Rockstar被3年2次勒索：黑客這次沒碰游戲代碼

2022年9月，一個18歲少年用一部iPhone和一臺筆記本，從Rockstar的Slack頻道里拖走了90多段《GTA6》早期畫面。那次泄露讓R星損失了數百萬美元，也讓全球玩家提前看到了2025年才該見光的東西。

三年后，同一間公司又攤上了更大的麻煩。這次黑客沒碰游戲，而是直接攥住了公司的"賬本"。

4月初，安全研究員Cybersec Guru在監控暗網時發現， notorious黑客組織ShinyHunters在自家網站上掛出了一份"最后通牒"。目標正是Rockstar Games，截止日期：2026年4月14日。逾期不付贖金，數據公開，外加"若干令人頭疼的數字麻煩"。

Rockstar發言人向Cybersec Guru確認了 breach（安全入侵）屬實。但具體丟了多少數據、贖金開價多少，雙方都沒松口。所有談判都被鎖在暗網的加密頻道里，外人只能看到黑客單方面放出的狠話。

「Rockstar Games，你們的Snowflake實例是通過Anodot.com被攻破的。付錢，或者等著泄露。這是最后警告，4月14日前聯系我們?！?/b>——ShinyHunters在其網站聲明。

這段話里藏著兩個關鍵名字：Snowflake和Anodot。前者是云數據倉庫，后者是財務監控工具。黑客的入侵路徑，和2022年那個少年完全不同。

從"翻墻"到"刷卡進門"：黑客的作案手法升級了

2022年的泄露者靠的是社會工程學——冒充同事騙IT支持，一步步摸進內部系統。手法粗糙，但有效。最終英國警方在倫敦牛津郡逮捕了他，判處終身監禁（在 secure hospital 執行）。

ShinyHunters不玩這套。他們專挑第三方集成下手，像用偷來的門禁卡刷卡進樓，而不是砸窗戶。

具體路徑：Anodot作為財務分析工具，需要接入企業的Snowflake賬戶讀取數據。這種連接靠"認證令牌"維持——可以理解為一種長期有效的電子鑰匙。ShinyHunters沒攻破Snowflake的城墻，而是從Anodot這邊撬走了鑰匙，大搖大擺走進去。

這種攻擊模式在過去幾個月已經卷入了數十家企業。Spotify、Ticketmaster、AT&T的供應商環節都中過招。Rockstar只是最新一個被掛上恥辱柱的名字。

安全公司Mandiant和Snowflake官方去年就發過聯合警告：大量客戶因"憑證被盜"遭遇未授權訪問。問題不在Snowflake本身，而在企業如何管理那些連接到它的第三方工具。

換句話說，這是供應鏈攻擊的變體。黑客不再盯著 fortress（堡壘）的主門，而是檢查每一扇連進來的側門。

這次丟的"不是游戲畫面"，但可能更麻煩

2022年泄露的是開發中的游戲內容。玩家狂歡，R星肉疼，但傷害相對可控——東西已經做出來了，早晚要見人。

這次的情況更曖昧。ShinyHunters聲稱拿到的是"機密數據"，但明確排除了密碼和玩家敏感信息。從入侵路徑看，他們進的是Snowflake里的企業數據池，而非游戲引擎倉庫。

那里面可能有什么？財務流水、合同細節、員工信息、未公布的商業合作、收購談判記錄——任何一家上市公司都不想在暗網拍賣的東西。

Rockstar母公司Take-Two Interactive 2024財年營收53億美元，《GTA6》被押注為下一代印鈔機。這個節骨眼上，任何關于項目成本、時間表或內部分歧的泄露，都可能影響股價和投資者信心。

更現實的威脅是"數字麻煩"——黑客威脅中的另一項。這通常指DDoS攻擊、內部系統破壞，或者像2023年MGM度假村遭遇的那樣：鎖死關鍵系統，逼企業停擺談判。

對一家正在沖刺2025年發售窗口的游戲公司，生產中斷的代價遠高于數據泄露本身。

勒索軟件生態的"中間商"轉型

ShinyHunters的作案風格值得單獨拆解。他們不加密受害者文件（傳統勒索軟件的招牌動作），而是偷走數據，掛到暗網拍賣或直接向企業索要贖金。這種"純勒索"模式近年越來越主流。

更關鍵的是他們的"商業模式"。該組織被安全社區追蹤多年，早期以販賣數據庫訪問權限起家，后來轉向直接勒索。和LockBit、Cl0p等組織不同，ShinyHunters很少自己開發攻擊工具，而是擅長整合現成的漏洞利用鏈——這次就是Anodot-Snowflake的組合拳。

這種"輕資產"運營讓他們難以被定點清除。沒有固定基礎設施，沒有標志性惡意軟件，只有不斷輪換的暗網賬號和加密貨幣錢包。

他們的受害者名單橫跨多個行業：2021年微軟Xbox和Intel的合作伙伴數據、2022年AT&T 7000萬客戶記錄、2023年通用汽車車主信息。每次攻擊手法略有不同，但核心邏輯一致：找到最薄弱的第三方連接，提取憑證，橫向移動，打包數據，掛牌出售。

Rockstar的回應目前僅限于"確認被入侵"。沒有報警細節，沒有是否支付贖金的暗示，也沒有承諾加強安全措施。這種沉默在上市公司中常見——任何具體聲明都可能成為訴訟材料。

游戲行業的"供應鏈"正在變成"供應鏈攻擊鏈"

把視野拉寬，Rockstar的遭遇不是孤例。游戲行業正成為高價值目標，原因很直白：用戶基數大、支付系統復雜、第三方集成多、且對停機極度敏感。

2022年R星泄露后，同行們確實加強了內部訪問控制。但ShinyHunters的攻擊路徑暴露了新盲區：那些"必要"的外部工具——財務軟件、分析平臺、云服務——正在成為更隱蔽的入口。

游戲公司的技術棧尤其復雜。一個中型工作室可能同時使用：AWS/Azure/GCP混合云、Perforce代碼倉庫、Jira項目管理、Slack/Discord溝通、各種廣告和分析SDK、以及像Anodot這樣的財務監控。每一環都需要認證，每一環都可能成為斷點。

安全團隊的傳統思路是"加固 perimeter（邊界）"，但現代IT架構早已沒有清晰邊界。第三方工具就是業務本身，無法簡單切斷。

一些廠商開始推行"零信任"架構——默認不信任任何連接，持續驗證每一次訪問。但實施成本高，且與游戲開發的協作需求存在張力。當deadline壓頂時，安全審批往往是第一個被跳過的環節。

Rockstar的處境因此具有樣本意義。它足夠大，有資源投入安全；又足夠復雜，無法徹底消除第三方風險。2022年和2025年的兩次入侵，恰好映射了攻擊面的轉移：從"人"的漏洞，到"系統間連接"的漏洞。

4月14日的 deadline 距今已不足數日。ShinyHunters的歷史記錄顯示，他們確實會執行泄露威脅——2023年就有多家未支付贖金的企業數據被公開拍賣。

但即使Rockstar選擇付錢，也無法保證數據不被復制留存。暗網交易的規則就是沒有規則。

對于正在等待《GTA6》的玩家，這次事件可能不會直接影響發售日期。但如果泄露內容包含項目管理的內部細節——比如某個關鍵功能的反復延期、或某筆巨額外包支出的爭議——輿論場的風向可能瞬間轉變。

游戲行業的特殊之處在于：玩家對"幕后故事"的饑渴，讓任何內部泄露都具有雙重殺傷力。不僅是商業損失，還有敘事層面的失控。

2022年泄露后，R星被迫提前確認了《GTA6》的存在，打破了多年的沉默策略。這次如果財務或合同細節流出，可能迫使Take-Two在財報電話會上做出更多不情愿的披露。

黑客組織的聲明里有一句潛臺詞值得玩味："別成為下一個 headline（頭條）"。這既是威脅，也是諷刺——對一家以制造頭條為生的娛樂公司，被他人制造頭條是最失控的局面。

截至發稿，Rockstar未更新任何進展。暗網上的談判狀態外界無從得知。唯一確定的是：4月14日之后，要么一筆匿名交易悄然完成，要么某個 torrent 鏈接開始流傳。

游戲公司的安全團隊現在最想知道的可能是：我們的Anodot賬戶，檢查過了嗎？