W wyniku cyberataku mogły zostać wykradzione informacje o byłych i obecnych zatrudnionych w grupie

Część osób prewencyjnie wymienia dowody osobiste i weryfikuje się w BIK. Sprawą zajmują się prokuratura oraz prezes UODO. W sieci wrze od plotek, że kody źródłowe gier komputerowych wykradzionych w ubiegłym tygodniu warszawskiej spółce CD Projekt zostały już zlicytowane na aukcji w dark webie (części internetu niedostępnej z poziomu zwykłej przeglądarki). Cena wywoławcza za pakiet danych zawierający m.in. „Cyberpunka 2077”, różne wersje „Wiedźmina 3: Dzikiego Gonu” oraz „Gwinta: Wiedźmińskiej gry karcianej” wynosiła 1 mln dol. Spekuluje się, iż można było zapłacić 7 mln. dol., żeby od razu zakończyć aukcję. Spółka zapytana przez nas o autentyczność wystawionych kodów źródłowych, nie odpowiedziała. Izraelska firma KELA zajmująca się cyberbezpieczeństwem twierdzi, że dane były prawdziwe.
Sprawą cyberataku zajmuje się już Prokuratura Rejonowa Warszawa-Praga Północ. Śledczy ustalili, że w wyniku ataku hakerskiego doszło do przełamania zabezpieczeń i haseł dostępowych, dzięki czemu rzeczywiście cyberprzestępcy uzyskali m.in. kody źródłowe produkowanych gier.
Część ekspertów zajmujących się cyberbezpieczeństwem ma wątpliwości, czy dane faktycznie zostały zlicytowane. Bo choć kody źródłowe popularnych produkcji oraz autorski silnik (środowisko programistyczne zaprojektowane do tworzenia gier) REDengine mogą być niewątpliwie łakomym kąskiem dla firm chcących kopiować rozwiązania wypracowane przez CD Projekt, to jednak cena za te dane wydaje się niektórym specjalistom zbyt wygórowana.
Ponadto Tomasz Zieliński, ekspert ds. cyberbezpieczeństwa i redaktor naczelny czasopisma „Informatyk Zakładowy”, uważa, że kupowanie cudzych kodów źródłowych nie miałoby większego sensu. Wszak oficjalnie i tak nie można byłoby komercyjnie wykorzystywać wykradzionych elementów gier. A zrozumienie cudzego kodu przez innych programistów może być niezwykle trudne. Zdaniem Zielińskiego istnieje jednak pewna obawa, że złodzieje mogą chcieć wyszukać podatności kodu np. „Cyberpunka 2077” i za ich pomocą atakować użytkowników grających w (dopiero zapowiedziany) tryb wieloosobowy tejże produkcji.
Na razie spółka zapewnia, że w wyniku cyberataku nie wyciekły żadne dane osobowe graczy. Przyznaje za to, że część wykradzionych dokumentów mogła zawierać informacje o zatrudnionych w całej grupie, w tym byłych pracownikach (także nieistniejącej już spółki wydawniczej CDP). Hakerzy w pozostawionej na serwerach CD Projektu notce twierdzili, że uzyskali dostęp m.in. do dokumentów podatkowych, administracyjnych, prawnych, kadrowych i dotyczących relacji inwestorskich. Z tego też powodu spółka zdecydowała się zgłosić incydent do prezesa Urzędu Ochrony Danych Osobowych.
Część byłych i obecnych pracowników wpadła w popłoch, że ich dane mogą posłużyć przestępcom np. do wzięcia kredytu lub pożyczki. Niektórzy wymieniają już dowody osobiste i weryfikują się w Biurze Informacji Kredytowej. Dotarła do nas informacja, że jeden z zatrudnionych otrzymał nawet telefon od banku w celu weryfikacji, czy to na pewno on wnioskuje o kredyt. Karolina Gnaś, dyrektor ds. relacji inwestorskich w CD Projekt, mówi nam jednak, że firma nie otrzymała żadnej potwierdzonej informacji, żeby ktoś z personelu został poszkodowany lub dochodziło do jakichkolwiek prób wyłudzania zobowiązań finansowych z wykorzystaniem ich danych osobowych. – Gdyby taka sytuacja wystąpiła, osoba poszkodowana powinna niezwłocznie zgłosić ten fakt policji – rekomenduje Gnaś. W ramach działań prewencyjnych spółka kontaktuje się z obecnymi i byłymi pracownikami, informując ich o możliwości i procedurach związanych z zastrzeżeniem i wymianą dokumentów tożsamości. Radzi im również aktywować usługi alertów dotyczących prób zaciągania zobowiązań przy wykorzystaniu ich danych osobowych.
Niektórzy spekulowali, że za atakiem na warszawską spółkę stoją gracze, którzy byli niezadowoleni ze słabego stanu technicznego „Cyberpunka 2077” w dniu premiery. Szef firmy produkującej oprogramowanie antywirusowe Emsisoft uważa jednak, że za kradzieżą stoi relatywnie nowa grupa hakerów o nazwie HelloKitty. Ma ona na koncie udany atak na CEMIG, brazylijskiego dostawcę energii, w listopadzie 2020 r.
Pakiet danych mógł zostać sprzedany za 7 mln dol.