Rockstar Games, de maker van GTA 6, heeft een datalek bij een externe dienstverlener bevestigd. Daarbij is een beperkte hoeveelheid niet-essentiële bedrijfsinformatie buitgemaakt. Het incident is recent ontdekt en wordt onderzocht. Volgens het bedrijf is de impact op de dagelijkse werkzaamheden beperkt.
Beperkte schade bevestigd
Rockstar spreekt van een kleinschalig lek met alleen bedrijfsinformatie die niet cruciaal is. Het gaat om gegevens die niet direct raken aan de ontwikkeling of uitgave van games. De studio zegt maatregelen te hebben genomen om verdere toegang te blokkeren.
Het bedrijf benadrukt dat het lek buiten de eigen systemen heeft plaatsgevonden. De toegang verliep via een derde partij die diensten levert aan Rockstar. Verdere details over welke documenten of onderdelen zijn getroffen, zijn niet gedeeld.
Rockstar onderzoekt hoe de aanvaller binnenkwam en welke data precies zijn gekopieerd. Ook wordt gekeken of aanvullende beveiliging nodig is bij leveranciers. Dat is standaardpraktijk na een zogeheten supply-chain-incident, waarbij een partnerbedrijf de zwakke schakel blijkt.
“Een beperkte hoeveelheid niet-essentiële bedrijfsinformatie is buitgemaakt.”
Derdepartij als zwakke schakel
Bij veel technologie- en gamebedrijven staan niet alle documenten op eigen servers. Externe partijen beheren vaak marketingmateriaal, planningen of testomgevingen. Criminelen richten zich daarom steeds vaker op deze leveranciers.
De gamesector kreeg de laatste jaren vaker met zulke incidenten te maken. Bij eerdere hacks bij studio’s kwam vooral naar voren hoe afhankelijk ketens zijn van toeleveranciers. Elk extra systeem vergroot het aanvalsoppervlak, en daarmee het risico.
Beveiligingsmaatregelen richten zich daarom niet alleen op eigen netwerken. Bedrijven stellen hogere eisen aan partners, zoals versleuteling (gegevens onleesbaar maken) en multi-factor-authenticatie (inloggen met extra controle). Ook worden toegangsrechten beperkt tot wat strikt nodig is.
Geen gebruikersdata bevestigd
Rockstar meldt geen aanwijzingen dat klant- of spelersdata zijn geraakt. Het bedrijf spreekt alleen over “niet-essentiële” bedrijfsinformatie. Zolang dat zo blijft, zijn de gevolgen voor spelers waarschijnlijk klein.
Onder de Algemene verordening gegevensbescherming (AVG) moeten organisaties binnen 72 uur melding doen als er persoonsgegevens van EU-burgers zijn gelekt. Ook moeten betrokkenen worden geïnformeerd bij hoog risico. Op het moment van schrijven is er geen brede waarschuwing aan spelers gedeeld.
Toch is waakzaamheid verstandig. Na datalekken volgen vaak phishingmails die zich voordoen als klantenservice. Gebruikers doen er goed aan verdachte berichten te negeren en wachtwoorden te blijven beveiligen met unieke combinaties.
AVG en NIS2 verplichtingen
Als het lek alleen bedrijfsinformatie betreft, is de AVG mogelijk niet van toepassing. Zodra er wel persoonsgegevens in het spel zijn, gelden strenge eisen als dataminimalisatie (alleen verzamelen wat nodig is) en passende beveiliging, zoals versleuteling. Toezichthouders zoals de Autoriteit Persoonsgegevens kunnen dan onderzoek doen.
Daarnaast komt in de EU de NIS2-richtlijn eraan, die in Nederland wordt omgezet in de Cyberbeveiligingswet. Die verplicht grote bedrijven en toeleveranciers in vitale en digitale sectoren tot scherper risicobeheer, inclusief ketenbeveiliging. Ook kunnen boetes volgen bij onvoldoende maatregelen.
Voor Nederlandse studios en toeleveranciers is documentatie van processen belangrijk. Denk aan audits van leveranciers, snelle incidentmelding en duidelijke contracten over beveiliging. Dit verkleint de kans op datalekken via partners en versnelt herstel als er toch iets misgaat.
Nasleep eerder GTA 6-lek
Rockstar had in 2022 al te maken met een groot lek van vroege GTA 6-beelden. Een Britse tiener werd daar in 2023 voor schuldig bevonden. Dat incident liet zien hoe aantrekkelijk gamebedrijven zijn voor aanvallers.
Dit nieuwe lek lijkt qua aard en omvang anders. Het gaat nu om niet-essentiële informatie via een derde partij. Dat maakt de directe impact op gameontwikkeling kleiner, maar het blijft een signaal om ketenpartners strenger te beveiligen.
Grote releases zoals GTA 6 staan vaak onder een vergrootglas. Naast technische schade speelt reputatierisico een rol. Transparante communicatie en snelle technische maatregelen helpen om vertrouwen te behouden bij spelers en partners.
Wat dit betekent in Europa
Rockstar opereert wereldwijd, ook in het Verenigd Koninkrijk en de EU. Daardoor gelden Europese regels zodra EU-gegevens in het spel zijn. Bedrijven die in Europa actief zijn, moeten dus rekening houden met zowel AVG als de komende NIS2-verplichtingen.
Voor Nederlandse gamers is er op dit moment geen actie nodig, zolang er geen melding komt over spelersdata. Wel blijft het advies om alert te zijn op nepberichten die inspelen op het nieuws. Organisaties doen er goed aan zulke misbruikscenario’s mee te nemen in hun crisisoefeningen.
De kern: het lek lijkt beperkt, maar onderstreept het structurele risico van externe leveranciers. Ketenbeveiliging, heldere meldprocessen en minimale data-uitwisseling zijn daarbij essentieel. Dat is precies waar Europese regels bedrijven nu toe dwingen.
