Rainbow Six Siege, penembak taktis populer dari Ubisoft, terpaksa dihentikan sepenuhnya menyusul pelanggaran keamanan yang parah. Penyerang memanfaatkan kerentanan kritis dalam sistem backend game, yang mengakibatkan kekacauan luar biasa di dalam lingkungan game langsung. Insiden ini menyoroti risiko yang semakin besar bagi game layanan langsung dan potensi dampak buruk dari kerentanan infrastruktur yang belum ditambal.
Akhir Pekan Kacau di Rainbow Six Siege
Pada Sabtu, 27 Desember 2025, integritas operasional Rainbow Six Siege runtuh. Peretas berhasil mengendalikan fungsi administratif inti, mengubah penembak kompetitif ini menjadi taman bermain digital yang kacau. Mereka memanipulasi sistem game untuk secara acak melarang dan membatalkan larangan ribuan pemain, termasuk streamer ternama, menciptakan kebingungan yang meluas. Lebih kreatif lagi, mereka membajak umpan pesan sistem—yang dilaporkan sebelumnya telah dinonaktifkan—untuk menyiarkan lirik yang mengejek, seperti dari lagu Shaggy "It Wasn't Me", langsung kepada para pemain di dalam game. Namun, tindakan yang paling mengganggu secara ekonomi adalah distribusi massal mata uang dalam game. Para penyerang mengkreditkan akun setiap pemain dengan 2 miliar R6 Credits dan jumlah Renown yang sama besarnya, sekaligus membuka kunci setiap skin kosmetik, termasuk item yang sangat langka dan khusus pengembang. Menghadapi kehilangan kendali total ini, Ubisoft membuat keputusan drastis untuk mengambil seluruh game dan pasarannya offline untuk mencegah kerusakan lebih lanjut.
Akar Teknis: Mengeksploitasi Kerentanan "MongoBleed"
Para peneliti keamanan, termasuk grup VX-Underground, telah mengidentifikasi titik masuk yang mungkin untuk serangan ini: sebuah kerentanan kritis di MongoDB, teknologi basis data yang mendukung sebagian infrastruktur Ubisoft. Dijuluki "MongoBleed" (CVE-2025-14847), cacat ini memiliki skor CVSS keparahan tinggi sebesar 8.7. Ini memungkinkan penyerang yang tidak terautentikasi untuk mengirim paket jaringan yang dirancang khusus yang menipu server basis data agar membocorkan fragmen memori internalnya. Data yang bocor ini dapat mencakup kata sandi teks biasa, token sesi, dan kunci administratif—tepatnya kredensial yang dibutuhkan untuk mendapatkan kendali atas layanan game. Kerentanan ini memengaruhi berbagai versi MongoDB, dari warisan 3.6 hingga modern 8.2.2. Meskipun patch telah dirilis, insiden di Ubisoft menunjukkan sistem mereka belum diperbarui, menyediakan pintu masuk bagi para penyerang.
Kerentanan MongoBleed (CVE-2025-14847)
- Skor CVSS: 8.7 (Tingkat Keparahan Tinggi)
- Mekanisme: Memungkinkan penyerang tanpa otentikasi untuk membocorkan memori server basis data melalui paket terkompresi yang cacat.
- Dampak: Dapat mengekspos kredensial teks biasa, token sesi, dan kunci admin.
- Versi MongoDB yang Terpengaruh: 8.2.0 hingga 8.2.2 8.0.0 hingga 8.0.16 7.0.0 hingga 7.0.27 6.0.0 hingga 6.0.26 5.0.0 hingga 5.0.31 4.4.0 hingga 4.4.29 Semua versi lawas (v4.2, v4.0, v3.6) Versi yang Sudah Ditambal: 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, dan 4.4.30.
Skala Serangan Ekonomi Dalam Game yang Menakjubkan
Manipulasi ekonomi Rainbow Six Siege oleh para peretas dilakukan dalam skala monumental. Sementara 2 miliar kredit untuk satu pemain memiliki perkiraan nilai dunia nyata sekitar 13,33 juta dolar AS, laporan menunjukkan total jumlah mata uang yang didistribusikan ke seluruh basis pemain mencapai angka yang mengejutkan, yaitu 339 triliun kredit. R6 Credits adalah mata uang premium yang dijual dengan uang sungguhan, menjadikan tindakan ini serangan langsung terhadap model pendapatan game. Ubisoft menyatakan bahwa pemain tidak akan dihukum karena menghabiskan kredit ilegal tersebut tetapi mengonfirmasi bahwa rollback lengkap dari semua transaksi yang dilakukan setelah pukul 11:00 UTC pada 27 Desember sedang dilakukan. Proses ini kompleks dan memakan waktu, karena para insinyur harus dengan cermat mengembalikan status akun ke kondisi sebelum serangan sambil memastikan integritas data.
Skala Gangguan Ekonomi Dalam Game
- Kredit yang Didistribusikan Per Pemain: 2 miliar R6 Credits
- Perkiraan Nilai Per Pemain: ~$13.33 juta (USD)
- Total Nilai yang Didistribusikan Dilaporkan: 339 triliun kredit (di semua pemain)
- Item Tidak Terkunci Lainnya: Semua skin kosmetik, termasuk skin "Glacier" yang sangat langka dan item khusus pengembang.
- Tanggapan Ubisoft: Rollback penuh dari semua transaksi setelah pukul 11:00 UTC pada 2025-12-27. Tidak ada larangan bagi pemain yang menghabiskan kredit ilegal.
Serangan Kompleks dengan Banyak Aktor Ancaman
Penyelidikan terhadap pelanggaran tersebut mengungkapkan skenario yang lebih kompleks daripada sekelompok tunggal yang menyebabkan kekacauan. Bukti menunjukkan beberapa faksi peretas siber, yang berpotensi tidak terkait, menargetkan Ubisoft secara bersamaan. Satu grup berfokus pada layanan game langsung, menciptakan kekacauan yang terlihat di Rainbow Six Siege. Grup terpisah diyakini menggunakan eksploit MongoBleed yang sama untuk masuk lebih dalam ke jaringan korporat Ubisoft, diduga mengakses repositori Git internal dan mencuri kode sumber untuk proyek-proyek yang berasal dari beberapa dekade lalu. Secara bersamaan, pihak lain dilaporkan mencoba memeras perusahaan atas klaim pencurian data pengguna. Serangan multi-aspek ini mempersulit upaya tanggapan dan pemulihan bagi tim keamanan Ubisoft.
Dampak dan Implikasi yang Lebih Luas bagi Industri
Per tanggal malam Minggu, 28 Desember, Rainbow Six Siege masih tetap offline. Komunikasi resmi Ubisoft menekankan bahwa memulihkan layanan adalah prioritas tetapi memperingatkan bahwa "waktu tidak dapat dijamin" karena masalah ini ditangani "dengan sangat hati-hati." Insiden ini menjadi peringatan keras bagi industri teknologi dan game yang lebih luas. Dengan lebih dari 60.000 organisasi menggunakan MongoDB dan diperkirakan 200.000 instansi terpapar online, potensi serangan serupa yang didukung MongoBleed sangat signifikan. Pelanggaran ini menunjukkan bahwa kerentanan seperti itu dapat menyebabkan lebih dari sekadar pencurian data; mereka dapat memungkinkan pengambilalihan layanan langsung secara real-time, menyebabkan kerusakan operasional, finansial, dan reputasi. Rainbow Six Siege mungkin adalah korban publik besar pertama, tetapi kemungkinan besar bukan yang terakhir jika organisasi gagal menambal sistem basis data kritis mereka dengan segera.