El pasado mes de febrero, CD Projekt sufrió un ataque de ransomware que permitió a los 'hackers' hacerse tanto con datos personales como con el código fuente de los videojuegos que han desarrollado (como la saga 'Witcher', 'Gwent' o el popular y polémico 'Cyberpunk 2077'). Ahora, todos esos datos están disponibles en Internet.
El ataque se llevó a cabo haciendo uso de un software conocido, al igual que sus desarrolladores, como HelloKitty (basado a su vez en otro malware preexistente llamado DeathRansom, con el que los antivirus tienden a confundirle) y tuvo motivaciones puramente lucrativas, si bien en las primeras horas se especuló con la teoría de que pudiera estar detrás un grupo de fans enfurecidos tras el lanzamiento de Cyberpunk 2077.
Los datos, disponibles en Internet
Pues bien: CD Projekt ha reconocido hoy en un comunicado que al menos parte de la información extraída de sus servidores está disponible en la Dark Web, y que podría incluir datos personales sobre empleados y contratistas, por lo que ya se han puesto en contacto con la policía polaca y con la Europol:
"Aún no podemos confirmar el contenido exacto de los datos en cuestión, aunque creemos que pueden incluir detalles antiguos y/o actuales de empleados y contratistas, además de otros relacionados con nuestros juegos. Tampoco podemos confirmar si los datos involucrados pueden haber sido manipulados tras el ataque".
El usuario que lo ha publicado, en cualquier caso, afirma que entre la información publicada había documentos contables y legales, e información sobre la plantilla y sobre las relaciones con los inversores.
Dicho usuario no tiene por qué ser un miembro de HelloKitty, pues este grupo afirmó haber vendido la información hace meses: de hecho, otro grupo llamado PayLoad Bin ya publicó recientemente los 364 GB de datos del código fuente de la totalidad del catálogo de CD Projekt.
La compañía desarrolladora de videojuegos se ha puesto en contacto también con la autoridad de protección de datos polaca, y ha anunciado la implementación de nuevas medidas de seguridad para evitar que vuelva a darse otro caso como este:
"También nos gustaría afirmar que, independientemente de la autenticidad de los datos que circulan, haremos todo lo que esté a nuestro alcance para proteger la privacidad de nuestros empleados, así como de todas las demás partes involucradas. Estamos comprometidos y preparados para tomar medidas contra las partes que comparten los datos en cuestión".
