Ubisoft устроила бесплатный донат-фестиваль

Неизвестные энтузиасты с руками не из плеч получили доступ к внутренним системам Ubisoft и начали играть в бога. Причём буквально. Банить, разбанивать, рисовать фейковые сообщения о наказаниях и, на сладкое, раздавать всем игрокам Rainbow Six Siege примерно по 2 миллиарда R6 Credits и Renown. Да, миллиардов. Да, всем. Да, бесплатно.

Для понимания масштаба: R6 Credits — это платная валюта, за которую обычно заносят реальные деньги. По официальному прайсу Ubisoft, 15 тысяч кредитов стоят почти сотку баксов. Два миллиарда — это около 13 миллионов долларов виртуального счастья на один аккаунт. Даже донатеры с легендарными скинами для разработчиков выглядели бедно на фоне этого цирка.

По соцсетям и форумам мгновенно разлетелись скриншоты: аккаунты с открытыми вообще всеми скинами, включая девелоперские и тестовые, бесконечный баланс валюты и бан-тикер, в котором крутились сообщения, явно написанные не Ubisoft. Кто-то банил стримеров, кто-то тут же их разбанивал, а кто-то просто наблюдал, как горит серверная реальность.

Ubisoft вышла в эфир относительно быстро и признала: да, мы в курсе, да, у нас проблемы, да, всё горит. В итоге компания просто выдернула вилку из розетки — Siege и Marketplace были намеренно отключены, пока инженеры бегали с огнетушителями по цифровым коридорам.

Позже Ubisoft выдала апдейт, который игроки перечитывали дважды, чтобы убедиться, что это не фейк. Во-первых, никого не будут наказывать за то, что он успел потратить «подаренные» кредиты. Во-вторых, все транзакции после 11:00 UTC будут откатаны. То есть потратил — не виноват, но всё равно вернут назад. Классическая философия «ты ничего не нарушил, но мы всё отменим».

Отдельно Ubisoft открестилась от бан-тикера, заявив, что сообщения там не их рук дело, а сам тикер вообще был отключён раньше. Про то, как злоумышленники получили к нему доступ, — тишина.

И тут начинается самая интересная часть — слухи, сплетни и инфосек-фольклор. VX-Underground и другие источники заявили, что происходящее может быть лишь верхушкой айсберга. По неподтверждённым данным, в дело мог пойти свежий MongoDB-баг под названием MongoBleed (CVE-2025-14847), который позволяет без аутентификации читать память открытых MongoDB-инстансов и вытаскивать ключи, креды и прочие секреты.

По этим же слухам, Ubisoft могли атаковать сразу несколько разных групп. Одни якобы ковыряли конкретно сервисы Rainbow Six Siege и игрались с банами и инвентарём, не трогая пользовательские данные. Другие, если верить заявлениям, якобы ушли глубже — в Git-репозитории Ubisoft, с кодом за десятилетия. Третьи вообще утверждают, что слили пользовательские данные и теперь хотят выкуп. Четвёртые говорят, что вторые всё это время и так имели доступ.

На данный момент всё это — шум, а не фактология. Ни MongoBleed, ни утечка исходников, ни слив пользовательских данных официально не подтверждены. Единственное, что точно известно: внутренние системы Rainbow Six Siege были скомпрометированы настолько, что атакующие могли управлять экономикой игры как админы на LAN-пати.

Ubisoft пока молчит о технических деталях, не объясняет вектор атаки и не говорит, был ли это один инцидент или целый зоопарк проблем. Серверы всё ещё лежат, комьюнити гадает, что именно откатят, а инфосек-твиттер уже записал это в топ игровых фейлов года.

Ирония ситуации в том, что для миллионов игроков это был самый щедрый ивент за всю историю Siege. Бесплатный доступ ко всему, ощущение бога на пару часов и понимание, что где-то внутри Ubisoft кто-то очень, очень не выспится.