Ubisoftun
Rainbow Six Siege oyunu, oyun içi sistemlerin kötüye kullanıldığı ciddi bir ihlalle gündeme geldi. Oyunculardan paylaşılan ekran görüntüleri ve raporlara göre saldırganlar, Ubisoftun dahili moderasyon ve ekonomi sistemlerine erişerek oyunda ciddi manipülasyonlar yaptı.
Saldırı sırasında oyuncuların
banlanıp banlarının kaldırılabildiği, ban bildirim ekranında
sahte mesajlar gösterildiği, tüm oyunculara yaklaşık
2 milyar R6 Credits ve Renown dağıtıldığı ve geliştiriciye özel olanlar dahil
tüm kozmetik eşyaların açıldığı görüldü. R6 Credits gerçek parayla satılan bir para birimi olduğu için, dağıtılan miktarın teorik değeri milyonlarca dolara denk geliyor.
Ubisoft, Cumartesi sabahı resmi Rainbow Six Siege hesabı üzerinden sorunu doğruladı ve kısa süre sonra hem oyunu hem de oyun içi Marketplacei
bilerek kapattı. Şirket, ekiplerin sorunu çözmek için çalıştığını açıkladı.
Daha sonra yapılan güncellemede, oyuncuların bu süre içinde harcadığı krediler nedeniyle
cezalandırılmayacağı, ancak
11:00 UTCden sonra yapılan tüm işlemlerin geri alınacağı belirtildi. Ayrıca ban ekranında görülen mesajların Ubisoft tarafından oluşturulmadığı ve bu sistemin daha önce zaten devre dışı bırakıldığı ifade edildi.
Şu ana kadar Ubisoft, ihlalin
nasıl gerçekleştiğine dair teknik bir açıklama yapmış değil. Sunucuların hâlâ kapalı olduğu ve oyunun kademeli olarak geri getirileceği söyleniyor.
Olayın ardından daha büyük bir sızıntı yaşandığına dair
iddialar da ortaya atıldı. Bazı gruplar, Ubisoft altyapısına
MongoDBde yakın zamanda açıklanan
CVE-2025-14847 (MongoBleed) adlı açık üzerinden girildiğini iddia ediyor. Bu açığın, kimlik doğrulama olmadan bellek sızıntısına yol açabildiği biliniyor ve internette çalışan bir PoC de mevcut.
İddialara göre:
Bir grup sadece Rainbow Six Siege servislerini manipüle ettiğini, kullanıcı verisine erişmediğini söylüyor
Başka bir grup, MongoDB üzerinden Ubisoftun dahili Git depolarına ulaşıp yıllara yayılan kaynak kodu çaldığını iddia ediyor
Ayrı bir grup ise kullanıcı verilerinin çalındığını ve fidye talep edildiğini öne sürüyor
Ancak bu iddiaların
hiçbiri bağımsız olarak doğrulanmış değil. Şu an için kesin olan tek şey, Ubisoftun
oyun içi istismarı kabul ettiği, fakat daha geniş çaplı bir veri ihlaline dair
kanıt olmadığı.
Özetle: Rainbow Six Siege tarafında ciddi bir iç sistem istismarı yaşandı, ekonomi ve moderasyon geçici olarak kontrolden çıktı. Daha büyük bir sızıntı olup olmadığı ise şu an için söylentiden ibaret. Ubisofttan gelecek teknik açıklama belirleyici olacak.