Electronic Arts, eli tuttavallisemmin EA, on joutunut kyberrikollisten uhriksi. Yhtiön palvelimille hyökänneet hakkerit ovat saaneet käsiinsä oman ilmoituksensa mukaan useita pelien ja pelityökalujen lähdekoodeja, joista he ovat maininneet ainakin FIFA 21 -jalkapallopelin ja EA:n useissa peleissään käyttämän Frostbite-pelimoottorin. Kaiken kaikkiaan hakkerit ovat kertoneet saaneensa käsiinsä 780 gigatavun edestä dataa.
Aiemmin tänä vuonna hakkereiden kohteeksi joutuneesta CD Projektista poiketen EA:n tapauksessa kyse ei ollut ransomware-hyökkäyksestä, joka kryptaisi tietokoneiden sisältöjä ja pitäisi dataa panttivankina. Tarkempaa tietoa siitä, miten tämä hyökkäys sitten olisi suoritettu, ei ole.
EA on kertonut tutkivansa tilannetta ja on myöntänyt rajoitetun määrän pelien lähdekoodeja ja työkaluja päätyneen hakkerin käsiin. Pelaajien dataan hakkeri ei EA:n mukaan ole kajonnut, eikä pelaajien yksityisyyden suojan suhteen pitäisi EA:n mukaan olla sen myötä minkäänlaista riskiä. Yhtiö tutkii asiaa myös yhteistyössä viranomaisten kanssa.
Lähde: Vice
Kuva: EA@Twitter
En tiedä onko vain harha, vai onko ajan myötä yhä useampi taho tietomurron kohteena?
Mistä tämä tällainen johtuu? Onko tietosuoja nykyään heikompaa vai tuleeko näitä nykyisin vain julkiseen tietoon aikaisempaa enemmän?
On ja ei. Järjestelmät on monimutkasempia kun aikaisemmin joten reikiä ja/tai implementointi virheitä on useammassa paikassa. Hakkerit on osaavampia. Parempi rauta auttaa tietyntyyppisissä hyökkäyksissä ja varmaan ihan vaan sekin että näitä tehdään nykypäivänä vain enemmän. Kaikki tämä tietty johtaa siihen että julkisuuteen tulee myös enemmän caseja.
Aiemmin vain harvan yrityksen järjestelmät olivat kytkettynä internettiin (suoraan tai epäsuoraan). Nykyisin niitä on huomattavasti enemmän. Tuollainen saalistarjonta tarjoaa erilaisia mahdollisuuksia esim. rahan muodossa. Koska mikään järjestelmä tai sovellus ei ole täydellinen, virheitä sattuu ja niitä tulee sattumaan. Löydettyjä murtoja voidaan myydä eteen päin palveluissa kuten ZERODIUM – The Premium Exploit Acquisition Platform (maksimipalkkio per yksittäinen löytö on $1 000 000. Vaihtoehtoisesti löydettyä aukkoa voidaan huutokaupata mustassa pörseissä joissa rikollisten lisäksi shoppailuun osallistuvat myös eri maiden tiedosteluyksiköt. Kolmantena vaihtoehtona ovat puhtaat kiristykset (sis ransomwaren), jossa järjestelmien omistajaa kiristetään maksamalla lunnaita, muuten data tai varastettu tieto siirtyy muualle myyntiin tai muuhun "hyötykäyttöön" tms.
Suomeksi siis sanottuna niin kauan kun noista saa rahaa, niin kauan niitä tullaan tekemään.
Useita syitä
Organisaatiot kuten pelilafkat yms ovat nykyään isompia kuin ennen, ihminen on heikoin lenkki tietoturvassa = enemmän murtoja kuin ennen
Ohjelmistoalalla liikkuu paljon enemmän rahaa ja tietojärjestelmissä on paljon enemmän TODELLA arvokasta dataa tallennettuna kuin ennen, hakkeroinnilla on siis tehtävissä enemmän rahaa kuin ennen, joten yrittäjiä on enemmän = enemmän murtoja kuin ennen
Järjestelmät ovat vanhaa propertya, hakkerit ovat ehtineet tutustua niihin kymmeniä vuosia, joten haavoittuvuuksia ohjelmisto/rautapohjaisessa tietoturvassa tunnetaan entistä enemmän = enemmän murtoja kuin ennen
Rickpickable, tietoturva ei ole heikompaa. Tai tämä toki on tapauskohtaista, mutta yleisesti tietoturvan toteutuksen tasossa on menty parempaan suuntaan jatkuvasti. Jos julkisuuteen tulee tapauksia nykyään enemmän, niin syynä voi olla ihan sekin, että tietoturvaratkaisut ovat kehittyneet tasolle, jossa yhä useampi organisaatio tunnistaa joutuneensa hakkeroiduksi.
Myös esim. kryptolockerit ovat tyypiltään sellaisia haittaohjelmia, että uhri varmasti tietää tulleensä murretuksi. Arvelen että ennen tätä kryptolockerien aaltoa useampi hyökkäys jäi toteamatta, koska hyökkääjän tavoitteena oli esim. varastaa dataa. Tässä hyökkääjälle ei ole hyödyksi että kohde tietää tulleensa hakkeroiduksi, joten on pyritty siihen että asia ei kohteelle selviä.
GDPR tuli voimaan pari vuotta sitten. Se on asettanut EU:n aluella toimiville yrityksille vaatimuksen, että tietomurroista on ilmoitettava jos se koskee henkilötietoja. Kaliforniassa on joku samantapainen, mutta en tiedä speksejä siitä. Tämän tyyppiset lainsäädännöt lisäävät julkisuuteen tulevia tapauksia.
Voi käydä mikromaksut kalliiksi näin GDPR aikana.
EA yrityksenä ansaitsee kaiken paskan niskaansa.
Syitä on useita kuten tuossa aikaisemmin mainittiinkin, mutta useamman Fortune500:n softaprojektin toimittajana ollessani on tullut huomattua että edelleenkin +90% isoista korporaatioista tietoturva nähdään pakollisen pahana jossa juuri ja juuri ylitetään alin rima. Yleensä ketään ei edes kiinnosta onko tuote turvallinen vaan se että onko omat midmanagerit suojattuja vastuulta siinä tapauksessa kun kakka lentää tuulettimeen.
Yleensä prosessi toimii niin että hankitaan joku ulkoinen tietoturva/konsultti-firma tekemään audtiointi ja siitä saadaan sertifikaatti. Jos homma menee vituiksi niin voidaan todeta että oltiin noudatettu prosessia ja sertifikaattikin saatiin joten syytetään 3. osapuolta ja seuraavalla kerralla auditointi haetaan toiselta firmalta.
On muuten hyviä pelejä tehnyt esim 90, 2000 ja 2010 luvuilla.
Väittäisin jopa, että tämä on ihan ihmisille tyypillinen toimintatapa. Jos tarjolla ei ole porkkanaa (lisää fyffeä) vaan pelkkää keppiä (sakot/sanktiot), niin silloin tehdään vain pakollinen minimi.
Olen ollut kyllä softaprojekteissa mukana missä jengi haluaa olla oikeasti ylpeä tuotteestaan ja tekemästään työstä ja siihen käytetään enemmän aikaa ja resursseja kuin vaaditaan. Tämä toki vaatii sen ettei umpiahne upper management ole jatkuvasti läähättämässä niskassa epärealististen aikataulujen ja turhien ferature requestiensa kanssa.
Juu, toki joillekin vaikkapa ammattiylpeys tai mahdollisuus edetä uralla ovat mahdollisia motivaattoreita venymiselle, ei pelkkä raha. Olisi pitänyt laittaa "esim." tuohon fyffen eteen. Pörssiyhtiöillä pääsääntöisesti vaan ei ole muita motivaattoreita kuin tuloksen maksimointi kulut samalla minimoiden eikä taida kukaan ostaa enemmän vaikkapa EA:lta pelejä jos siellä olisi parempi tietoturva, joten se vedetään hyväksyttävimmällä minimillä.
@Raikku tämäpä se on… Ottaa päähän vaan minkäs tekis..
Minä boikotoin EA:ta 12 vuotta. Silti porskuttivat menemään. Meni hermot kun lopettivat NHL-pelien teon PC:lle aikoinaan.
Viime joulukuussa lopetin boikotin ja ostin Steamin alesta Madden NFL 21:n. Aina ei voi voittaa.
Mulla pitkä boikotti murtui kun julkaisivat C&C remasteredin, mutta selittelin asian itselleni niin että se oli vielä niitä pelejä jolloin EA ei ollut ihan korruptoitunut. Muuten kyllä boikotti pitänyt…paitti että nyt toi Mass Effect: Legendary edition kutittaisi ja onhan se oikeastaan Biowaren megahitti eikä niinku EA:n tai jotain…
Tuon onneksi sai Steamiin hankittua ilman mitään EA kikkareiden asennuksia/tilin luomisia, niin ei tuntunut ihan niin pahalta sitä ostaa, muuten boikotointi itsellä jatkuu normaalisti.