ShinyHunters đe dọa lộ dữ liệu Rockstar Games qua lỗ hổng công cụ giám sát đám mây

ShinyHunters đe dọa lộ dữ liệu Rockstar Games qua lỗ hổng công cụ giám sát đám mây

Nhóm tội phạm mạng ShinyHunters vừa tuyên bố đã truy cập trái phép vào dữ liệu chỉ số Snowflake của Rockstar Games thông qua công cụ bên thứ ba Anodot. Dù bị đe dọa trả tiền chuộc, nhà phát hành Grand Theft Auto khẳng định vụ việc không ảnh hưởng đến hoạt động hay trải nghiệm của người chơi.

ShinyHunters đã quay trở lại và lần này, họ nhắm mục tiêu vào Rockstar Games bằng cách đăng tải thông tin lên trang web rò rỉ dữ liệu của mình. Thông điệp mà nhóm này gửi đi khá trực diện: "Rockstar Games. Dữ liệu chỉ số (metrics) của các phiên bản Snowflake của bạn đã bị xâm phạm nhờ vào Anodot.com. Hãy trả tiền hoặc chúng tôi sẽ rò rỉ dữ liệu."

Theo The Register, ShinyHunters cho biết đây là cảnh báo cuối cùng vào ngày 14 tháng 4 năm 2026 trước khi họ công bố dữ liệu và gây ra một số sự cố kỹ thuật phiền toái cho công ty.

Cơ chế tấn công qua bên thứ ba

Điểm đáng chú ý trong vụ việc này không phải là ShinyHunters đã đột nhập trực tiếp vào hệ thống bảo vệ của Snowflake, mà là họ đi qua một "cánh cửa" mà bên thứ ba đã để mở ngỏ.

Theo tuyên bố của nhóm hacker, đường đột xuất phát từ Anodot – một công cụ giám sát chi phí đám mây được kết nối với kho dữ liệu (data warehouse) Snowflake của Rockstar. Các nghi phạm cho rằng họ đã lấy được mã xác thực (authentication tokens) và tái sử dụng chúng để mạo danh là một dịch vụ nội bộ hợp pháp.

Nếu cáo buộc này đúng sự thật, điều này đồng nghĩa với việc không có chuỗi khai thác lỗ hổng kỹ thuật phức tạp nào xảy ra. Kẻ tấn công đơn giản là sử dụng thông tin đăng nhập hợp lệ để hoạt động, khiến hoạt động của chúng trông giống như lưu lượng truy cập thông thường mà các đội ngũ bảo mật thường vô tình bỏ qua.

Phản ứng từ Rockstar Games

Rockstar Games đã không phản hồi trực tiếp các câu hỏi từ The Register, nhưng họ đã đưa ra một tuyên bố ngắn gọn cho Kotaku. Nhà phát hành game xác nhận rằng: "Một lượng hạn chế thông tin công ty không trọng yếu đã bị truy cập thông qua sự vi phạm dữ liệu của bên thứ ba."

Công ty nhấn mạnh rằng vụ việc này không gây ảnh hưởng đến người chơi hay các hoạt động vận hành của họ. Tuy nhiên, Rockstar chưa tiết lộ cụ thể loại dữ liệu nào bị xâm phạm, ai đứng sau vụ tấn công, hay có yêu cầu tiền chuộc nào được đưa ra hay không. ShinyHunters cũng im lặng về khối lượng dữ liệu cụ thể mà họ đang nắm giữ.

Xu hướng tấn công chuỗi cung ứng SaaS

ShinyHunters không phải là tay mơ trong lĩnh vực này. Nhóm này đã xây dựng danh tiếng bằng cách nhắm vào các API, hệ thống định danh và các tích hợp SaaS thay vì tấn công trực tiếp vào các tường lửa được bảo vệ chặt chẽ.

Những kẻ xấu này đã bị liên kết với hàng loạt vụ vi phạm dữ liệu lạm dụng các tích hợp SaaS và mã thông báo bị đánh cắp, với các nạn nhân trước đây bao gồm Cisco và Telus. Điều này chỉ ra một xu hướng rộng lớn hơn: việc cào xét thông qua các quyền truy cập được chia sẻ (shared access) thay vì các cuộc tấn công đơn lẻ.

Trong khi Rockstar không phải là nạn nhân duy nhất mà ShinyHunters tuyên bố đã tấn công, đây cũng không phải lần đầu tiên nhà phát hành Grand Theft Auto này gặp phải những "khách không mời".

Quay lại năm 2022, công ty từng bị bất ngờ trước một vụ việc lộ toàn bộ cảnh quay sơ khai của GTA VI trên internet sau khi một thiếu niên bị cáo buộc đã lừa lọc để xâm nhập vào hệ thống Slack nội bộ. Kẻ tấn công, khi đó 18 tuổi và đến từ Oxford, sau đó đã bị buộc phải nhập viện điều trị vô thời hạn và chỉ được thả khi các bác sĩ xác nhận anh ta không còn còn nguy hiểm.

Vụ việc mới nhất này một lần nữa nhắc nhở cộng đồng công nghệ về những rủi ro tiềm ẩn từ các tích hợp đám mây của bên thứ ba và tầm quan trọng của việc quản lý mã xác thực chặt chẽ.