ismail a déclaré que la fuite d’Insomniac est en effet décevante et qu’elle a un impact sur la façon dont un jeu est perçu. Il a déclaré que les développeurs disent toujours que « les gens savent seulement ce qui est livré », ce qui signifie que « les joueurs jugeront un jeu par la façon dont il est livré », et non par le processus qui a conduit au résultat final. C’est une pratique « discutable et profondément blessante » que de divulguer des éléments de jeu inachevés, a déclaré Ismail, mais la publication d’informations sur les employés est « tout simplement un mal ».
« C’est horrifiant pour moi que ces développeurs de jeux doivent maintenant s’inquiéter de la présence de leurs informations personnelles », a déclaré Ismail dans un e-mail. « Je n’ai intentionnellement pas examiné les fichiers, mais je suppose que ces fichiers pourraient contenir des noms, des adresses ou d’autres informations sensibles – auquel cas les développeurs, un groupe déjà exposé au risque de doxxing et de haine – doivent maintenant comprendre. comment assurer leur sécurité et celle de leurs familles.
Rhysida, le groupe qui a piraté Insomniac et publié l’information en ligne, est connu des agences gouvernementales bien qu’il s’agisse d’une opération relativement nouvelle. Le Bureau de la sécurité de l’information du ministère américain de la Santé et des Services sociaux a déclaré que Rhysida utilisait des attaques de phishing pour accéder à distance, ainsi que d’autres types d’attaques. L’Agence américaine de cybersécurité et de sécurité des infrastructures a également mis en garde contre le ransomware Rhysida en novembre après que l’organisation ait ciblé le secteur des soins de santé et les institutions gouvernementales. CISA a refusé de commenter le piratage d’Insomniac, se référant plutôt à son avis de novembre.
Marrè a déclaré à Polygon que Sony et Insomniac doivent améliorer leurs mesures de cybersécurité. « Cela pourrait inclure le renforcement de la sécurité du réseau, la mise en œuvre de processus d’authentification plus robustes et la réalisation régulière d’audits de sécurité et de tests d’intrusion », a-t-il déclaré. « La formation des employés à la sensibilisation à la cybersécurité est également essentielle pour atténuer les risques d’attaques de phishing ou d’ingénierie sociale. » Il a suggéré que l’entreprise puisse proposer un service de surveillance du crédit ou un programme de protection contre le vol d’identité.
Weissman reconnaît que la formation des employés est primordiale : « Le maillon le plus faible de toute mise en œuvre de la cybersécurité sera toujours l’humain », a-t-il déclaré. « Il suffit d’un simple clic sur un lien ou d’un téléchargement et de l’ouverture/exécution d’une pièce jointe pour annuler [security measures]. Il va sans dire que l’éducation et la formation des employés en matière de cybersécurité sont les plus importantes.
Image : Jeux insomniaques
Pour Rhysida, l’objectif semble être l’argent – un porte-parole du groupe l’a déclaré à CyberDaily. Ce type de piratage des sociétés de jeux vidéo semble se multiplier, peut-être en raison de la valeur des informations qu’ils contiennent. De nombreux joueurs réclament toutes les informations qu’ils peuvent obtenir sur un jeu très attendu, y compris les informations divulguées, alors que les données personnelles restent précieuses sur le dark web. Rocksteady Studios et Warner Bros. ont récemment connu une fuite – probablement due à un test alpha fermé – pour Suicide Squad : tuez la Justice League. En décembre, le GTA6 la bande-annonce a été publiée peu de temps après une fuite et, bien sûr, il y a eu la fuite des images en cours avant cela (deux adolescents ont été arrêtés et inculpés pour ce dernier piratage). Les pirates auraient également accédé à des informations sur Le dernier d’entre nous, partie 2 avant sa publication en exploitant une vulnérabilité dans Le dernier d’entre nous. En 2023, Microsoft et Bethesda ont également eu une brèche, mais avec des copies physiques du jeu Champ d’étoiles après que des copies du jeu encore inédit aient été volées dans un entrepôt.
Dans un cas plus similaire à la récente violation d’Insomniac, CD Projekt Red a signalé que des informations sur des employés et sous-traitants actuels et anciens avaient été volées en juin 2021. Avant cela, en 2020, Capcom a été confronté à une attaque de ransomware qui a divulgué des informations sur le jeu et les informations personnelles de centaines de personnes. des milliers de personnes, dont des clients, des actionnaires et des employés.
Sony Interactive Entertainment n’a pas répondu à la demande de commentaires de Polygon sur la manière dont il envisage de protéger ses employés à l’avenir.