Non è stato bucato Rockstar Games. Non è stato bucato Snowflake. È stato compromesso il fornitore SaaS che monitorava i costi cloud di Rockstar, e attraverso di lui gli attaccanti sono entrati nell’ambiente Snowflake del produttore di GTA come se fossero un servizio interno legittimo. L’11 aprile 2026, ShinyHunters ha pubblicato sul proprio dark web leak site la rivendicazione dell’attacco, fissando al 14 aprile la scadenza per il pagamento o la pubblicazione dei dati. Ma la storia di Rockstar è solo la punta dell’iceberg: il gruppo rivendica l’accesso ai dati di oltre 400 organizzazioni collegate a integrazioni Salesforce, in quella che si configura come una delle campagne di esfiltrazione dati più sistematiche del 2026.
Il vettore: Anodot come cavallo di Troia
Il punto di ingresso non è stato né Rockstar Games né Snowflake direttamente, ma Anodot, una piattaforma SaaS specializzata nel monitoraggio dei costi cloud e nell’anomaly detection per infrastrutture enterprise. Rockstar utilizza Anodot per la governance dei costi sulla propria infrastruttura cloud, e questo ha creato una superficie di attacco inaspettata: ShinyHunters ha compromesso l’infrastruttura di Anodot, estratto i token di autenticazione Snowflake presenti nei dati di configurazione del cliente, e li ha utilizzati per accedere all’ambiente Snowflake di Rockstar con credenziali del tutto legittime agli occhi dei sistemi di controllo.
Il meccanismo è elegante nella sua semplicità: un tool di monitoraggio dei costi cloud deve per definizione avere accesso in lettura alle metriche e ai dati dell’infrastruttura monitorata. Quei token di accesso — validi, non scaduti e provenienti da un IP “conosciuto” — sono diventati le chiavi del regno. I team di sicurezza di Rockstar, abituati a vedere traffico normalizzato da Anodot, non hanno rilevato anomalie per un periodo significativo. Quando l’esfiltrazione è stata individuata, ShinyHunters aveva già portato a termine l’operazione.
I dati in gioco: da GTA Online ai contratti riservati
La portata potenziale dell’esfiltrazione da Rockstar è notevole. I database Snowflake di una società come Rockstar Games contengono strati di dati estremamente sensibili: record finanziari di GTA Online e Red Dead Online, incluse le microtransazioni di decine di milioni di giocatori globali; dati di profilazione geografica e di spesa degli utenti; timeline di marketing interno con dettagli su lanci di prodotto futuri — GTA 6 su tutti — e, potenzialmente, contratti con Sony, Microsoft, doppiatori e label musicali. Se questi ultimi materiali fossero pubblicati, le implicazioni andrebbero ben oltre una multa GDPR: negoziazioni attive su IP, compensi e accordi esclusivi potrebbero essere compromesse.
Rockstar Games ha confermato l’incidente in una dichiarazione breve e misurata, affermando che l’attacco “non ha alcun impatto sulla nostra organizzazione o sui nostri giocatori”. Una posizione che i ricercatori di sicurezza hanno accolto con cauto scetticismo: le conseguenze di una breach su dati di questa natura raramente sono immediate o visibili, e tendono a manifestarsi nei mesi successivi sotto forma di leak mirati, manipolazioni di mercato o negoziazioni pilotate da materiale riservato.
La campagna allargata: 400+ organizzazioni nell’ecosistema Salesforce
Il caso Rockstar non è isolato ma fa parte di una campagna sistematica. ShinyHunters rivendica l’accesso ai dati di oltre 400 organizzazioni legate a integrazioni Salesforce, in quella che appare come un’operazione metodica contro l’ecosistema di fornitori SaaS interconnessi che gestiscono dati enterprise critici. Tra i nomi emersi figurano Cisco, la telco canadese Telus, l’operatore olandese Odido, e — in modo ancora non verificato indipendentemente — riferimenti a dati della Commissione Europea.
Due casi documentati nei giorni precedenti all’annuncio su Rockstar illustrano la dimensione operativa: Marcus & Millichap, società immobiliare statunitense quotata in borsa, ha visto rivendicata l’esfiltrazione di oltre 30 milioni di record Salesforce contenenti dati personali (PII); Abrigo, fornitore di software per il settore bancario, conta 1,7 milioni di record Salesforce potenzialmente compromessi. Entrambe le rivendicazioni portano la stessa firma e la stessa scadenza del 14 aprile 2026. La serialità dell’operazione suggerisce un accesso strutturale all’ecosistema Salesforce, probabilmente attraverso uno o più fornitori di integrazione condivisi.
ShinyHunters: anatomia di un’operazione di estorsione seriale
ShinyHunters non è un gruppo improvvisato. Attivo almeno dal 2020, il collettivo ha costruito un curriculum di breach di alto profilo che include la violazione di Ticketmaster (560 milioni di record nel 2024), Santander Bank, AT&T e decine di altre organizzazioni. Il modello operativo è consolidato e ripetibile: compromissione silenziosa dell’infrastruttura target o di un suo fornitore, esfiltrazione dei dati, pubblicazione della rivendicazione su dark web leak site con scadenza ravvicinata pensata per massimizzare la pressione psicologica sul management della vittima.
La scelta di attaccare la filiera dei fornitori SaaS — piuttosto che i target diretti — è una evoluzione tattica significativa e preoccupante. Strumenti come Anodot, che gestiscono token e credenziali di accesso ai dati cloud delle proprie aziende clienti, sono nodi ad altissimo valore nella catena di fornitura digitale. Un singolo breach di un fornitore SaaS condiviso può moltiplicare esponenzialmente il numero di vittime downstream, esattamente come accade negli attacchi alla supply chain software.
Raccomandazioni: gestire il rischio della fiducia transitiva
Il caso Rockstar-Anodot-Snowflake è un caso di studio esemplare sul concetto di fiducia transitiva non controllata. Quando si delega l’accesso ai propri dati a un fornitore terzo, si estende implicitamente la propria superficie di attacco all’intera catena di sicurezza di quel fornitore. Le misure difensive prioritarie includono: adozione di token di accesso a scope minimo e breve durata con rotazione automatica; IP allowlisting per le credenziali di accesso ai data warehouse; abilitazione obbligatoria di MFA anche per gli account di servizio Snowflake; monitoraggio del volume e dei pattern di query per identificare esfiltrazione massiva; e una procedura sistematica di vendor security assessment che includa evidenze SOC2 Type II e penetration test annuali prima di concedere accesso a dati sensibili.
La domanda che ogni CISO con integrazioni SaaS attive dovrebbe porsi oggi è semplice: sapete esattamente quali fornitori terzi hanno accesso — diretto o indiretto — ai vostri dati cloud? Avete verificato la loro postura di sicurezza di recente? E soprattutto: se uno di loro venisse compromesso domani, sareste in grado di revocare immediatamente l’accesso? La risposta a queste tre domande definisce la differenza tra una gestione proattiva del rischio di terze parti e la prossima vittima di ShinyHunters.