Rockstar被78.6M記錄打臉：黑客沒碰服務器，從"成本管家"溜進去的

7860萬條記錄，4月14日全掛網上。GTA Online每年5億美元營收、PS5單周449萬美元流水、玩家峰值1540萬——這些本該鎖在Snowflake倉庫里的數字，現在成了黑客的免費廣告。

Rockstar Games這次栽得有點冤。攻擊者ShinyHunters根本沒碰Rockstar的服務器，而是從一家叫Anodot的第三方SaaS平臺"借道"進去的。這家做AI云成本監控的公司，本來是幫Rockstar省錢的"成本管家"，結果變成了黑客的VIP通道。

攻擊路徑堪稱教科書級的供應鏈迂回：Anodot系統里提取認證令牌→偽裝成合法內部服務→大搖大擺走進Rockstar的Snowflake數據倉庫。

Snowflake本身沒漏洞，令牌給的信任太真，監控最初都沒響。這種"借身份"的打法，比暴力破解省事多了。

時間線：4月4日就有信號，沒人當回事

Anodot其實早發現了異常。4月4日，他們的數據收集器在多個區域離線，包括Snowflake、Amazon S3、Amazon Kinesis。這相當于"管家"報告"幾個房間的監控攝像頭壞了"，但沒人聯想到有人正在復制鑰匙。

等Rockstar反應過來，ShinyHunters已經在暗網明碼標價。4月11日，黑客在其泄露站點發帖：「Rockstar Games！你們的Snowflake實例通過Anodot.com被攻陷。付錢，否則泄露。」

勒索信還附帶"售后服務"威脅：「這是最后通牒，4月14日前聯系，否則泄露外加一些煩人的（數字）麻煩。」Rockstar選擇按全球執法機構的建議拒付贖金，ShinyHunters隨即向BBC確認將公開數據。

泄露了什么：錢的事全漏了，人的事沒漏

7860萬條記錄，本質是GTA Online和Red Dead Online的多域分析數據集。翻譯成人話：玩家行為、消費模式、平臺分布——運營團隊每天盯著看的那些儀表盤，原樣打包送給了互聯網。

具體數字相當赤裸：

GTA Online年營收約5億美元，每周鯊魚卡（游戲內貨幣）賣出730萬美元，GTA+訂閱再貢獻230萬。PS5是頭號現金牛，單周流水449萬美元，周活347萬；Xbox Series X以187萬美元周流水、對應周活數位居第二。

玩家活躍度方面，GTA Online平均周活990萬，峰值沖到1540萬；Red Dead Online相對冷清，平均周活約97萬。

但Rockstar強調了幾遍：沒有玩家密碼、沒有支付信息、沒有個人身份信息、沒有源代碼、沒有GTA 6開發資產。泄露的是"業務數據"，不是"安全數據"。

對玩家來說，賬號沒風險；對競爭對手和分析師來說，這份運營手冊價值連城。

ShinyHunters的打法：專挑"中間商"下手

這個黑客組織的名聲，建立在一種特定偏好上：供應鏈樞紐、身份系統、API密鑰、第三方集成。他們不挖0day，不撞庫，專找"誰連了誰"的信任鏈條下手。

邏輯很直白——直接攻堡壘太難，但堡壘總要開門收快遞、通水電、接監控。Anodot這種"基礎設施的基礎設施"，就是完美的跳板。

這次事件里，令牌提取→橫向移動→數據滲出，全程沒觸發傳統入侵檢測。直到Anodot的收集器大面積離線，才留下一個事后看很明顯的腳印。

Rockstar的聲明給多家媒體，包括Kotaku和IGN：「我們確認，與第三方數據泄露相關的有限非核心公司信息被訪問。此事件對我們的組織或玩家沒有影響。」

"非核心"是個有趣的定性。營收結構、平臺占比、用戶生命周期價值——這些在財報里要么模糊帶過，要么根本不提。現在全攤開了。

行業啟示：你的"成本管家"可能是別人的后門

Snowflake這類數據倉庫的商業模式，天然鼓勵廣泛集成。客戶連得越多，價值越大，攻擊面也越寬。Anodot不是唯一一家做云成本監控的，類似的SaaS工具在大型企業里動輒幾十上百個。

每個集成點都是潛在的令牌泄露點。而令牌一旦被盜，日志里看起來就是"正常訪問"——直到你發現數據在往外流。

Rockstar的應對符合標準劇本：不付贖金、公開定性、切割影響范圍。但7860萬條記錄已經在外，競爭對手拿著這份運營數據能做什么，沒人能預測。

一個細節值得玩味：泄露數據精確到PS5和Xbox Series X的周流水對比，卻沒提PC和舊世代主機。是數據本身就不全，還是Rockstar對不同平臺的數據權限管理有差異？

ShinyHunters的勒索信里那句"煩人的（數字）麻煩"最終沒有兌現——至少目前沒看到DDoS或篡改攻擊。也許他們只是想要錢，也許更大的籌碼還沒打出來。

當你的云成本監控工具報警時，你首先想到的是"又超預算了"還是"有人正在復制我的數據"？