News CD Projekt Red: Hacker erbeuten Source Code und erpressen Studio

[Cool Master]

Die Frage ist nicht ob man gehackt wird sondern wann. Da spielt es keine Rolle ob man ein 5, 50, 5000 oder 5 Millionen Personen Unternehmen ist.

Kann man nur hoffen, dass alle Journalisten und alle anderen diese Hehlerware nicht beachten.

 

[PhysoX512]

Was ist denn die Forderung der Gaunerbande? Das steht nirgendwo... 😞

 

[Taron]

"Schuld" hat der Täter, niemand sonst. Meine Güte...

'Schuld' ist relativ.
Dass beide Seiten daran beteiligt sind, sollte eigentlich klar sein (dass ich das extra erwähnen muss). Der Umgang von CDPR mit der zahlenden Spielerschaft ist... stark verbesserungswürdig.

Zu solch einer Aktion gehören immer zwei.

Und im offiziellen CDPR-Forum mehren sich die Vermutungen, dass das ganze ein Inside-job sein könnte. Hoffen wir es mal nicht, denn das wäre ein genauso fragwürdiger Move wie der Hack an sich.

 

[M@tze]

CDPR = Management Inkompetenz allerorts.

Genau! Weil ja das Management immer persönlich den Schutz der IT übernimmt und so weiter...

Nein, bis Patch 1.12 hatte das Game eine Lücke die es ermöglicht fremdzugriff auf ein System zu bekommen. Da CDPR wahrscheinlich das Spiel selbst installiert hat um zu Testen, wurde Sie selbst Opfer dieser Lücke.

Ach DU bist derjenige, von dem CD Project im Statement geschrieben hat, nachdem Du den Fall ja praktisch schon aufgeklärt hast? Gehörst Du jetzt zu den internen Abteilungen für IT-Sicherheit und IT-Forensik oder den externen Sicherheitsbehörden, Sherlock?

 

[IHEA1234]

Mitleids-Highfive" geht direkt mal an die IT-Kollegen von CDPR die wohl aktuell etwas unter Strom stehen...

Praktisch nie finden Hacker eine Sicherheitslücke die nie zuvor ein Mensch gesehen hat. Das Einfallstor sind die eigenen Mitarbeiter. Ich arbeite beim größten deutschen Industrie-Mischkonzern und bei uns wurde ein Penetrationstest gemacht: Pishingmails und ähnliches an die eigenen Mitarbeiter.


Es ist schlicht UNFASSBAR, auf was die Leute reingefallen sind. Von "elektronischen Geburtstagsgrüße für dich" über "ebay-Rechnung nicht bezahlt" bis zu "Pressemeldung (hier downloaden)"

 

[Cool Master]

#HomeOffice
#Corona
#RemoteArbeiten

VPN....

 

[Lyle]

Genau! Weil ja das Management immer persönlich den Schutz der IT übernimmt und so weiter...

Das Argument der Verantwortungsdiffusion halte ich für wenig überzeugend.
Es ist Aufgabe des Managements geeignete Mitarbeiter für etwaige Posten auszusuchen - seien es die Abteilungsleiter einzelner Ressorts - und das Unternehmen mitsamt aller Teilbereiche zu "managen".

Wer ist hier sonst zu Rechenschaft zu ziehen? Die ITler, die vorm Rechner sitzen und das umsetzen, was von oben zugewiesen wird?

 

[User7777]

Was hilft die beste IT-Sicherheit, wenn die Lücke vor dem Bildschirm sitzt?
Schon selbst erlebt, Behörden-Chef (!) hat unbekannten E-Mail-Anhang geöffnet, sich gewundert, "dass da was komsiches aufgepoppt ist", aber ist dann doch erstmal in die Mittagspause gegangen, während der Wurm fröhlich die Netzlaufwerke verschlüsselt hat....

naja spätestens nach 100 Dateien sollte es dem Virenschutz auffallen, dass da was nicht passt und den Prozess stoppen.

 

[oldgirl65]

Praktisch... dann können sie ja die Bugs raus machen und zurück schicken

[/Ironie off]
Irgendwann erwischt es wohl alle "Großen..."

Alter

 

[EddieVanHalen]

Und wenn eine junge Frau einen zu kurzen Rock trägt ist sie auch Schuld an der Vergewaltigung.
"Schuld" hat der Täter, niemand sonst. Meine Güte...

Herzlichen Dank - kann Dir nur zustimmen. Der Schuldbegriff einiger Leute hier scheint mir arg wenig differenziert.

Ich verstehe ja, wenn sich hier Leute über die CDPR-Chefetage zuletzt geärgert haben, aber dennoch bleiben diese “Hacker“ einfach nur wiederliche Erpresser. Der Ton ihrer Botschaft ist ja auch bezeichnend. Denkt einfach mal darüber nach, wie gut das für die ganzen Angestellten Programmierer etc. ist, was da gerade abgeht. Erst macht die Chefetage so einen kolossalen Mist und dann wird der Laden noch so attackiert.

 

[Bierliebhaber]

'Schuld' ist relativ.
Dass beide Seiten daran beteiligt sind, sollte eigentlich klar sein (dass ich das extra erwähnen muss). Der Umgang von CDPR mit der zahlenden Spielerschaft ist... stark verbesserungswürdig.

Zu solch einer Aktion gehören immer zwei.

Wie bitte? Das ist natürlich NICHT klar. Mit welchem Recht nehmen sich Verbrecher heraus, illegal an Daten zu kommen? Darf ich auch meinen Nachbar umbringen, wenn er 5cm zu weit in Richtung meines Grundstücks parkt, "weil ja immer zwei dazu gehören" und "beide daran beteiligt sind"? Hat irgendjemand ein Recht auf den Source Code eines Spiels, nur weil es ihm nicht gefällt? Super, dann werde ich gleich mal bei Riot nachfragen und fordern, dass sie mir den Source Code von LoL rausrücken, weil ich das als Dota-Kopie nicht mag, der Umgang mit der PlayDota-Community damals unter aller Sau war, der Pendragon-Vorfall ein Skandal und die Typen von Riot generell Betrüger sind. Und wenn sie das nicht machen habe ich ja das Recht, sie zu hacken und zu erpressen, stimmts?

Solange Interna nichts illegales Beweisen und dadurch von Interesse für die Allgemeinheit sind haben sie genau das zu bleiben, was sie sind, Interna.

 

[MECD]

Inwiefern schadet das CDPR jetzt noch? Release war schon, erste Verkaufswelle ist durch, DRM gibts keinen auf GOG. Was wären also die Konsequenzen daraus? Dass jemand die Engine oder Teile daraus klaut? Könnte man in einem kommerziellen Produkt nicht verkaufen, wenn das rauskommt werden die in Grund und Boden geklagt.

Was schädlich sein könnte sind wohl Vertrags und Legaldaten, aber da dürfte für die meisten nichts Überraschendes oder Interessantes drinstehen. Die meisten Anleger werden nicht die Zeit oder Lust haben sich damit zu befassen.

Im Zweifelsfall also eine Übung in Netzwerksicherheit.

Ich glaube auch, dass die Veröffentlichung des Quellcodes Monate nach einem insgesamt erfolgreichen Start weniger problematisch ist. Zumal anders als in den 90ern und frühen 2000ern es keine große Raubkopierkultur mehr gibt. Die allermeisten beziehen ihre Spiele doch über die üblichen Stores.

Was in den anderen Dokumenten drin steht kann man nur spekulieren. Es ist sicherlich unangenehm, wenn Mitarbeiterdaten veröffentlicht werden, auch im Hinblick auf Brain Drain/Abwerbung.

 

[DerTiger]

VPN....

Nachdem die Frage war "wie kann der Server am Internet sein", ist "VPN" nicht die Antwort, da auch das VPN aus dem Internet erreichbar sein muss.
Da nicht bekannt ist (ist es bekannt?) wie der Zugriff auf den Server zustande kam ist sowohl die Frage warum der Server am Internet hing, als auch die Mutmaßung dass es kein VPN gab erst mal nur eine Unterstellung.

Ich gehe mal davon aus dass der Server nicht direkt am Internet hing und Zugriff darauf nur über ein gesichertes Netz zustande kam. Alles andere wäre fahrlässigst, was bei solch einem Unternehmen nicht der Fall sein dürfte - das ist Network Basic 101. VPN ist somit implizit und wird wohl auch Teil des Hacks gewesen sein.

'Schuld' ist relativ.
Dass beide Seiten daran beteiligt sind, sollte eigentlich klar sein (dass ich das extra erwähnen muss). Der Umgang von CDPR mit der zahlenden Spielerschaft ist... stark verbesserungswürdig.

Zu solch einer Aktion gehören immer zwei.

Absolut NICHT.
Schuld ist der Hacker, dass ein Spieleentwickler IT und Netzwerk für seinen Job braucht liegt in der Natur der Sache.
Dass der Hack aufgrund des Umgangs mit der Spielerschaft stattfand ist rein spekulativ, und ich sehe in dem Artikel nichts was Rückschlüsse auf die Infrastruktur bei CDPR zulässt die ihnen eine Teilschuld einräumt.

 

[Trinoo]

Gemeinsam mit den internen Abteilungen für IT-Sicherheit

eventuell erstmal die Abteilung neu besetzen und dann die Sache angehen.

 

[Hylou]

Abgesehen von den Firm Internendaten, was ist so schlimm das die den source code haben? CB2077 und Witcher 3 wurde ja schon released und das "unreleased witcher game" wäre halt schon sehr interessant.

Die reden von der Next Gen Version von witcher 3

Steht sogar in dem ''Hacker Brief''
'unreleased Version of Witcher 3'

 

[Replay86]

Source Code entwendet? Meine Güte was ist das für ein Pfuscher Laden CDPR. Man könnte meinen CDPR wird von ein paar Amateuren geleitet.
Das ist eine Bankrotterklärung.

 

[Taron]

Dass der Hack aufgrund des Umgangs mit der Spielerschaft stattfand ist rein Spekulativ,

Natürlich.
Da sollten weitere Infos abgewartet werden, aber ich dachte das sollte klar sein.
Alles was hier geschrieben wird, ist spekulativ solange sich das nicht auf die (wenigen) Infos von CDPR stützt. Insofern nichts aufregendes, würde ich mal meinen.

 

[Florianw0w]

Die reden von der Next Gen Version von witcher 3

Steht sogar in dem ''Hacker Brief''
'unreleased Version of Witcher 3'

again. Was ist daran so schlimm? Witcher 3 wurde schon released.

 

[Ex3cuter]

Ach DU bist derjenige, von dem CD Project im Statement geschrieben hat, nachdem Du den Fall ja praktisch schon aufgeklärt hast? Gehörst Du jetzt zu den internen Abteilungen für IT-Sicherheit und IT-Forensik oder den externen Sicherheitsbehörden, Sherlock?

Nein. Ich bin selbst Modder und bin aktiv im CDPR Forum unterwegs. Du auch Schlaumeier?

 

[Hylou]

@Florianw0w

Nunja.. Es hat durchaus Gründe warum Entwickler ihre Codes für sich behalten.

Würde es Ihnen nicht bringen, würden Sie damit nicht prahlen.
Vorausgesetzt natürlich die ganze Geschichte stimmt.