News CD Projekt Red: Hacker erbeuten Source Code und erpressen Studio

[SFFox]

Mein mitleid hält sich in grenzen, irgenwann sollte es auch der letzte schnallen das geräte mit solch sensiblen daten NICHT ans netz gehören. Warum muss immer erst was passieren damit ein umdenken stattfindet...
Es ist doch ganz einfach umzusetzen 2 komplett voneinander unabhängige netzwerke und gut. Das eine ist offline und darüber wird gearbeitet und das andere online und da kommen dann die fertigen sachen drauf etc...

Ich kann verstehen, dass Sachen davon nicht im Netz verfügbar sein müssten.
Aktuell ist es aber so, dass durch Corona und Homeoffice sehr viele Firmen ihre internen Daten den Mitarbeitern zu Hause verfügbar machen müssen. Ein VPN ist relativ sicher, aber mal ganz ehrlich, wenn es eine Gruppe richtig guter Hacker auf dich abgesehen hat, finden die was. Ein absoluter Schutz ist nie zu 100% möglich.
Und am Beispiel CDPR sind wir auch noch in der IT Branche... gerade dort ist es doch total normal sein GIT zwischen den Kollegen zu sharen auch ohne den großen flächendeckenden Homeoffice Umstand. Jeder muss doch auch seine Änderungen mal kompilieren und testen.
Die Hacker sind Verbrecher und Erpresser. Mein Mitleid hat CDPR, wirklich schwere Zeiten gerade.

 

[Supermax2004]

Die sollen den Source Code veröffentlichen, damit wir diese verschwindenden Fahrzeuge beheben können.

 

[rentex]

Also merke: Der Washington Post und New York Tmes ist unseriös.

Investigativer Journalismus der dem politischen Gemeinwohl dient, ist dann doch was anderes😉

 

[Hylou]

Aktuell ist es aber so, dass durch Corona und Homeoffice sehr viele Firmen ihre internen Daten den Mitarbeitern zu Hause verfügbar machen müssen.

Passt bei CDPR aber nicht, laut Schreier durften die MA nicht ins Homeoffice.

 

[DerTiger]

Passt bei CDPR aber nicht, laut Schreier durften die MA nicht ins Homeoffice.

nope:

https://www.golem.de/news/cd-projek...-trotz-homeoffice-puenktlich-2004-147815.html

Übrigens hatte Golem.de bereits Ende 2019 zufällig im Gespräch mit Entwicklern des Studios erfahren, dass diese immer wieder mal im Homeoffice gearbeitet haben - natürlich nicht wegen der Coronakrise, sondern einfach aus Gründen der persönlichen Work-Life-Balance. Das Team hat also schon länger entsprechende Erfahrungen.

 

[Hylou]

nope

Da geht's aber um ein paar wenige.
An CP Bsp haben mehrere hundert Leute gearbeitet und laut dem Stdui durften deswegen viele nicht ins Homeoffice.

 

[Lucamon97]

Neue Infos zum Witcher 3 Update? Cool!

 

[DerTiger]

Da geht's aber um ein paar wenige.
An CP Bsp haben mehrere hundert Leute gearbeitet und laut dem Stdui durften deswegen viele nicht ins Homeoffice.

Bei der Bekanntgabe von Geschäftsergebnissen hat das polnische Entwicklerstudio CD Projekt auch über die Arbeit an Cyberpunk 2077 gesprochen. "Wir sind voll motiviert und wir haben alle Tools, die für die Arbeit im Homeoffice nötig sind", sagt Adam Kicinski. "In diesem Modus arbeiten wir seit über drei Wochen. Die bisherigen Ergebnisse bestätigen, dass wir alle unsere Operationen ohne größere Störungen fortsetzen können."

A) Hier gehts um CP.
B) da steht nicht wie viele
C) selbst wenn, Infrastuktur muss auch für wenige verfügbar sein.

D)

spiegel.de Auf die Corona-Pandemie will das Studio die stressige Schlussphase jedenfalls nicht schieben. Die Umstellung in Krisenzeiten habe gut geklappt, ein Großteil der Entwickler arbeite von zu Hause aus. "Innerhalb weniger Tage haben wir auf Homeoffice umgestellt."

 

[Wolfikausn]

wird eh dann alles im darknet veröffentlicht

 

[Maddyson]

Warum sollten die Aktien fallen ?
Wenn CD Projekt am The Witcher 4 arbeitet, dann werden die Aktien nur steigen.

 

[Barren Militia]

Sollen die Hacker den Quellcode von CP2077 doch einfach fähigen Moddern überlassen, die machen das Game dann so fertig, wie es sein sollte, ohne Bugs und mit allen Inhalten, und die geben es dann CDPR einfach fertig als CP 2.0 zurück. Wär doch gut, oder?

 

[Crowbar]

Was hilft die beste IT-Sicherheit, wenn die Lücke vor dem Bildschirm sitzt?
Schon selbst erlebt, Behörden-Chef (!) hat unbekannten E-Mail-Anhang geöffnet, sich gewundert, "dass da was komsiches aufgepoppt ist", aber ist dann doch erstmal in die Mittagspause gegangen, während der Wurm fröhlich die Netzlaufwerke verschlüsselt hat....

Dann ist das nicht das Versagen des Chefs sondern das Versagen der IT-Abteilung. Arbeitet die IT entsprechend ihrer Aufgabe, nämlich die Gewährleistung der IT-Security, kann der Chef als Nicht-ITler nämlich klicken worauf er will und er ist technisch gar nicht imstande, Schäden anzurichten.

Ergänzung (9. Februar 2021)

Naja, wenn sie aus dem Home Office Heraus arbeiten, müssen sie die Daten ja in irgendeiner Weise mit dem Netz verbinden. Und selbst wenn nicht alles auf einem Server liegt, kann eine Schwachstelle systematisch ausgenutzt werden.

Die dümmste Ausrede der IT-Abteilung. Jeder Fernwartungszugang kann mit mehreren Sicherheitsfaktoren vor unberechtigten Zugriffen gesichert werden.
Außerdem sollten sensible Datenbanken nicht übers Internet erreichbar sein, egal wie gut die Netzanbindung abgesichert ist.
Selbst Schuld, mein Mitleid hält sich in Grenzen.

 

[MECD]

Ich glaube dem liegt eine etwas naive Vorstellung über die Entscheidungsbefugnisse und Informationslage der IT Abteilung in Behörden oder großen Firmen zu Grunde. Hinzu kommt, dass man oft allerlei IT Dienstleistungen von extern einkauft/vorhanden sind, deren Quellcode nicht offen liegt, und die weiß Gott welche Schwachstellen haben.

 

[Sittich01]

Moin zusammen,
schon wieder solche Spinner die anderen nur schaden.
Solchen Hackern sollte man die Finger.........
So kann man Firmen auch in den Ruin stürtzen.
Finde es gut das sie am die öffentlichkeit gehen und sich nicht erpressen lassen.

 

[sOuLjA4eVeR]

Warum sollten die Aktien fallen ?
Wenn CD Projekt am The Witcher 4 arbeitet, dann werden die Aktien nur steigen.

Denke das muss man sich nicht fragen, da man schon einen deutlichen Knick nach unten sieht wenn man sich den Aktienkurs von heute ansieht.

 

[SFFox]

Da geht's aber um ein paar wenige.
An CP Bsp haben mehrere hundert Leute gearbeitet und laut dem Stdui durften deswegen viele nicht ins Homeoffice.

Ich verstehe nicht, wie du deine Haltung damit untermauern willst. Sobald 5 fähige Leute im Homeoffice sind brauchen die Zugang. Ist doch logisch. Allein schon wenn die nicht Corona-konform Platz in Ihren Büros haben. Gerade bei allen Bugs, die noch zu fixen sind, ist da bestimmt jeder Kopf wichtig.
In unserer kleinen Firma mit ü30 Mitarbeitern haben vor Corona auch vllt. nur 20% Homeoffice gemacht, an vielen Tagen waren vielleicht nur jeweils 2 Leute im Homeoffice. Auch die brauchten Zugriff auf alles, was sie im Büro auch haben. Total normal, oder nicht?

Ergänzung (9. Februar 2021)

Warum sollten die Aktien fallen ?
Wenn CD Projekt am The Witcher 4 arbeitet, dann werden die Aktien nur steigen.

Denke das muss man sich nicht fragen, da man schon einen deutlichen Knick nach unten sieht wenn man sich den Aktienkurs von heute ansieht.

Dass es Witcher 4 ist und nicht die Next Gen Witcher 3 Fassung, die angekündigt wurde, steht ja noch gar nicht fest, als Witcher 3 Fan hoffe ich natürlich mit
Bzgl. des Aktienkurses: Ja der Hack hat heute schon Wert gekostet. Wenn jetzt weiter nichts schlimmes passiert, wird es das vllt. auch gewesen sein. Da aber auch interne Infos (HR, also Human Resources) geleaked sind, könnten z.B. Mails ans Licht kommen, die dem Image schaden, oder bisherige PR Äußerungen als Lüge klassifizieren. Der Spekulationsphantasie ist da keine Grenze gesetzt.
Ich denke aber wenn sie wirklich so viel (öffentlich nicht kommunizierten) Dreck am stecken hätten (wie so manch andere Firma) hätten sie nicht die Öffentlichkeit gesucht, sondern wären auf die Erpressung im Stillen eingegangen. Ich hoffe, dass es für CDPR glimpflich ausgeht.

 

[M@tze]

Ich arbeite beim größten deutschen Industrie-Mischkonzern und bei uns wurde ein Penetrationstest gemacht: Pishingmails und ähnliches an die eigenen Mitarbeiter. Es ist schlicht UNFASSBAR, auf was die Leute reingefallen sind.

Bei mir im Konzern das selbe. Die Belegschaft wird jedes Jahr gebrieft, dass jede Mailkommunikation zu verschlüsseln ist (ist auch der Default) und Mails mit Anhängen und Links zu signieren. Macht jeder - bis auf das obere Management, weil die Mails da meistens von einem verwalteten Postfach aus verschickt werden. Wendet man sich dann an seinen CSO und weist auf den Mangel hin ("Damit sind Phishing Mails Tür und Tor geöffnet, weil die Leute ja gewohnt sind, dass Mails vom Management zu lesen sind und unsigniert/unverschlüsselt kommen!"), heisst es nur "Na ja, Sie wissen schon - die Manager halt. Das gibt das Tool einfach nicht her..."

Wer ist hier sonst zu Rechenschaft zu ziehen? Die ITler, die vorm Rechner sitzen und das umsetzen, was von oben zugewiesen wird?

Ach, wurden die angewiesen "Macht mal auf das Tor!!"? Das Management delegiert Aufgaben und derjenige / das Team ist dafür zuständig und verantwortlich. Wenn ich meinem Chef sage "Alles erledigt", dann setzt der sich nicht noch mal hin und checkt meinen Source Code - kann er nämlich gar nicht und ist auch nicht sein Job.

Source Code entwendet? Meine Güte was ist das für ein Pfuscher Laden CDPR. Man könnte meinen CDPR wird von ein paar Amateuren geleitet.

Und bei Dir könnte man meinen, Du frühstückst jeden Morgen Deine Cornflakes aus dem heiligen Gral der IT Sicherheit...

Es gibt keine 100% Sicherheit - nirgendwo. Wer sowas erzählt, will Dir was verkaufen oder hat schlicht keine Ahnung. Und solange nicht recherchiert wurde, WIE die Hacker da reingekommen sind und ob es ein Fehler vom CDPR Team war oder eventuell in einem Third Party Tool oder ähnlichem, würde ich mir nicht erlauben da jemanden zu verurteilen.

Nein. Ich bin selbst Modder und bin aktiv im CDPR Forum unterwegs. Du auch Schlaumeier?

Nein, ich bin Programmierer und beschäftige mich auch mit IT Security. Aber klar, ein Modder der im CDPR Forum unterwegs ist, weiss natürlich schon den genauen Tathergang. Warum hat CDPR nochmal externe Stellen zur Klärung beauftragt, wenn Du schon alles weisst und das im Forum zu finden ist? Schreib das Management bitte mal an und sag die können sich die Kosten sparen, Ex3cuter kann Ihnen weiterhelfen...

Das Statement wurde heute releast und was da im CDPR Forum rumgetratscht wird, ist da sicher erstmal nebensächlich. Ich warte lieber ab, was die Untersuchung ergibt.

 

[luckysh0t]

Jeder Fernwartungszugang kann mit mehreren Sicherheitsfaktoren vor unberechtigten Zugriffen gesichert werden.

Durchaus. Wir z.B verbinden uns per VPN (2FA) auf unsere UTM, dann gehts weiter auf den nur internen erreichbaren RDP-Webaccess, von hier hat dann jede Abteilung zugriff auf seinen Abteilungs RDP-Host.
Und das VPN selbst hat auf der UTM Seite auch nur Zugriff was muss und nicht was geht.

Kein Zugriff auf Datentransfer, Gerätedurchreicherei etc, da geht wirklich nur Bild und Maus/Tastatur.
Und die Clients sind bei den meisten unsere Thinclients bzw Firmenlaptops - also auch keine Mischung mit privatem Gerät.


Also Möglichkeiten gibt es genug - ob man es kann und will ist etwas anderes. Und nicht doch wieder irgendwo eine Option vergessen wurde die alles andere durchlässig werden lässt xD

 

[Hylou]

oder bisherige PR Äußerungen als Lüge klassifizieren

Dafür braucht es keinen Leak.
Unzählige ihrer PR Aussagen sind bereits als Lügen enttarnt worden. Deswegen klagen Bsp auch die Investoren.

 

[Lyle]

Ach, wurden die angewiesen "Macht mal auf das Tor!!"? Das Management delegiert Aufgaben und derjenige / das Team ist dafür zuständig und verantwortlich. Wenn ich meinem Chef sage "Alles erledigt", dann setzt der sich nicht noch mal hin und checkt meinen Source Code - kann er nämlich gar nicht und ist auch nicht sein Job.

Na klar, nur wird dann der Chef sich von seinem Chef fragen lassen "Wieso war da eine Lücke?!".