News CD Projekt Red: Hacker erbeuten Source Code und erpressen Studio

Status
Neue Beiträge in diesem Thema müssen von einem Moderator freigeschaltet werden, bevor sie für andere Nutzer sichtbar sind.
IT-Sicherheit allein von der technischen Seite zu betrachten ist generell hinsichtlich des "Härtungsgrades" unvollständig. Solange der Faktor Mensch nicht ausreichend berücksichtigt wird, bleibt das größte Risiko bestehen. Und selbst dann habe ich keine hundertprozentige Absicherung, günstigenfalls könnte man behaupten "alles getan zu haben". Selbst das wäre gewagt...
 
nospherato schrieb:
Immer wenn ich solche News lese, frage ich mich, ob diese Firmen diese Daten einfach schön auf einem Webserver direkt am Internet liegen haben...
die werden ja sicherlich auch GIT oder SVN nutzen. Evtl. selbst aufgesetzt und via VPN abgesichert. Gespeichert ist das aber trotzdem auf einem Server der irgendwie ans "versteckte" Internet angeschlossen sein muss.

Geteilte Dokumente dürfte das gleiche sein.
Irgendeine art FileShare und ein Fehler eines MA genügt.
 
M@tze schrieb:
Wenn 1 Port in der GUI freigegeben wurde, hat der Router in Wirklichkeit 10 Ports freigegeben. Es wurde eigentlich nur 443 für https Zugriff aktiviert, aber der Router hat 443 - 452 freigegeben. Und damit war auch 445 für CIFS zu erreichen...
Das stimmt. Wenn ich mich Recht entsinne hatte das Objekt "https" in der Firewall die größere Portrange. Also scheint es sich manchmal wirklich zu lohnen die "Voreinstellungen" zu überprüfen.
Natürlich ist das nur der 1. Teil der Kette unglücklicher Umstände. Das die Firewall des Servers einen Verbindungsaufbau aus dem Internet zulässt ist der nächste Punkt und zu guter letzt schien ja auch noch eine Authentifizierung an dem Netzlaufwerk zu fehlen. Also wirklich grob Fahrlässig durch den IT-Dienstleister konfiguriert.

Womit wir auch bei einem wichtigen Punkt sind: Es bringt nichts nur auf eine "gehärtete Front" zu setzen - die ganze Kette muss stimmen. Besonders wichtig ist: Jeder User sollte nicht mehr Rechte als absolut notwendig besitzen. Ich glaube das ist oft das größte Problem.
 
  • Gefällt mir
Reaktionen: M@tze
also haben die die stadia version von 2077, was doch eigentlich auf jedem desktop linux auch laufen sollte?!?!?!
würde ich schon gerne mal testen wie das so läuft

und wie siehts mit w3 aus? das war doch auch mal für linux angekündigt. gibts da auch quellcode?
 
Es kochen alle nur mit Wasser in der kommerziellen Softwareentwicklung. Es lebt und programmiert sich relativ entspannt, wenn man das einmal akzeptiert hat.
 
  • Gefällt mir
Reaktionen: Swiffer25
DerTiger schrieb:
Zum Beispiel die nicht unerhebliche Strafe und die verbrannte Zukunft wenn man erwischt wird?
In der Branche braucht man dann nicht noch mal versuchen zu arbeiten.

Genau, wenn man erwischt wird. Du kommst auch in den Knast wenn du Drogen/Medikamente/Waffen dealst oder Geklaute ware verkaufst, deswegen machts ja keiner LoL.

Strafe allein schreckt nicht immer ab. Ich mein, allein die Erpressung von CDPR is eine Straftat. Trotzdem findet sie statt.
 
Mir scheint, da war eher ein Opportunist am Werke als ein Idealist. Einfach mal gehackt um höchstwahrscheinlich einen Betrag in einer Crypto-Währung zu erpressen. Schade, missed opportunity.
Dabei hätte er Hack nutzen können, um a) höflich auf Sicherheitslücken hinzuweisen und im gleichen Zuge mal seinen Unmut und Kritik über das Gebaren von CD Projekt zu äußern, wie dieser Laden, der sich noch vor wenigen Monaten als die Moralapostel der Spieleindustrie schlechthin hingestellt hat und crunch time an den Pranger gestellt hat um nicht wenig später genau solche Arbeitsumstände einzufordern, damit das Produkt ja noch für die Aktionäre und Investoren absolut wichtigem Weihnachtsgeschäft abgeliefert werden konnte, egal, in welchen desolaten Zustand (speziell die Last-Gen-Konsolen-Versionen).

Aber das mit der crunch-time ist weniger kritisch anzusehen - weil eben seit Jahren Industrie-Standart und das Problem ist hinreichend bekannt (psychische und physische Belastung für Angestellte, Fernbleiben von Familie, etc.). Mehr wiegt da eher die Tatsache, dass man CD Projekt ja schon fast Betrug unterstellen könnte, als für das Review von Cyberpunk die Last-Gen-Versionen den Testern vorenthalten worden sind bzw. die Tester höchstwahrscheinlich nur die Tests der Current-Gen-Version zum Release-Zeitpunkt veröffentlichen durften /konnten, da eben eventuell kein Last-Gen-Test-Sample vorgelegen hat (kenne natürlich die Details der NDA, whatever, nicht). Wie man kurz später festgestellt hat, befand sich die Last-Gen-Konsolen-Verkaufsversion (oder befindet sich immer noch) in einem desolaten und katastrophalen technischen und spielerischen Zustand.

Alleine diesen Umstand/Zustand dem Käufer und womöglich jahrelang loyalem CD-Projekt-Fan bewusst vorzuenthalten, ist in meinen Augen für diesen Verein beschämend und seiner Rolle als Vorzeige-Studio nicht würdig.
Spätestens seit der Release von CyberPunk hat das Studio all seine Vertrauenspunkte beim Fan verspielt und in Zukunft sollte jeder von der Spieleversion, an der man interessiert ist, vorab sich paar Tests anschauen/durchlesen, bevor man blind einen Kauf tätigt und dann überrascht feststellt, dass das Spielvergnügen von von Bugs, Abstürzen, etc. getrübt wird. Da hab ich mit den Vorbestellern auch wenig Mitleid. Blöd nur, dass wenn es wenig Vorbestellungen gibt, das Studio darunter auch finanziell leidet.
Man möchte ja, dass es dem Studio finanziell gut geht, damit es weiterhin Produkte in höchster Qualität produzieren kann. Mittlerweise wird ja der Erfolg eines Spiels an den Vorbestellerzahlen festgemacht, da in dem Vorbestellerzeitraum in vielen Fällen der meiste Umsatz generiert wird (trifft natürlich nicht immer zu, aber die Tendenz ist schon gegeben).
Da möchte jedes Studio natürlich den Schein wahren, es stehe sehr gut um das begehrte Produkt.
Aber auf der anderen Seite kann man als Vorbesteller auch erwarten, das sich das Produkt in einem halbwegs gutem Zustand befindet. Leider war CD Projekt in dieser Hinsicht nicht ganz offen und ehrlich gegenüber dem Käufer. Man wollte ja die Verkaufszahlen nicht in Gefahr bringen (und wohl auch nicht den Aktienkurs...).
Ich hoffe, die lernen aus den gemachten Fehlern und kommunizieren dem Fan und Käufer offener, wie es um ein Produkt steht, damit man weiss, was man in den Händen halten wird.

Im Endeffekt kann man schlussfolgern: Karma is a b14tch. Mein Mitleid hält sich in Grenzen.

Man kennt nicht die genauen internen Umstände, die zu dem voreiligem Release geführt haben.
Vieles deutet darauf hin, dass die Investoren Druck gemacht haben und keine Lust mehr auf weiteren Verzug hatten, zumal ja das sehr wichtige Weihnachtsgeschäft vor der Tür stand. Ich könnte mir auch vorstellen, dass der Vorstand und die dicken Fische nicht auf ihre satten Boni verzichten wollten.
Bei den Rekord-Verkaufszahlen gabs wohl Boni en masse. Ob der kleine Angestellte, durch crunch-time geschädigt, wohl auch was vom Kuchen abbekommen hat oder nur mit seinem monatlichen und festen Gehalt vorlieb nehmen musste, während sich die aus der Chef-Etage vor lauter Geld-Regen einen abgefeiert haben.

Nichtsdestotrotz wünsche in dem Studio alles Gute für aktuelle und zukünftige Projekte.
Die sollen nur eben die dubiosen Praktiken abstellen und Produkte im ordentlichen Zustand abliefern.
Sonst können die sich gleich neben EA, Activision, Ubisoft danebenstellen und zum Standard der Industrie verkommen.

PS: ich war nicht der Hacker, falls einer auf diese Idee kommt, lol.
 
Zuletzt bearbeitet:
.Sentinel. schrieb:
So ein Angriff wird im Normalfall per Social Hacking durchgeführt.
Dessen bin ich mir vollauf bewusst. Da hilft nur MA Schulung...und hoffen das nichts allzu großes passiert und Backup und co seinen Dienst ordnungsgemäß verrichten.
 
DerTiger schrieb:
Ja, das mag sein, aber es ist eben auch nicht die Aufgabe der Devs das Netzwerk und die Server auf Stand zu halten.
Alles richtig. Aber wie gesagt: Von einer Softwarebude würde ich spontan erwarten, das die eher ihre Systeme absichern können als von einem Bäcker.
Ich hab ja auch nicht gesagt, das das die Entwickler machen müssen oder sollen. Aber die sind halt Know-How-mäßig näher am Thema dran und wissen daher eher, wen sie sich ranholen müssen.
Wäre ja auch wichtig, da ja auch ihr ganzes Geschäft von einer funktionierenden IT abhängt.

Der Bäcker kann auch ohne IT Brötchen bracken. Der hat zwar trotzdem seine Problemchen weil halt ohne IT heutzutage nix mehr geht, aber wenigstens die Arbeit funktioniert noch.
Wenn bei einer Softwarebude die IT crasht sind die komplett am A****. Dementsprechend würde man ja vermuten, das die da besonders bemüht sind den Laden am laufen zu halten.

DerTiger schrieb:
In größeren Firmen gibts halt nicht die One-Fits-All Lösung.
Mag ja alles sein. Und kann man ja auch alles machen.
Das entbindet aber nicht davon ein ordentliches Sicherheitskonzept zu haben. Wie gesagt: Wenn bei einer Softwarefirma die IT tot ist, ist das schnell mal existenzbedrohend.

DerTiger schrieb:
Ich bin mir fast sicher das war keine "dahergelaufene Ransomware", sondern ein gezielter Angriff auf hohem Niveau.
Was macht Dich denn da so sicher?
Ransomware ist normalerweise relativ unspezifisch. Man weiß halt auch nicht obs klappt oder nicht und ob der Erpresste überhaupt bezahlt. Dem gegenüber steht ein relativ hoher Aufwand den man mit einem spezialisierten Angriff hat. Den treibt man nur wenn man gezielt jemanden schaden oder Daten rausschleusen will.

Für beides ist Ransomware eher ungeeignet. Also klar. Schaden hat es. Aber den hab ich auch, wenn ich die Daten einfach mit random bits überschreibe und hab dann auch nicht die Gefahr das meine Verschlüsselung zu schlecht ist und geknackt werden kann.

M@tze schrieb:
So gut wie jede Softwareschmiede wird Third Party Tools einsetzen und da kann man nicht wissen oder kontrollieren, ob diese Bugs haben welche sicherheitsrelevant sind.
Achso. Und damit sind sie automatisch unschuldig wenn die irgendwie ne Backbox einkaufen von der sie gar nicht wissen was drin ist und die dann einfach so benutzen. :-)

Es geht mir ja auch hier nicht darum CD Project zum Alleinschuldigen zu erklären oder so. Aber bei solchen Sachen ist es erfahrungsgemäß immer so, das ne nachlässige IT da immer tatkräftige (wenngleich unfreiwillige) Mithilfe leistet. Da ist es mir dann einfach zu billig wenn man da mehr oder minder sagt, das die einfach nur Pech gehabt haben.
 
Che-Tah schrieb:
Die Kontaktdaten hätt ich auch raus gelöscht.
(Teil-)Schwärzen ist da glaube ich die bessere Variante.
 
Hat der/die Sekretär/-in wieder mal den Anhang einer vertraut ausschauenden E-mail geöffnet.....das Übliche.
 
Zuletzt bearbeitet:
Coeckchen schrieb:
Genau, wenn man erwischt wird. Du kommst auch in den Knast wenn du Drogen/Medikamente/Waffen dealst oder Geklaute ware verkaufst, deswegen machts ja keiner LoL.

Strafe allein schreckt nicht immer ab. Ich mein, allein die Erpressung von CDPR is eine Straftat. Trotzdem findet sie statt.
Also, wenn dich der Verlust deines Arbeitsplatzes, Zeit im Knast, lebenslange Schulden und der Verlust deiner Arbeitsgrundlage und Existenz nicht abschreckt, dann würde ich sagen: go for it, was soll schief gehen.

andy_m4 schrieb:
Alles richtig. Aber wie gesagt: Von einer Softwarebude würde ich spontan erwarten, das die eher ihre Systeme absichern können als von einem Bäcker.
Ich hab ja auch nicht gesagt, das das die Entwickler machen müssen oder sollen. Aber die sind halt Know-How-mäßig näher am Thema dran und wissen daher eher, wen sie sich ranholen müssen.
Wäre ja auch wichtig, da ja auch ihr ganzes Geschäft von einer funktionierenden IT abhängt.
Ganz ehrlich:
Welches OS der Distro-Server hat? I don't give a fuck.
Perforce Version? don't care.
VM Farm? not my business.
Welche Version hat Cisco? I don't give a fuck.
Switches? don't give a fuck.
Sharepoint? don't give a fuck.
JIRA? you guessed it...

Infrastruktur ist für mich als Dev keine Aufgabe. Das ist Sache der IT, da mach ich mir nicht den geringsten Kopf drum, außer es gibt geile neue Features.

Dafür gibt es ein Infrastruktur Team, einen IT Manager und ein "ich möchte haben" Formular.
"Ich möchte haben: Neuen PC". IT Team kümmert sich.
"Ich möchte haben: Neue Software". IT Team kümmert sich.

Nicht MEIN Job, genau so wenig wie der des Bäckers.

Generell kann man sagen ein Softwarehersteller hat sicher eine bessere IT Abteilung, aber das hat nichts mit den Mitarbeitern außenrum zu tun, außer dass die vielleicht und eventuell IT-affin sind, aber nichtmal das ist gesagt.

Mag ja alles sein. Und kann man ja auch alles machen.
Das entbindet aber nicht davon ein ordentliches Sicherheitskonzept zu haben. Wie gesagt: Wenn bei einer Softwarefirma die IT tot ist, ist das schnell mal existenzbedrohend.
Heutzutage sollte sich eigentlich jede halbwegs moderne Firma sorgen um ihre Sicherheit machen. Wenn da mal die Buchhaltung abgeraucht oder gehackt ist -> gute Nacht.
Softwarehersteller sind da vielleicht um modernere PCs bemüht, aber sonst seh ich da keine Unterschiede.


Was macht Dich denn da so sicher?
Ransomware ist normalerweise relativ unspezifisch. Man weiß halt auch nicht obs klappt oder nicht und ob der Erpresste überhaupt bezahlt. Dem gegenüber steht ein relativ hoher Aufwand den man mit einem spezialisierten Angriff hat. Den treibt man nur wenn man gezielt jemanden schaden oder Daten rausschleusen will.
Es wurden doch gezielt Daten herausgetragen? Finanzdaten? Sourcecodes?

Achso. Und damit sind sie automatisch unschuldig wenn die irgendwie ne Backbox einkaufen von der sie gar nicht wissen was drin ist und die dann einfach so benutzen. :-)
Also, ich hätte nicht mitbekommen das irgendjemand die Spezial Software die ich mir hab anschaffen lassen überprüfen hätte.

Wenn ich der IT sage: "Kaufen, ich brauch das", dann krieg ich das in der Regel auch. Die legen nicht jede Tastatur auseinander oder lassen sich den Quellcode der Treiber offenlegen.
Das ist systemzertifiziert, und dann is das gut.

Zeig mir mal den Betrieb der einen Druckertreiber zerlegt weil er grade einen zu ersetzen hat.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: dr. lele
Das Schlimmste für die IT ist, die wurden anscheinend von einem 14 Jährigen „gehackt“. „You got EPICALLY pwned“ ...
Das zu die Androhung, die mehr als deutlich macht, von welcher Menge an Geschlechtshormonen der Angreifer in Besitz genommen worden ist.
Riecht für mich extrem nach einer FishingMail und einem Scriptkiddy. Das schmerzt noch zusätzlich.
 
DannyBoy schrieb:
Für CDPR kommt es knüppeldick,

Muss man sich mal reinziehen.

Vor Jahren Cyberpunk 2077 angekündigt, eine enorme Erwartungshaltung aufgebaut, Crunch ohne Ende, desolate Veröffentlichung des Spiels und nun das.

Ich wünsche niemandem etwas schlechtes und hoffe die fangen sich wieder und die Hacker... naja. Ist immer so eine Sache...
"The higher you climb, the harder you fall" würde hier wohl passen. Nach dem gigantischen Erfolg von The Witcher 3 inkl. DLCs konnte sich keiner vorstellen, dass CD Projekt den Karren so gegen die Wand fahren würde.
Zu hohe Erwartungen, gekoppelt an übertriebene Ambitionen, zu wenig Zeit und zu viel Druck sind nie gut für Entwickler und Spieler.

Den Stress während des sog. "Crunch" bei Projekten kenne ich nur zu gut und ich will gar nicht wissen, unter was für einem Druck die Entwickler standen und weiterhin stehen. Allerdings habe ich auch die Vermutung, dass man die Warner und Kritiker in den eigenen Reihen schlicht nicht hören wollte und man stur an einem Release festhielt, an dessen Ende ein unfertiges Produkt stehen würde.
 
  • Gefällt mir
Reaktionen: Coeckchen
Die Kriminalität in dieser Sparte ist schon nicht mehr "funny" und hinter den "Neos" und "MrRobots" stecken nichts anderes als gierige Menschen, denen alles egal ist und die in den Knast gehören.
 
  • Gefällt mir
Reaktionen: M@tze, Swiffer25 und thuering
Hoffentlich resultieren bessere Arbeitsbedingungen für die Entwickler aus diesem Leak.
 
  • Gefällt mir
Reaktionen: Hylou
DerTiger schrieb:
Also, wenn dich der Verlust deines Arbeitsplatzes, Zeit im Knast, lebenslange Schulden und der Verlust deiner Arbeitsgrundlage und Existenz nicht abschreckt, dann würde ich sagen: go for it, was soll schief gehen.

Natürlich tuts das, wobei ich bin manchmal kurz davor mein gesellenbrief als Zigarrenanzünder zu benutzen, ich würds natürlich nie machen, aber das gilt halt nicht für alle :D Das meinte ich eigentlich <.> Für manche Leute sind Konsequenzen völlig egal wenn sie sich davon Gewinn, oder villeicht auch Rache (wir sind halt auch Emotionsgesteuert, und zwar hauptsächlich :D) versprechen kann es das ganze aufwiegen. Es gibt Leute die gehen für viel weniger in den Knast.
 
Die Hacker haben wahrscheinlich zu viel Cyberpunk gezockt.
 
  • Gefällt mir
Reaktionen: Faust II
Status
Neue Beiträge in diesem Thema müssen von einem Moderator freigeschaltet werden, bevor sie für andere Nutzer sichtbar sind.
Zurück
Oben