Об уязвимости, судя по всему, было известно ещё в январе.
В конце апреля в сеть попал ролик с сюжетными спойлерами к The Last of Us Part II. Позднее в Sony сообщили, что нашли виновников, но не уточнила, кто именно слил видео.
3 мая Джейсон Шрайер в своём Твиттере рассказал, как могла произойти утечка. По словам журналиста, хакеры могли получить доступ к серверам Naughty Dog, воспользовавшись уязвимостью в патче к одной из игр студии.
Ок, после разговора с двумя людьми, которые точно знают, как произошла утечка, и несколькими сотрудниками Naughty Dog, у меня появилась хорошая версия того, как это случилось. Вкратце: хакеры нашли уязвимость в патче к более старой игре Naughty Dog и использовали её для доступа к серверам студии.
Я думаю, что ролик, который попал в сеть — это фрагмент игры разработчиков в один из ранних билдов (сам я его не смотрел). Намного важнее то, что слухи, будто утечку устроил контрактный рабочий, которому не заплатили, не подтвердили (в Naughty Dog, на самом деле, увеличили плату и расширили программу здравоохранения для контрактны работников из-за Covid-19).
QA-тестировщик под ником PixelButts в своём Твиттере подробнее рассказал, как могла произойти утечка и какой уязвимостью, вероятно, воспользовались злоумышленники. По его словам, для каждой игры Naughty Dog рано или поздно выходит «финальный патч», который включает в себя ключ Amazon AWS, который позволяет получить доступ к серверам. Для каждого тайтла ключ свой.
По словам PixelButts, об уязвимости было известно ещё в январе 2020-го, но ролики утекли в сеть лишь в апреле. Более того, в конце месяца Naughty Dog устранила уязвимость так, что не один из ключей хакеров не подходил — это значит, что у студии всегда была возможность исправить проблему.
PixelButts утверждает, что общался напрямую с теми, кто пользовался уязвимостью, чтобы получать данные с серверов разработчиков. Однако, по его словам, его источники не сливали информацию в сеть. Скорее всего, это сделала другая группа хакеров, с которыми источники PixelButts делились ключами.
