Rainbow Six Siege-spelers ontvangen miljarden credits na hack

Ubisoft heeft de servers van Rainbow Six Siege tijdelijk afgesloten vanwege een hack. Door die hack was het mogelijk dat spelers zichzelf gratis credits en skins konden geven, maar in sommige gevallen konden ze ook worden geband. Ubisoft heeft ook de Marketplace offline gehaald.

Ubisoft bevestigt op X dat het zowel de servers van Rainbow Six Siege als het bijbehorende Marketplace offline heeft gehaald, nadat de uitgever eerder al een onderzoek was begonnen naar 'een incident'. Eerder dit weekend gingen er al verschillende berichten rond op sociale media waaruit bleek dat spelers plotseling enorme hoeveelheden credits ontvingen, maar ook Alpha Packs en exclusieve items uit de game. Daarnaast leken spelers zonder reden geband te zijn, iets dat in sommige gevallen ook weer leek te worden teruggedraaid. Ubisoft heeft op een eigen forum gezegd dat spelers in sommige gevallen een tijdelijke of permanente ban kunnen krijgen vanwege valsspelen. Die 'sancties' worden volgens Ubisoft op een later moment nog eens heroverwogen, zodat spelers niet ten onrechte worden geband van het spel.

Ubisoft heeft zelf nog geen details over het incident vrijgegeven. Wel zeggen beveiligingsonderzoekers van VX Underground dat het erop lijkt dat de R6-servers zijn gehackt door een kwetsbaarheid in de MongoDB-databases die Ubisoft gebruikt, waarmee het weer mogelijk was een interne Git-repo uit te lezen en de broncode van het bedrijf te stelen. Rond de kerstperiode bleek er een kwetsbaarheid in MongoDB, genaamd MongoBleed, te zitten, die nu mogelijk misbruikt zou worden.

VX Underground zegt dat het die signalen gehoord heeft van meerdere hackersgroepen op internet. Het lijkt daarbij ook te gaan om meerdere groepen die hacks hebben uitgevoerd, maar op dit moment is het niet duidelijk of die informatie echt klopt.

Tom Clancy's Rainbow Six Siege Deluxe Edition

Reacties (52)

Auteur

TijsZonderH Nieuwscoördinator 28 december 2025 09:25

Ik ben vooral ook benieuwd of er tweakers zijn die hier ook mee te maken hebben gehad. Laat me weten, dan kan ik het artikel daarmee aanvullen!

Power2All @TijsZonderH • 28 december 2025 11:27

Ik had de credits inderdaad kort.
Werd geadviseerd al heel snel door YouTubers om vooral niks mee te doen.

5 uur later waren de servers down.

Tevens, deze credit "glitch" was in het verleden al eens gebeurd.
Men werd toen gebanned als er misbruik van de credits gebruikt werden.

De "dev" skin was er ook, maar als men die gebruikt, flagged de anti-cheat je automatisch en ben je gebanned.

[Reactie gewijzigd door Power2All op 28 december 2025 11:28]

Gwaihir @Power2All • 28 december 2025 11:52

Begrijp ik goed dat jij credits had zonder zelf direct of indirect iets gedaan te hebben?

Power2All @Gwaihir • 28 december 2025 12:19

Correct.
Aangezien Ubisoft logs terug kunnen zien wie credits gebruikt, en/of andere zooi doet, kun je jezelf in de problemen werken. Zodoende uitgelogged, maar zag wel een sloot aan ban spam. Daarna later weer gekeken en toen gingen alle servers down, mogelijk vanwege het feit dat er echt stront aan de knikker was.

Hier een voorbeeld:
https://media.discordapp.net/attachments/674886185428058115/1454587516245119148/image.png?ex=69524a70&is=6950f8f0&hm=69808f46165b62c21085e163dfe85d313eaa92ad6cc7e0ce7a1123c0ac92f778&=&format=webp&quality=lossless
Video van alle spam:
https://x.com/Pirat_Nation/status/2004921104721477963

[Reactie gewijzigd door Power2All op 28 december 2025 12:21]

CH4OS @Power2All • 28 december 2025 14:02

https://x.com/Pirat_Nation/status/2004921104721477963

Het eerste woord uit de ban messages vormt ook een zin. Het zijn dus niet eens daadwerkelijke bans.

[Reactie gewijzigd door CH4OS op 28 december 2025 14:03]

dutchdj @CH4OS • 28 december 2025 14:08

Shaggy. It wasn't me

Bart ® Moderator Spielerij

Ubisoft Tom Clancy's
Tom Clancy's Rainbow Six: Siege

@Gwaihir • 28 december 2025 11:55

Schijnbaar kreeg iedereen credits.

https://tweakers.net/i/pZTxfTiDXG1ZIdATpgulnjwpXTI=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/K5TJpwonYXywr4kJJMC7Byap.png

robingouw @Power2All • 29 december 2025 10:56

Ubisoft heeft ook al aangegeven dat ze bezig zijn met een rollback naar voor de hack. Dus ook al heb je het gebruikt heb je daarna de gekochte items niet meer.

Zou er inderdaad alsnog wel mee oppassen just in case.

Power2All @robingouw • 29 december 2025 16:29

In het verleden werden mensen ook gebanned die zwaar misbruik maakte van iets wat ze duidelijk niet behoorde te hebben. De Dev skin is een bekende waar men automatisch gebanned werden door de anti-cheat.

De rollback is gewoon een mangoDB recovery van een bepaalde tijd.

rjmno1 @Power2All • 30 december 2025 13:59

Bestaat er ook zoiets als aimbot, ik kan me voorstellen dat je dan graag online aan het spelen wilt.?

Power2All @rjmno1 • 31 december 2025 09:22

... Ik snap je post niet helemaal ?
Wat heeft dit te maken met aimbot ?

Ethnic @TijsZonderH • 28 december 2025 14:13

Ik ging net inloggen en kreeg opeens alle achievements op steam. De game zelf gaf aan dat de servers offline waren en mijn ranks, ingame punten e.d. stonden op 0.

Tjempo @Ethnic • 28 december 2025 16:31

De achievements zijn normaal. Die zijn recentelijk toegevoegd aan Steam en worden met terugwerkende kracht op je account gezet.

De offline is logisch omdat Ubisoft de servers offline heeft gehaald: https://www.ubisoft.com/en-us/game/rainbow-six/siege/status

rjmno1 @Ethnic • 30 december 2025 14:05

Ja ik denk dat dat gewoon een server crash is dat komt bij ut99 ook best veel voor.

Maar er zitten zoveel toeters en bellen aan dat spel dat het gehele spel ontoegankelijk word.

En bij deze dus ook automatisch gebanned word het licht eraan wat voor een skin je hebt dat is bij ut99 ook zo.

CriticalHit_NL 28 december 2025 13:59

Speel het spel zelf niet, maar vond het wel noemenswaardig dat zo'n systeem überhaupt uitgebuit kon worden, het is weer een prettige kerst voor de ontwikkelaars.

Er werd ook met de banlogs gespeelt waar soms blijkbaar wel obscene of zelfs antisemitische teksten werden getoond, in andere gevallen werden er de lyrics van Michael Jackson - Billie Jean in de banlogs afgespeeld zoals hier o.a. te zien:

https://www.tiktok.com/@thisiswhywedash67/video/7588515734498643255

Martinspire

Ubisoft
Games

28 december 2025 10:25

Hebben ze dan geen API tussen de MongoDB server en het open web gemaakt dat je er direct bij kunt? Dat zou ik wel heel slecht vinden

CH4OS @Martinspire • 28 december 2025 11:02

Het is niet alsof een api beschermd tegen een directe verbinding, ook zo'n (publieke) api kan worden gebruikt natuurlijk als je eenmaal toegang hebt.

Werelds

@CH4OS • 28 december 2025 14:37

Jawel, dat beschermt wel. Deze exploit zit in MongoDB zelf, waarbij je rechtstreeks via het netwerk aan moet vallen. Het gaat hier niet om zoiets als een SQL injectie maar om een misvormde payload, dus een API zorgt er voor dat de exploit niet uitgevoerd kan worden, want die payloads zullen niet misvormd zijn (of je hebt wel een hele slechte API gebouwd...). Dat staat dan nog los van input validatie, rate limiting, enzovoort.

Blijkbaar had Ubisoft, zoals zovelen met Mongo, de instance gewoon aan het internet hangen (ik blijf dit bizar vinden). Als ze al het netwerk binnen waren gedrongen en op die manier met Mongo verbinding maakten, hadden ze wel meer schade aangericht. Mongo was nu juist het punt van binnenkomst.

CH4OS @Werelds • 28 december 2025 14:45

Als je langs de api heen kunt om te verbinden, gaat een api echt niet (meer) beschermen. Als de aanval dus rechtstreeks is (via het netwerk) heeft men dus directe toegang gehad en kon men de api omzeilen, dus 0 bescherming vanuit de api, dat is wat ik de hele tijd al roep. Is dat verder dicht te timmeren? Misschien, maar niet met een api.

[Reactie gewijzigd door CH4OS op 28 december 2025 14:46]

Werelds

@CH4OS • 28 december 2025 18:32

Als je er een API vóór zet, hang je zoiets als Mongo ook niet rechtstreeks aan het internet. Anders draait de API er naast, niet ervoor. Dat is juist het punt.

CH4OS @Werelds • 28 december 2025 18:50

Dat snap ik, maar doordat men dus MongoDB heeft gebruikt en niet wat anders, had men dus op netwerkniveau toegang…

edit:
Dat wordt dus ook enigszins bevestigd, als het inderdaad daadwerkelijk MongoBleed is. Zie ook het gelinkte artikel over MongoBleed:

The issue (CVE-2025-14847), known as MongoBleed, allows unauthenticated, network-level attackers to extract fragments of uninitialized server memory.

Het maakt dus niet uit of er een api was of niet, men had op netwerkniveau toegang.

[Reactie gewijzigd door CH4OS op 28 december 2025 19:02]

madcow22 @CH4OS • 28 december 2025 23:39

Maakt natuurlijk wel uit extern zou gewoon niet bij die mongo server moeten kunnen dus dat je ook geen connection direct kan maken met de mongo.

Daar is een hele api voor user zou alleen moeten mogen connecten met een loadbalancer die voor de api hangt.

[Reactie gewijzigd door madcow22 op 28 december 2025 23:40]

CH4OS @madcow22 • 28 december 2025 23:57

Dat externe toegang niet zou moeten kunnen ben ik zeker met je eens (de beste stuurlui staan immers altijd aan wal). Kijkende naar de CVE, heeft men dus uiteindelijk "gewoon" netwerktoegang gehad (of zichzelf verschaft) en kon men daardoor APIs omzeilen.

Dan kunnen we hier roepen dat je Mongo niet op het netwerk open moet hebben, dat alleen bepaalde hosts zouden mogen verbinden, maar daar heeft men weinig meer aan, zeker als men bijvoorbeeld op het interne netwerk zit, maar Ubisoft geeft de details (logischerwijs) ook niet, waardoor het voor ons gissen blijft.

[Reactie gewijzigd door CH4OS op 28 december 2025 23:59]

Werelds

@CH4OS • 29 december 2025 09:43

heeft men dus uiteindelijk "gewoon" netwerktoegang gehad

Dat "netwerk" is in dit geval het internet. Het hele punt dat wij proberen te maken is dat dát überhaupt niet het geval had moeten zijn en dat enige communicatie met Mongo intern en/of via een API plaats moet vinden, waardoor er geen enkele reden is om die dienst op z'n standaard 0.0.0.0 te laten draaien zonder firewall. Want daar gaat het nu juist om: Mongo was rechtstreeks het point of entry.

Er is geen hack aan vooraf gegaan waarmee men toegang tot een intern netwerk kreeg, waarna ze onder andere deze kwetsbaarheid misbruikten. Nee, dit ding hing rechtstreeks aan het internet en verschafte die toegang juist. Kwetsbaarheid in Mongo terzijde, dat is gewoon onkunde en hoort niet. Zelfs met host restricties hoor je zoiets niet gewoon openbaar te laten draaien.

Martinspire

Ubisoft
Games

@CH4OS • 28 december 2025 12:42

Het minste wat je kunt doen is een beperking aan het aantal transacties dat je mag doen en limiteren welke tabellen je wel of niet mag wijzigen. Dit lijkt mij niet meer dan logisch, maar blijkbaar hebben ze dat niet gedaan.

CH4OS @Martinspire • 28 december 2025 13:53

Je doet een flinke aanname, als je toch al binnen bent en een directe verbinding maken kunt (en de api dus niet nodig hebt), gaat een api je niet beschermen of helpen dat is mijn hele punt, al schreef ik het verkeerd zie ik nu.

[Reactie gewijzigd door CH4OS op 28 december 2025 13:57]

HollowGamer @Martinspire • 28 december 2025 12:02

Goede vraag, want zo zou ik het ook doen.

Maar denk dat dit mogelijk te langzaam is?

CH4OS @HollowGamer • 28 december 2025 13:53

Een api gaat weinig bescherming bieden als je toch al binnen bent en een directe verbinding maken kunt.

[Reactie gewijzigd door CH4OS op 28 december 2025 13:55]

HollowGamer @CH4OS • 28 december 2025 23:17

Maar dat kan dus niet. Je sluis het eerst door de API als een portaal heen.

Mogelijk stond die dus ergens open.

CH4OS @HollowGamer • 28 december 2025 23:55

Maar dat kan dus niet. Je sluis het eerst door de API als een portaal heen.

Mogelijk stond die dus ergens open.

Waar haal je vandaan dat het niet zo is? Als het inderdaad MongoBleed is, had men daadwerkelijk netwerk toegang (al dan niet zichzelf verschaft), kijk de CVE-2025-14847 (gelinkt in het artikel) er maar op na.

Naast bepaalde MongoDB versies (van voor de fix, zeg maar), zijn de voorwaardes dat de MongoDB bereikbaar moet zijn via netwerk (wat bij dergelijke omgevingen sowieso iets is wat zo is, in verband met schaalbaarheid en de grootte van de omgeving (waarin schaalbaarheid dus zeker wenselijk is) en zlib compressie aan stond (wat in grote omgevingen ook wel handig is, omdat het ruimte en dus kosten bespaard).

Je kunt dan dus nog zoveel APIs als je wilt er omheen bouwen, dat houdt kwaadwillenden echt niet buiten, zoals hier dus te zien is. Dit lek heet niet voor niets MongoBleed, zeg maar.

Natuurlijk ben ik het er verder wel mee eens dat eea bijvoorbeeld via een API onttrokken had moeten worden e.d, maar dat had in dit geval weinig uitgemaakt gezien de kwaadwillenden netwerk toegang hadden verkregen.

[Reactie gewijzigd door CH4OS op 29 december 2025 00:27]

HollowGamer @CH4OS • 29 december 2025 13:08

Die API doet zeg maar de validatie. Zo te zien lijkt het hier mis in te zijn gegaan.

Je kunt dus Mongo direct verbinden en ook de authorisatie door hun laten doet. Dat scheelt tijd en werk, aangezien je het niet twee keer hoeft te bouwen.

Maar als ik zo naar de bug kijk, dan lijken mij dus ook diegene die het via een API doen (+ eigen validatie) weldegelijk veilig(er). Je valideert en sanitize bijvoorbeeld op die laag, voordat je het naar de Mongo instance stuurt.

[Reactie gewijzigd door HollowGamer op 29 december 2025 13:09]

CH4OS @HollowGamer • 30 december 2025 00:54

Ik snap dat een API een abstractie laag kan zijn en daardoor inderdaad een en ander veiliger kan maken. Maar dat is ook het punt niet, zoals ik eea begrijp heeft men daar langs kunnen werken, aangezien het lek in MongoDB zit (of zat, afhankelijk van de versie die je gebruikt).

Argantonis @Martinspire • 29 december 2025 06:47

Ik vind je zin eerlijk gezegd moeilijk te parsen. Ik dénk dat je bedoelt: ‘hebben ze dan de toegang tot de MongoDB server publiek gemaakt voor het hele internet’ maar er zijn ook interpretaties waarin het het tegenovergestelde zou betekenen (al zou dat minder logisch zijn). Het verhaal over API doet daar een beetje vanaf, waardoor ook de verwarring van bijv. CH4OS hier die het volgens mij verkeerd interpreteert.

TheDeeGee 28 december 2025 12:31

Kijk dat is nog eens creatief, i.p.v. een DDoS.

Nijl 28 december 2025 12:46

Wat aardig van UbiSoft!

CerandoX.nl 28 december 2025 14:57

Duurt lang, wil vandaag even spelen.

zlpsycho 28 december 2025 17:47

Als iedereen alle skins heeft kunnen ze zich eindelijk op de gameplay focussen.

dannyvdmoo 31 december 2025 18:58

het is bij ghost recon breakpoint zelfde liedje

Robbierut4 28 december 2025 09:50

Misschien als ze geen lootboxen hadden die je voor echt geld kunt kopen, dat deze hack niet gebeurd zou zijn.

Joncik91 @Robbierut4 • 28 december 2025 09:58

Mogelijk. Geen twijfel echter slechte correlatie. Hackers zoeken naar kwetsbaarheden in de infrastructuur, niet naar specifieke in-game items. Je gebruikt dit puur als kapstok voor je frustratie over lootboxen, toch?

Robbierut4 @Joncik91 • 28 december 2025 09:59

Hackers zoeken niet naar specifieke in-game items. Maar als items uberhaupt niet verhandelbaar waren dan gaat niemand zoveel moeite doen om dit te hacken. Dan gaan ze wel naar een ander doelwit.

Powerblast @Robbierut4 • 28 december 2025 10:09

Hackers trappen volgens mij elke open deur die ze kunnen vinden wel in. Al is het maar omdat de kans bestaat dat er wat te rapen valt zoals broncode, gevoelige info, enzovoort. Dat staat los volgens mij van wel of geen lootboxes. Valt er wat te rapen, dan trekt het hackers aan.

Zoop @Powerblast • 28 december 2025 13:29

Hooguit dat lootboxes het interessanter maakt, omdat er waarde aan digitale items zit, waar je met zo'n hack makkelijk aan zou moeten kunnen komen. Maar als het dan om financieel gewin zou gaan, lijkt mij niet dat ze dan zo'n hack zo publiekelijk doen en aan iedereen loopt te geven. Dan is dit eerder een protest.

Dus sure, ik snap @Robbierut4 's punt wel. Lootboxes maakt het wellicht wat een hogere boom. Maar om te zeggen dat dit zonder lootboxes _niet_ had gebeurd, eh ... Zoals jij zegt, hackers trappen elke deur in die ze kunnen vinden. Is het niet voor financieel gewin, dan is het wel simpelweg for the lulz.

drdelta @Powerblast • 28 december 2025 13:30

Pay to win / games met cosmetics zijn een populair doel omdat hackers dan exploit kits / cheat packs kunnen verkopen aan gamers die dat soort dingen belangrijk vinden, maar niet het geld hebben de “echte” items te kopen.

CH4OS @Robbierut4 • 28 december 2025 11:06

Het gaat meer om de kick en binnendringen in de infrastructuur van een ander, men heeft immers van alles gedaan... Was men écht alleen uit op die betaalde items, had men ook alleen die credits gedaan.

mac1987 @CH4OS • 28 december 2025 11:52

Advocaat van de duivel: het hele doel van het spel is binnendringen met behulp van creativiteit. Die hackers waren gewoon extra creatief !

[Reactie gewijzigd door mac1987 op 28 december 2025 11:52]

Magic Power @Robbierut4 • 28 december 2025 11:26

Ik denk dat je hier ook heel goed het verschil tussen een White Hat Hacker of Ethische Hacker, en een Black Hat Hacker kan zien.

Een White Hat Hacker hackt omdat hij het kan, een Black Hat Hacker hackt omdat hij er aan kan verdienen.

watercoolertje @Magic Power • 28 december 2025 12:04

Die black hat hacker kan dat gewoon voor de lol/kick doen hoor, hoeft echt niet specifiek om 'verdienen' te gaan.

En white hat hackers kunnen dat ook gewoon voor geld doen, dat is precies waar al die bugbounties op gericht zijn.

De ene is gewoon behulpzaam voor de makers/developers de andere niet.

[Reactie gewijzigd door watercoolertje op 28 december 2025 12:04]

William_H @watercoolertje • 28 december 2025 12:45

Inderdaad. Het gaat niet om geld verdienen als maatstaf, maar om etisch verschil. Een blackhat meld hacks bijvoorbeeld niet of maakt misbruik van de hack, een white hat hacker niet.

Dutch_CroniC @Robbierut4 • 28 december 2025 10:11

Ze doen t omdat t kan

[Reactie gewijzigd door Dutch_CroniC op 28 december 2025 10:11]

Joncik91 @Robbierut4 • 28 december 2025 17:17

Het belangrijkste negeer je dan... Hackers gaan achter data aan, niet achter lootboxen. Een database met miljoenen gebruikers is altijd een doelwit, ongeacht het verdienmodel. Je probeert een complex cybersecurity-probleem te versimpelen om je punt over lootboxen te maken.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (52)

Sorteer op:

Weergave: