CD Projekt kontra hakerzy. “Szanse na zidentyfikowanie sprawców są marne”

Grzegorz Zajączkowski, lider cyfryzacji Komisji Europejskiej tłumaczy, jak właściwie doszło do ataku.

Rankiem CD Projekt poinformował o kradzieży dokumentacji spółki, a także kodów źródłowych Cyberpunka 2077, Gwinta oraz “niewydanej wersji Wiedźmina 3”. Równocześnie zastrzegł, że “naruszone systemy nie zawierały żadnych danych osobowych graczy” i użytkowników GOG-a.

Szantażyści zagrozili upublicznieniem plików, wzywając studio do rozmów. Warszawiacy odpowiedzieli jednak, że nie ugną się przed ich żądaniami.

Gdy pytam o sposób ataku Grzegorza Zajączkowskiego, lidera cyfryzacji Komisji Europejskiej, ten odpowiada:

– Kody źródłowe trzyma się w zabezpieczonych hasłami repozytoriach. Nie wiem, co dokładnie zawiodło w CD Projekcie, że osoba z zewnątrz uzyskała do nich dostęp. W takich sytuacjach może się zdarzyć – na przykład – że były programista miał szeroki dostęp do repozytoriów, odszedł i ktoś nie zablokował jego konta.

Jeśli jednak wierzyć oświadczeniu spółki, przełamano konta administracyjne, a więc prawdopodobnie zawinili nawet nie tyle programiści, ile administracja infrastruktury CD Projektu. Najwidoczniej pojawiły się jakieś niedookreślone punkty słabości, które umożliwiły przechwycenie haseł i dostęp do systemu.

Szanse na namierzenie sprawców określa jednak jako “marne”. Dopowiada także, że data ataku (9 lutego obchodzimy Dzień Bezpiecznego Internetu) bynajmniej nie jest przypadkowa.

Skontaktowaliśmy się również z Adamem Sanockim, rzecznikiem prasowym Urzędu Ochrony Danych Osobowych. W lakonicznym oświadczeniu rzecznik potwierdza, że do instytucji wpłynęło dziś zgłoszenie naruszenia ochrony danych od spółki.

“Sprawa jest obecnie analizowana przez UODO, a ewentualne dalsze czynności będą zależały od jej okoliczności”.

Znaczy to tyle, że prawdopodobnie zagrożone są dane osobowe pracowników studia. Zajączkowski studzi jednak nadzieje – UODO raczej nie przysłuży się zażegnaniu kryzysu.

– Jak będzie wyglądało zaangażowanie urzędu? Ono w żaden sposób nie będzie wyglądało. CD Projekt musiał zgłosić wyciek danych osobowych pracowników, bo takie są przepisy RODO. Natomiast sam urząd może i ma narzędzia prawne, by w takiej sytuacji zareagować, ale nie ma narzędzi technicznych. Tymczasem spółka potrzebuje kogoś, kto mógłby namierzyć kod źródłowy i usunąć go z zewnętrznego źródła, co uważam za mało możliwe.