"Tieners gaan steeds verder in hun zoektocht naar faam": wie heeft GTA VI en Uber gehackt en waarom? 

Een onbekende hacker heeft gisteren authentieke en nog niet vrijgegeven beelden gedeeld van het langverwachte videospel Grand Theft Auto VI (GTA VI). Rockstar Games, de uitgever van het populaire videospel, bevestigt dat het gehackt werd en dat iemand "vertrouwelijke informatie van haar systemen heeft gedownload".

"Dit is opmerkelijk nieuws, want Rockstar staat er net om bekend om alles goed af te schermen", zegt Inti De Ceukelaire, van ethisch hackersbedrijf Intigriti. In het verleden zijn er wel al datalekken geweest, maar hacking bij het bedrijf is een primeur. 

Eind vorige week werd ook taxidienst Uber het slachtoffer van een online aanval. In een persmededeling geeft het bedrijf aan dat de hacker op het eerste gezicht geen toegang zou gehad hebben tot vertrouwelijke gebruikersinformatie, zoals bankgegevens, maar dat hij wel interne communicatieberichten heeft gedownload. Hij zou ook toegang gehad hebben tot de toepassing die de financiële dienst van het bedrijf gebruikt om facturen op te maken.

Opmerkelijk: volgens Uber werden zij het slachtoffer van dezelfde persoon die Rockstar Games heeft gehackt. Ook de hacker zelf beweert dat hij achter beide aanvallen zit. "Maar dat moeten we met een korrel zout nemen", waarschuwt De Ceukelaire. "Het zou gaan om een 18-jarige jongeman, maar het gaat om een anonieme gebruiker, dus noch zijn leeftijd of geslacht, noch zijn daden kunnen geverifieerd worden."

"Ik ben zelf toevallig ook actief bij Uber, maar dan als ethisch hacker en kreeg vorige vrijdag een mail dat het bedrijf gehackt was door iemand die op het sociale mediakanaal Telegram de gebruikersnaam "Teapots2022" hanteerde." 

De zelfverklaarde hacker van Rockstar Games noemt zichzelf op het forum van Grand Theft Auto "UberTeapotHacker", maar ook dat is volgens De Ceukelaire geen garantie dat het om dezelfde persoon gaat. "Het zou ook een copycat kunnen zijn, die probeert mee te surfen op het succes van de Uber-hacker." 

Het is dus nog lang niet duidelijk wie er precies achter de aanvallen zit, maar ook naar het motief is het voorlopig gissen. Voor veel hackers is geld een motief, maar volgens De Ceukelaire valt er op het eerste gezicht weinig te rapen bij het hacken van Rockstar Games.

"De hacker zou de broncode van het spel bemachtigd hebben, die zou waardevol kunnen zijn voor mensen die 'cheats' willen ontwikkelen voor het spel of mensen die zelf extra werelden, personages of items in het spel creëren, maar die beschikken vaak niet over heel veel middelen." Indien het motief van de hacker geld zou zijn, zou die voor zo'n code heel veel geld vragen, want anders is het het risico niet waard.

Wie dat soort bedragen wel zou kunnen neerleggen, zijn concurrerende spelontwikkelaars, maar zij kunnen niet zomaar met die code aan de slag, want de kans bestaat dat iemand dat ontdekt en dan worden ze beschuldigd van plagiaat. Bovendien kan je zo'n code niet zomaar verkopen. De Ceukelaire vergelijkt het met het doorverkopen van een gestolen kunstwerk op de zwarte markt. "Al zijn er voor zulke kunstwerken waarschijnlijk nog meer potentiële kopers dan voor zo'n broncode."

Een andere optie - en een meer gangbare manier - om geld te verdienen met hacken is chantage. Heel veel mensen spelen GTA online en hun gegevens zijn misschien wel waardevoller dan die broncode. Het zou niet de eerste keer zijn dat een bedrijf veel geld betaalt om de persoonlijk gegevens van hun klanten geheim te houden. 

"Het is daarom belangrijk om nu zo snel mogelijk te weten welke gegevens er precies bemachtigd zijn", aldus de Ceukelaire. "Iedereen focust zich op die broncode, maar misschien was dat niet het echte doel." Hij sluit dan ook niet uit dat Rockstar Games de komende dagen alsnog een vraag om losgeld zou krijgen.

Uber zegt dat bij hen op het eerste gezicht geen persoonlijke gegevens gestolen zijn, maar ook die uitspraak moeten we volgens De Ceukelaire met een korrel zout nemen. "Bedrijven kiezen er vaak voor om onmiddellijk dergelijke uitspraken te doen, maar daarin valt meestal op dat ze zeggen: "Er is nog geen bewijs dat ... " of "op het eerste gezicht blijkt ...". Dat is in deze niet anders."

Via sociale media circuleren screenshots waaruit men kan afleiden dat de Uber-hacker wel degelijk persoonlijke gegevens heeft bemachtigd:

In een persmededeling zegt Uber dat het in dit dossier nauw samenwerkt met de FBI en het Amerikaanse ministerie van Justitie. Als schuldige wijst het taxibedrijf naar het beruchte hackerscollectief Lapsus$. Een groep die eind 2021 bekend werd nadat ze het Braziliaanse ministerie van Volksgezondheid had gehackt en daarna ook succesvolle aanvallen pleegde op Samsung, Microsoft en Nvidia.

In maart 2022 diende de Britse politie het collectief echter een stevige klap toe. In Londen arresteerde de politie 7 jongeren van tussen de 16 en 21 jaar oud. Ze zouden lid geweest zijn van Lapsus$, twee van hen werden ook aangehouden en werden beschuldigd van hacking. Onder hen ook de vermoedelijke leider die op dat moment slechts 16 jaar oud was.

De Ceukelaire sluit de betrokkenheid van Lapsus$ bij de hacking van Uber en Rockstar Games niet uit, maar wijst er ook op dat zij niet de enige actieve hackers zijn: "In 2011 was er bijvoorbeeld de groep LulzSec - ook een collectief van jonge Britten - die roem wist te vergaren door de website van de FBI te hacken."

Want daar gaat het vaak om: roem. Tieners met verstand van informatica kijken op naar de acties van groepen als Lapsus$ en LulzSec en willen ook iets betekenen in dat wereldje. Daarom gaan ze steeds verder in hun eigen acties om opgemerkt te worden. De Ceukelaire vergelijkt het met de rekrutering binnen terroristische organisaties: wie het verste durft gaan, wordt het snelste opgemerkt.

Zowel de hacker van Uber als die van Rockstar maakte zichzelf zeer snel bekend. "Vanuit het standpunt van een hacker is zoiets niet verstandig", zegt De Ceukelaire. "Normaal gezien probeer je net zo lang mogelijk verborgen te blijven om zo veel mogelijk info te kunnen bemachtigen, maar als je op zoek bent naar naam en faam is het natuurlijk wel interessant om op korte tijd heel wat aanvallen te lanceren en die zo snel mogelijk op te eisen."

Het zijn die groepen jonge hackers die volgens hem misschien wel het grootste gevaar vormen voor bedrijven en overheden. "De meeste hackers hebben een monetair doel of zijn op zoek naar zeer gerichte info, maar deze jongeren doet het gewoon voor de kick en de roem. Een hacker die op zoek is naar geld zal nooit de Amerikaanse overheid hacken en een nucleaire waarschuwing uitsturen, maar wie weet waartoe deze jongeren - die niet altijd even logisch nadenken - bereid zijn in hun zoektocht naar naam en faam?"