n0-N4m3 Cr3w hackt Ubisoft und mich 5

n0-N4m3 Cr3w hackt Ubisoft und mich 5

Bis gestern haben mich Hackerangriffe auf die Gamingindustrie, welche sich in den letzten Wochen immer mehr gehäuft hatten, recht kalt gelassen. Natürlich habe ich die Ereignisse nach dem Kick-Off-Hack vom Playstation Network und den darauf folgenden digitalen Diebstählen bei Codemasters, Sega oder Bethesda immer wieder verfolgt, aber eher aus der Sicht des passiven Zuschauers und nicht eines potenziellen Opfers. Selbst als ich vor kurzem mit Hilfe eines kleinen Tools genaue Bewegungsverläufe von meinem iPhone auslesen konnte, war mir das eigentlich ziemlich egal. Bisher hatten mich diese Vorfälle nicht direkt tangiert und ich hatte zu keinem Punkt die Furcht, dass meine Wenigkeit durch diese Angriffe geschädigt werden könnte. Da ich weder im PSN, noch sonst irgendwo im Internet mit Kreditkarte bezahle oder essenzielle Daten von mir beim Spielen preisgebe, habe ich mich immer auf der sicheren Seite gefühlt. Bis gestern…

Gegen Mittag hatte ich kurz über den üblichen Social Media-Link von dem Hack auf meinen ehemaligen Arbeitgeber Ubisoft mitbekommen. Die Hacker der „No Name Crew“ haben sich den französischen Publisher rausgepickt und etliche Händlerdaten geklaut. In diesem Moment habe ich mir aber nicht viel dabei gedacht, da solche Meldungen inzwischen fast täglich Brot sind. Was mir zu dem Zeitpunkt noch nicht klar war: auch meine Daten, mit denen ich bis zur letzten Woche noch täglich unterwegs war waren für jeden zugänglich auf der Website der NN-Crew. Erst kurz danach hat mich Kristin dezent darauf aufmerksam gemacht. In diesem Moment gingen bei mir natürlich die Augenbrauen hoch und alle Alarmglocken an. Muss ich ab heute in ständiger Angst leben und kann nicht mehr ohne konstante Paranoia im Internet surfen?

Insgesamt sind über 1000 Kontaktdaten von Ubisoft-Mitarbeitern und vor allem Handelspartnern gestohlen worden, hauptsächlich aus Deutschland und Österreich. Darunter etliche E-Mail-Adressen und Handynummern von Media Markt-, Saturn-, T-Online-, Gamestop- oder Computec-Mitarbeitern, um nur ein paar zu nennen. Mitten dazwischen befinden sich auch meine Daten in authentischer Form. Unter genau diesem Nicknamen, dieser E-Mail-Adresse und diesem Passwort habe ich mich 2 Jahre lang fast tagtäglich angemeldet. Bei einem kleinen Blick weiter sehe ich auch die Daten von einigen meiner ehemaligen Kollegen, sowie von Vorgesetzten oder Geschäftsführung. All das macht es für mich relativ offensichtlich, dass dieser Hack echt ist und kein billiger Trittbett-Fake. Der Terror, den ich sonst nur vom Hörensagen kannte, ist jetzt auch an meiner Haustür angekommen.

Bei dem Tradeportal, welches hier angegriffen wurde, handelt es sich tatsächlich um einen Sharepoint, der zum Tausch von Werbematerialen wie Werbeflyern, Screenshots, Trailern oder Packshots dient. Dieser wird intensiv vom deutschen Vertrieb und Trade-Marketing benutzt. Die direkte Reaktion von Ubisoft auf den Anschlag war, dass das betroffene Portal sofort vom Netz genommen wurde. Seit dem findet man unter der URL nur noch eine kurze, knappe Nachricht, dass die Seite wegen Wartungsarbeiten vorübergehend geschlossen ist. Ob noch andere Maßnahmen getroffen wurden, kann ich leider aus meiner jetzigen Situation nicht sagen, aber man sollte damit rechnen, dass sich die Seite in dieser Form erstmal nicht so schnell wieder im World Wide Web blicken lässt.

Meine erste Handlung war natürlich ein gründlicher Check meiner Daten auf der Seite und ein Abgleich mit meinen privaten Accounts. Zum Glück benutze ich diesen direkten Log-In nicht mehr und auch meine sonstigen Passwörter sind nicht mit diesem identisch. Außerdem benutze ich auch meine @ubisoft-Adresse nicht mehr, sodass ich keinen hässlichen Viagra-Spam befürchten muss. Der erste Schreck ist also erstmal gebannt, dennoch habe ich mich danach direkt in einer kurzen Mail an meine ehemalige Chefin gewandt. Eigentlich nur um sicher zu gehen, dass auch in Zukunft mein Konto bei Ubisoft deaktiviert bleibt, damit niemand irgendeinen Schabernack damit treiben kann. Das Feedback dazu steht noch aus.

Auch offiziell hat Ubisoft bisher keine Stellungnahme gegeben, aber man muss bestimmt nicht lange darauf warten. Immerhin ist die Ansage auf der Website der Hackergruppe eine sehr schwere Anschuldigung:

Doch leider mussten wir in der Vergangenheit immer wieder feststellen, dass dieses Vertrauen vergebens ist, denn ihr missbraucht unser Vertrauen und das immer wieder. Nach all diesen großen Pannen und Fehltritten kommt heute der nächste, Ubisoft. Ihr habt es wohl nicht als notwendig angesehen eure Netzwerke ausreichend zu sichern. Diese Verhaltensweise kann nicht länger toleriert werden. Ihr habt euch zahlreicher Verbrechen gegen die Persönlichkeitsrechte und Datenschutzbestimmungen schuldig gemacht … Wir wollen wieder Privatsphäre und einen verantwortungsvollen Umgang mit Kundendaten, sofort, sonst müsst Ihr mit weiteren Konsequenzen rechnen.

Wenn man das so liest, könnte man meinen, dass sich die Verantwortlichen hier persönlich durch diese Sicherheitslücke geschädigt fühlen. Doch keineswegs! Wenn es sich bei den Hackern nicht um direkte Handelspartner von Ubisoft Deutschland handelt, ist der Zusammenhang zwischen der Aussage der NN-Crew und dem veröffentlichten Material gleich Null. In diesem Fall handelt es sich nämlich nur um die digitalen Visitenkarten von Business-Kontakten und nicht die von Endkonsumenten. Zum Glück geht es demnach also nicht um eigentliche Ubisoft-Kunden, die Spieler, sondern um Vertriebspartner. Für diese Kontakte ist die ganze Aktion natürlich trotzdem mehr als ärgerlich.

Der Fakt, dass die Hacker ihr Diebesgut öffentlich auf einer Website ausstellen und so offensichtlich keine finanziellen Hintergedanken äußern, zeigt, dass es den Tätern wohl nur ums Prinzip geht, ist aber auch ein Indiz dafür, dass es sich um keinen sonderlich wertvollen Schatz handeln kann. Alles was man mit diesen Daten letztlich erreicht, ist der Zugang zu ein paar Ubisoft-Assets. Für Ubisoft ist das bestimmt keine schöne Situation, aber der Schaden ist relativ überschaubar, da keine Kreditkarten-Informationen öffentlich gemacht wurden. Neben einer großen Entschuldigung besteht der größte Aufwand wahrscheinlich in der Überarbeitung des Trading-Portals. Ich sehe da eher eine prominente Handlung, welche sich die noch unbekannte Hacker-Formierung in den Trophäenschrank stellen möchte.

Ich persönlich fühle mich von dem Angriff nicht groß geschädigt oder muss um meine Internet-Identitäten fürchten. Eine großspurige Klage darf man von mir also nicht erwarten. Mich könnte jetzt stören, dass ich in Zukunft bei jeder Google-Suche zu meinem Namen mit dieser Liste in Verbindung gebracht werden kann. Eigentlich beweist das aber nur, dass ich tatsächlich mal dabei war. Man wird mich jedoch nicht mehr unter dieser Adresse finden und auch mein Zugang auf das Portal wird nicht mehr funktionieren, geschweige denn großen Schaden anrichten. Was wirklich schlimm ist, sind die Telefonnummern und E-Mail Adressen von vielen Firmenpartnern und Ubisoft-Mitarbeitern, welche nun free for all im Netz liegen. Diese Kontakte müssen sich jetzt überlegen, ob sie Nummern und E-Mail-Adressen austauschen lassen. Das kann eventuell einen monetären Schaden verursachen, der aber – wie schon vorher gesagt – überschaubar bleiben sollte. Ich selbst werde also nachts wohl nicht von Albträumen geplagt werden, auf ein offizielles Statement bin ich trotzdem gespannt!

Previous ArticleNext Article

5 Comments

  1. Ich musste die letzten Wochen und Monate einige Male meine Passwörter austauschen. Zuviele gleichlautende Accounts, ich solle es besser wissen. Wenn man mal in der IT gearbeitet hat, wird da nicht unbedingt besser – da gewöhnt man sich noch mehr Shortcuts an, weil man immer ziemlich unter Zeitdruck ist.

    Aus Schaden wird man klug – jetzt benutze ich eine größere Varianz.

  2. Dieser ganze Passwortkäse ist doch Murks. CPUs und GPUs werden immer schneller, auch Brute Force ist bei gängigen Passwortlängen mit Sonderzeichen inzwischen aufwandstechnisch zu vertreten: http://bit.ly/e6YP4p

    Und was wird eine Lehre draus gezogen? Passwörter müssen länger werden – ganz großartig. Zumal Hashes ja gar keine reversible 1:1-Verschlüsselung sind, es geht ja nur darum, irgendeinen Eingabewert zu finden, der eine Kollision (also den entsprechenden Hashwert) erzeugt, je nach Hashfunktion ist das nicht schwer – da bringt mir ein „gutes“ Passwort gar nichts. Unendlich kann man das Spiel also eh nicht weitertreiben.

    Warum generiert meine PS3 nicht bei Accounterstellung ein individuelles Schlüsselpaar und es wird von dort an nur noch Public-Key-Authentifizierung benutzt?
    Warum können andere Leute ohne Clientzertifikat in meinem Namen einkaufen?
    Warum müssen Kreditkartendaten auf dem Server gespeichert werden und werden nicht nach Verwendung weggeschmissen?
    Warum ist die Banane krumm und nicht orange?

  3. Die gleiche Diskussion hatten wir letztens schon mal, zumindest mir erzählst du da nichts neues. Gezieltes Hacken ist ja immer noch was ganz anderes, da hat man kaum eine Chance, bei den aktuellen Fällen wurde ja einfach nur die Dummheit der Firmen ausgenutzt, die sensible Daten im Klartext speichern. klar bringt ein MD5-Hash nicht viel, aber mein 30 Euro Fahrradschloss bringt ebensowenig, nimmt dem Gelegenheits-Dieb aber oft schon die Lust, sich die Mühe zu machen. 5000 unwichtige Passwörter in Klartext? Klar, die poste ich und hab ne Viertelstunde meinen Spaß damit und probiere, ob die auch woanders funktionieren. 5000 Passwörter erstmal brutforcen? Das schaffe ich ja gar nicht, wenn ich nebenbei noch meine Hausaufgaben machen muss und so lange ist meine Aufmerksamkeitsspanne gar nicht, sofern es sich nicht zufällig um Zugangsdaten von Porno-Webseiten handelt.

  4. Ja, es wäre ja auch nur eine Möglichkeit, um diesen Sammelpool an Daten zu entzerren und ein wenig Sensibilität auf die Clients auszulagern.
    Die könnten natürlich genauso angegriffen werden, aber du hast den single point of failure etwas entschlackt.

    Das mit dem Klartext ist noch mal eine ganz andere Sache. Dass auf einmal jedes dumme Kind „hacken kann“, liegt ja auch hauptsächlich daran, dass bekannte Lücken einfach ausgenutzt werden und dann können sich diese Scriptkiddies 2.0 mal ganz groß fühlen. Wie Maxx schon sagte: Das Ubisoft-Handelsportal hat überhaupt nichts mit ihnen zu tun, aber sie reden groß von „ihren Daten“ und fühlen sich ganz toll. Allein von der Schreibweise her sind die doch nicht älter als 18.

    Aber da sind natürlich die Admins in der Pflicht, auf dem laufenden zu bleiben, aktuelle Patches einzuspielen etc. – das ist nämlich deren 30 EUR-Fahradschloss. Gegen unentdeckte 0day-Exploits hilft das natürlich auch nur begrenzt, aber den großen Kindergarten sollte man damit schonmal abhalten. Andererseits: Wenn gar nichts mehr geht, bleibt immer noch DDoS, gegen das schon durch die Funktionsweise des Internets kein hundertprozentiges Kraut gewachsen ist.

    Man kann eigentlich nur noch verzweifeln.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

%d Bloggern gefällt das: