Według hakerów w wykradzionym pakiecie była także m.in. dokumentacja z działu kadr.
Po przeprowadzonym w weekend ataku dane wykradzione z serwerów CD Projektu zostały wystawione na sprzedaż. W serwisie Exploit trwała aukcja, której przedmiotem były kody źródłowe Cyberpunka 2077, Wojny Krwi: Wiedźmińskich Opowieści oraz Wiedźmina 3 wraz z niewydaną wersją z obsługą ray-tracingu. (Kod źródłowy Gwinta wypłynął już wcześniej, gdy CD Projekt odmówił negocjowania z włamywaczami). W licytowanej paczce znajdowały się także dokumenty firmowe. Cena wywoławcza wynosiła milion dolarów, „Kup teraz” – siedmiokrotnie tyle.
Wygląda na to, że nielegalnie zdobyte pliki znalazły nabywcę. Hakerzy zamknęli aukcję i potwierdzili, że kupiec spoza forum zaoferował „satysfakcjonującą kwotę” w zamian za komplet danych z zastrzeżeniem, że nie będą one dalej rozpowszechniane.
Just in: #CDProjektRed AUCTION IS CLOSED. #Hackers auctioned off stolen source code for the #RedEngine and #CDPR game releases, and have just announced that a satisfying offer from outside the forum was received, with the condition of no further distribution or selling. pic.twitter.com/4Z2zoZlkV6
— KELA (@Intel_by_KELA) February 11, 2021
Nie wiadomo, ile dokładnie zapłacono ani kto postanowił wykupić kody źródłowe. Dodatkowy problem wiąże się z wyciekiem pozostałych dokumentów. Deklarując, że nie będzie rozmawiał z hakerami, CD Projekt uspokajał też, że dane graczy, użytkowników usług grupy oraz (eks-)pracowników są bezpieczne.
To our ex employees: As of this moment, we don't possess evidence that any of your personal data was accessed. However, we still recommend caution (i.e. enabling fraud alerts). If you have questions, please write to our Privacy Team dpo[at]https://t.co/0UUMoqT5tF
— CD PROJEKT RED (@CDPROJEKTRED) February 9, 2021
Z drugiej strony kolejne źródła potwierdzają, że zatrudnieni w firmie muszą teraz wymieniać dowody i mają poważne obawy co do bezpieczeństwa swoich danych. Jak pisze Marcin Kosman, autor m.in. „222 polskich gier, które warto znać”, już pojawiły się pierwsze próby wyłudzenia kredytów z wykorzystaniem danych, którymi dysponował CD Projekt. Kłopotów spodziewają się także byli pracownicy.
Wygląda też na to, że rzecz dotyczy np. danych byłych pracowników https://t.co/vCs98bcG5c, firmy powiązanej z CDPR. Czyli na przykład mnie. O tym wszystkim dowiaduję się niestety od osób trzecich, a nie z miejsca wycieku. Uroczy poranek. @niebezpiecznik @Zaufana3Strona
— Marcin Kosman (@Kosowsky_) February 11, 2021
O dalszym rozwoju sprawy będziemy informować. Póki co pewne jest, że prace nad łataniem Cyberpunka 2077 zostały spowolnione. Sprawą ataku zajmuje się prokuratura, ale jak w rozmowie z PolskiGamedev.pl mówił Grzegorz Zajączkowski, lider cyfryzacji Komisji Europejskiej, „szanse na zidentyfikowane sprawców są marne”.
