Grzegorz Zajączkowski, lider cyfryzacji Komisji Europejskiej tłumaczy, jak właściwie doszło do ataku.
Rankiem CD Projekt poinformował o kradzieży dokumentacji spółki, a także kodów źródłowych Cyberpunka 2077, Gwinta oraz „niewydanej wersji Wiedźmina 3”. Równocześnie zastrzegł, że „naruszone systemy nie zawierały żadnych danych osobowych graczy” i użytkowników GOG-a.
Szantażyści zagrozili upublicznieniem plików, wzywając studio do rozmów. Warszawiacy odpowiedzieli jednak, że nie ugną się przed ich żądaniami.
Gdy pytam o sposób ataku Grzegorza Zajączkowskiego, lidera cyfryzacji Komisji Europejskiej, ten odpowiada:
– Kody źródłowe trzyma się w zabezpieczonych hasłami repozytoriach. Nie wiem, co dokładnie zawiodło w CD Projekcie, że osoba z zewnątrz uzyskała do nich dostęp. W takich sytuacjach może się zdarzyć – na przykład – że były programista miał szeroki dostęp do repozytoriów, odszedł i ktoś nie zablokował jego konta.
Jeśli jednak wierzyć oświadczeniu spółki, przełamano konta administracyjne, a więc prawdopodobnie zawinili nawet nie tyle programiści, ile administracja infrastruktury CD Projektu. Najwidoczniej pojawiły się jakieś niedookreślone punkty słabości, które umożliwiły przechwycenie haseł i dostęp do systemu.
Szanse na namierzenie sprawców określa jednak jako „marne”. Dopowiada także, że data ataku (9 lutego obchodzimy Dzień Bezpiecznego Internetu) bynajmniej nie jest przypadkowa.
Skontaktowaliśmy się również z Adamem Sanockim, rzecznikiem prasowym Urzędu Ochrony Danych Osobowych. W lakonicznym oświadczeniu rzecznik potwierdza, że do instytucji wpłynęło dziś zgłoszenie naruszenia ochrony danych od spółki.
„Sprawa jest obecnie analizowana przez UODO, a ewentualne dalsze czynności będą zależały od jej okoliczności”.
Znaczy to tyle, że prawdopodobnie zagrożone są dane osobowe pracowników studia. Zajączkowski studzi jednak nadzieje – UODO raczej nie przysłuży się zażegnaniu kryzysu.
– Jak będzie wyglądało zaangażowanie urzędu? Ono w żaden sposób nie będzie wyglądało. CD Projekt musiał zgłosić wyciek danych osobowych pracowników, bo takie są przepisy RODO. Natomiast sam urząd może i ma narzędzia prawne, by w takiej sytuacji zareagować, ale nie ma narzędzi technicznych. Tymczasem spółka potrzebuje kogoś, kto mógłby namierzyć kod źródłowy i usunąć go z zewnętrznego źródła, co uważam za mało możliwe.