Nvidia förnekade aldrig att den blev hackad. GPU-jätten sa bara inte så mycket om vad som hände heller.

Men nu – när vi väntar på att se om hackarna klarar av sitt hot om att dumpa hundratals gigabyte av egenutvecklad Nvidia-data på webben, inklusive detaljer om framtida grafikkretsar, inom en ospecificerad fredagsdeadline – den komprometterade e-postvarningswebbplatsen Have I Been Pwned föreslår att hackets omfattning inkluderar svindlande 71 000 anställdas e-postmeddelanden och hash som kan ha gjort det möjligt för hackarna att knäcka sina lösenord (via TechCrunch).

Det är inte klart hur Have I Been Pwned fick denna information, och Nvidia kommer inte att säga det. Nvidia skulle inte bekräfta eller förneka för The Verge huruvida 71 000 anställda har äventyrats, och det skulle inte säga om de planerar att följa något av hackarnas krav.

Det är värt att notera att Nvidia har mycket färre än 71 000 anställda – dess senaste årsrapport listar 18 975 anställda i 29 länder, även om det är möjligt att de komprometterade e-postadresserna inkluderar tidigare anställda och alias för grupper av anställda. (Företag som förlitar sig starkt på e-post har ofta många e-postlistor.) The Telegraphs första rapport antydde att företagets interna system, inklusive e-post, hade “komprometterats fullständigt”, och en läcka av 71 000 anställdas referenser skulle stämma överens med det.

Här är allt som Nvidia faktiskt säger idag, via talesperson Hector Marinez:

Den 23 februari 2022 blev NVIDIA medveten om en cybersäkerhetsincident som påverkade IT-resurser. Kort efter att vi upptäckt incidenten förstärkte vi vårt nätverk ytterligare, anlitade experter på cybersäkerhetsincidenter och underrättade polisen.

Vi har inga bevis för att ransomware har distribuerats i NVIDIA-miljön eller att detta är relaterat till Ryssland-Ukraina-konflikten. Vi är dock medvetna om att hotaktören tog personalens autentiseringsuppgifter och viss NVIDIA-skyddad information från våra system och har börjat läcka den online. Vårt team arbetar med att analysera den informationen. Vi förutser inga störningar i vår verksamhet eller vår förmåga att betjäna våra kunder som ett resultat av incidenten.

Säkerhet är en kontinuerlig process som vi tar på största allvar på NVIDIA – och vi investerar i skyddet och kvaliteten på vår kod och våra produkter dagligen.

Det är vad vi hade hört tidigare, och Nvidias svarssida för cybersäkerhetsincidenter har inte heller uppdaterats sedan 1 mars.

LAPSUS$-hackningsgruppen, som har tagit åt sig äran för intrånget, hade ett ovanligt populistiskt krav: de uppgav att de vill att Nvidia ska öppna källkod för sina GPU-drivrutiner för alltid och ta bort sin Ethereum-krypteringsnerf från alla Nvidia 30-serie GPU:er (som t.ex. nyare modeller av RTX 3080) snarare än att direkt be om kontanter.

Men de vill helt klart ha kontanter också. Hackarna har också offentligt uttalat att de kommer att sälja en bypass för kryptonerf för 1 miljon dollar, och i morse postade de kort ett meddelande som antydde att dagens läcka skulle försenas medan de diskuterade villkor med en blivande köpare av Nvidias källa koda.

Om Nvidia betalar, något som inte är ovanligt i dessa situationer med datalösen, skulle jag inte nödvändigtvis förvänta mig att höra om det när som helst snart. Det är inte nödvändigtvis i någon av parternas bästa att säga så. Men om Nvidia inte betalar eller följer efter och LAPSUS$ har de uppgifter som de hävdar, kan saker och ting vara på väg att bli intressanta.