La nota società di sviluppo videogiochi CD Projekt RED (fra cui ricordiamo la saga di The Witcher e Cyberpunk 2077) è stata vittima di un attacco ransomware che ha bloccato i sistemi ed esfiltrato dati e documenti. Nel messaggio dei cybercriminali, l’invito a prendere contatto entro 48 ore e la minaccia di esporre pubblicamente non solo i dati personali, ma anche i progetti e i codici sorgente dei giochi sviluppati e in progettazione.
Il data leak dei codici sorgente è stato scoperto dopo qualche giorno, con tanto di asta online che coinvolge anche la versione non rilasciata di The Witcher 3 e Gwent, il gioco di carte a tema The Witcher. In assenza di comunicazioni ufficiali da parte della società sull’investigazione in corso, possiamo solo attendere gli esiti delle investigazioni tutt’ora in corso.
I rilevanti introiti collegati al settore del gaming rendono bersagli particolarmente sensibili alle attenzioni dei cybercriminali anche gli sviluppatori, soprattutto per le potenziali conseguenze negative che un data leak può provocare su più fronti. In questo caso, la divulgazione di informazioni riservate quali codici sorgente comporta un danno non soltanto di immagine ma assume anche un impatto immediato e rilevante anche per il business principale e le strategie della società.
Inoltre, sebbene l’evento sia stato denunciato all’autorità di controllo polacca (UODO – Urząd Ochrony Danych Osobowych), il coinvolgimento (non ancora confermato) nella violazione anche di documenti contenenti dati personali di clienti, fornitori, lavoratori può potenzialmente comportare conseguenze sanzionatorie qualora si riscontrino misure di sicurezza inefficaci o non aggiornate (sarebbe contestata la violazione degli artt. 24, 25 e 32 GDPR). Non solo: se l’esposizione al rischio degli interessati dovesse risultare significativa, ne conseguirebbe non solo l’obbligo di comunicare agli stessi la violazione conformemente all’art. 34 GDPR, ma anche una significativa conseguente perdita di “fiducia” da parte del mercato e degli investitori.
Nel gaming, le prime “vittime” delle attenzioni dei cybercriminali sono i giocatori, in modo diretto o indiretto. Quando un settore è particolarmente a rischio cyberattacchi, l’intera filiera può dirsi minacciata o quanto meno sotto controllo da parte degli attaccanti per individuare anelli deboli, sperimentare nuovi metodi d’attacco o sfruttare vulnerabilità per ottenere così proventi illeciti.
In questo caso, il metodo d’attacco è tutt’altro che nuovo, ma offre uno spunto anche alle altre organizzazioni che orbitano nel mondo del gaming di riesaminare ed aumentare il proprio livello di sicurezza: se neanche Geralt è stato in grado di dissuadere gli attaccanti, la minaccia non può certo essere sottovalutata.
