Os criminosos afirmam ter roubado 780 GB de dados após acessar os sistemas da empresa de games Electronic Arts (EA). Os invasores destacam ter acesso a todos os serviços da EA e oferecem as informações em fóruns da dark web por US$ 28 milhões. Entre as informações que alegam ter roubado está o código-fonte de jogos como FIFA 21 e The Sims, bem como o motor gráfico Frostbite - que é utilizado em vários jogos da empresa (como Battlefield), assim como ferramentas de desenvolvimento e outras informações.
De acordo com o site Motherboard, que divulgou o ataque e os detalhes das informações oferecidas pelos criminosos, a EA confirmou que sofreu um vazamento de dados e que as informações afetadas são as que os criminosos afirmam ter em seu poder. Além disso, a empresa apontou que os criminosos não obtiveram acesso aos dados de nenhum usuário, portanto, não há risco à privacidade. A empresa também afirma ter feito melhorias na segurança e não espera que o incidente tenha impacto sobre os seus negócios.
A equipe do site BleepingComputer conversou com os responsáveis pelo ataque, que alegaram ter roubado o código-fonte completo de FIFA 21 e pontos usados como moedas virtuais no jogo. Questionados sobre como acessaram os sistemas, os invasores disseram que não dariam detalhes sobre o assunto.
Questionados sobre como acessaram os sistemas, os invasores disseram ao site Motherboard que conseguiram roubar os dados em partes, depois de enganar um funcionário por meio do Slack para que ele entregasse um token de acesso. O plano começou com a compra de cookies na internet por US$ 10 que foram usados para acessar um canal Slack utilizado pela EA, já que como o meio explica, os cookies podem salvar dados das credenciais de acesso de um usuário em particular e dar a um invasor o oportunidade de entrar nesse serviço como a pessoa legítima. Uma vez dentro do Slack, eles contataram um funcionário da área de suporte e, se passando por um usuário legítimo, fizeram o funcionário acreditar que havia perdido o telefone. Dessa forma, o invasor obteve o token de autenticação que lhe permitiu acessar a rede corporativa da EA.
Ataques à indústria de games
Os ataques à indústria de games não são uma novidade. Várias pesquisas realizadas pela ESET revelaram detalhes de campanhas de grupos sofisticados que, por meio de ataques à cadeia de suprimentos, tentaram afetar empresas de games, como foi o caso em 2019 com um ataque do grupo Winnti a desenvolvedores de games na Ásia com o objetivo de distribuir malware como parte de um software legítimo e, em 2020, com um novo backdoor. O mesmo ocorreu no início deste ano com a Operação NightScout, desta vez visando gamers.
Além desses ataques de alta complexidade, só em 2020 ocorreram vários casos de vazamentos de segurança envolvendo empresas de games: o caso da Capcom, que sofreu um ataque de ransomware e o vazamento de informações; o ataque à Valve em abril do ano passado, que levou ao vazamento do código-fonte de Counter Strike e Team Fortress 2; o vazamento do código-fonte de jogos clássicos da Nintendo no que ficou conhecido como Gigaleak, além do comprometimento de 300 mil contas de usuários da Nintendo com informações pessoais.
Em 2020, um relatório da Akamai destacou que durante a pandemia, os ataques de credential stuffing contra empresas e usuários de games cresceram e que em um ano e meio houve quase 10 bilhões de tentativas desse tipo de ataque.
O código-fonte e seu atrativo
A realidade é que existem vários motivos que podem explicar este crescimento no interesse de criminosos na indústria de games. Por exemplo, as grandes somas de dinheiro que esse setor movimenta tornam os desenvolvedores e usuários financeiramente interessantes para os invasores. Para se ter uma ideia do que esse setor representa em relação a outros setores de entretenimento, segundo dados da Goldman Sachs, a audiência de conteúdo de games em plataformas como YouTube ou Twitch é maior do que a registrada pelos consumidores da HBO, Netflix e ESPN juntas.
Alguns relatórios, como o recentemente elaborado pela BlackCloak, consideram como outra possível razão o fato das empresas do setor não operarem sob os mesmos padrões regulatórios que as financeiras ou de saúde, que têm a obrigação de desenvolver medidas de segurança para proteger os dados de seus usuários. Além disso, as péssimas práticas de segurança utilizadas na criação e gerenciamento de senhas pelos principais executivos de empresas de games, onde mais de 80% das senhas desses cargos circulam em texto simples em fóruns clandestinos da dark web.
O código-fonte pode ser comercializado junto com outros dados, mas também pode ser usado para criar cracks ou cheats. Estes últimos acabam dando lugar a um negócio muito lucrativo como este artigo da Vice mostrou recentemente, com lucros de cerca de US$77 milhões obtidos por criminosos através da venda de cheats.