News CD Projekt Red: Hacker erbeuten Source Code und erpressen Studio

[.Sentinel.]

Durchaus. Wir z.B verbinden uns per VPN (2FA) auf unsere UTM, dann gehts weiter auf den nur internen erreichbaren RDP-Webaccess, von hier hat dann jede Abteilung zugriff auf seinen Abteilungs RDP-Host.
Und das VPN selbst hat auf der UTM Seite auch nur Zugriff was muss und nicht was geht.

Kein Zugriff über Datentransfer, Gerätedurchreicherei etc, da geht wirklich nur Bild und Maus/Tastatur

So ein Angriff wird im Normalfall per Social Hacking durchgeführt.
Davor hat man bereits intensiv Daten bezüglich der Unternehmensstruktur gesammelt.

Der Angriff geschieht also von innen heraus. Und dort gibt es immer irgendeinen Port, eine OS- Schwachstelle usw. der(die) nach außen Kommuniziert bzw. ein Hop wird in der Angriffskette ausgemacht, der nach außen kommunizieren kann.

Sind Profis am Werk, hast Du keine Chance, das zu unterdrücken. Die Firewall erkennt die Muster nicht, die Heuristik lässt sich im Allgemeinen umgehen. Und mit der Kenntnis um die eingesetzte Sicherheitssoftware, lässt sich diese mit erhöhten Rechten auch ohne Probleme umgehen.

Sind die Anbindungen im Verhältnis stark, kann das auch unterhalb des Schwellwerts für das Auslösen eines Triggers im Firewalling ablaufen. Exploits tun hier dann das Übrige, um Wege zu öffnen, die eigentlich garnicht vorhanden sein dürften.

Diejenigen, die hier schlaue Sprüche klopfen, sollten sich mal mit IT- Sicherheit beschäftigen.
Dann werden sie sehr schnell feststellen, dass so ein Laden nicht sicher zu kriegen ist, wenn er operabel bleiben soll.

Ist nicht umsonst so, dass auch die größen seit Jahren immer wieder gehackt werden.

 

[Palmdale]

Man möchte (nur) kontaktiert werden? Naja mal anrufen is drin, oder nicht?

 

[SFFox]

Dafür braucht es keinen Leak.
Unzählige ihrer PR Aussagen sind bereits als Lügen enttarnt worden. Deswegen klagen Bsp auch die Investoren.

Das ist bereits bekannt und nicht direkt das Thema. Es geht ja um unbekannte Enthüllungen, die durch den Hack potentiell möglich sind.
Ich komme mir manchmal vor, als würden einige Leute hier ihre AI-Chatbots testen und trainieren.

 

[Affenzahn]

Bei mir im Konzern das selbe. Die Belegschaft wird jedes Jahr gebrieft, dass jede Mailkommunikation zu verschlüsseln ist (ist auch der Default) und Mails mit Anhängen und Links zu signieren. Macht jeder - bis auf das obere Management

Und damit kommen die durch?
Bei uns wären die knallhart auf Briefpost umgestellt worden, ganz gleich ob es Management, Gott oder der Kaiser von China ist. Binding Corporate Rules sind genau das: Verpflichtend für ALLE Mitarbeiter.
Jetzt rate mal wo ein Auditor anfängt zu suchen.

So wirklich schlau werd ich aus dem Hack nicht.
Aus Datenperspektive sind die Finanzen wohl das einzig wirklich heikle, aber Teile davon müssen ja, da AG, eh veröffentlicht werden.
Die Spiele interessieren eigentlich keinen. Warum wurde ja schon ausreichend dargelegt: Schon VÖ, kein DRM, kein Multiplayer, keine Mikrotrasaktionen. Aus dem Code lernt man nix was man nicht eh schon weiß.

Am plausibelsten halte ich da den Vorwurf der Aktienkursmanipulation.
Was nach so einem Hack los ist, ist eigentlich klar und nen schnellen short oder nen günstigen rebuy nimmt man gerne mit wenn man sich zuvor verzockt hat.
Einige hätten wohl gerne einen Meilenstein mit weiter steigenden Preisen gesehen, stattdessen gab es den Shitstorm deluxe und einen Kurs der erstmal 40% einbricht.

 

[andy_m4]

Alles halb so wild, ja?
Also ne Softwareschmiede die offenbar ihre IT nicht im Griff hat, das würde mir ja schon zu denken geben.

 

[Cool Master]

eventuell erstmal die Abteilung neu besetzen und dann die Sache angehen.

Quatsch... Jetzt schon Leute raus hauen zeigt nur das du kein guter Chef wärst und wenn du Mitarbeiterverantwortung hast tuen mir diese leid...

Ergänzung (9. Februar 2021)

die offenbar ihre IT nicht im Griff hat

Hast du da auch Beweise für? Wer sagt, dass kein Exploit ausgenutzt wurde? Jetzt schon zu urteilen zeugt von Unreife. Zumal Softwareentwicklung hat mit IT kaum etwas zu tun....

 

[MC´s]

Zum kotzen diese ganzen Kriminellen, und viele denken auch noch sie sind Helden.

 

[Lyle]

Quatsch... Jetzt schon Leute raus hauen zeigt nur das du kein guter Chef wärst und wenn du Mitarbeiterverantwortung hast tuen mir diese leid...

Boah, das ist ein Internetforum hier, wo manch eine(r) einfach seine/ihre Meinung zu Sachverhalten aus der IT-Welt äußert. Die muss einem nicht gefallen, aber da braucht man doch nicht direkt so krass persönlich zu werden. Meine Güte.

 

[andy_m4]

Hast du da auch Beweise für? Wer sagt, dass kein Exploit ausgenutzt wurde?

Achso. Wenns Bugs sind, dann fällt das nicht unter "seine IT nicht im Griff haben".

Zumal Softwareentwicklung hat mit IT kaum etwas zu tun....

Natürlich nicht. Softwareentwicklung ist sogar völlig ohne IT möglich. :-)

 

[DerTiger]

Achso. Wenns Bugs sind, dann fällt das nicht unter "seine IT nicht im Griff haben".

Entwickler haben u.U. einen gewissen grad an Freiheit welche Software oder Hardware zum Einsatz kommt.
Sie entwickeln auf Macs oder Windows, haben unterschiedliche Peripherie.
Hunderte Mitarbeiter mit unterschiedlichen Profilen.

Es gibt unbekannte oder ungefixte Bugs in essentieller Software.

Wie hat man das für deine Begriffe denn "im Griff"?

Natürlich nicht. Softwareentwicklung ist sogar völlig ohne IT möglich. :-)

Developer sind nun mal keine Basis-IT Admins.
Die einen sind Netzwerk-Hiwis, die anderen Coden.
Das sind völlig unterschiedliche Bereiche.

 

[Capthowdy]

Achso. Wenns Bugs sind, dann fällt das nicht unter "seine IT nicht im Griff haben".

Genau so sieht es aus, gut dass du das nun auch verstanden hast.

 

[Lyle]

Entwickler haben u.U. einen gewissen grad an Freiheit welche Software oder Hardware zum Einsatz kommt.
Sie entwickeln auf Macs oder Windows, haben unterschiedliche Peripherie.
Hunderte Mitarbeiter mit unterschiedlichen Profilen.

Es gibt unbekannte oder ungefixte Bugs in essentieller Software.

Wie hat man das für deine Begriffe denn "im Griff"?

Naja, es gibt schon noch sowas wie code-reviews/Qualitätskontrolle/Stresstests.

 

[Cool Master]

Die muss einem nicht gefallen, aber da braucht man doch nicht direkt so krass persönlich zu werden.

Tja, das ist halt meine Meinung, mag einem gefallen oder nicht Ja, sie ist evtl. hart aber sie ist fair. Es ist noch nichts aufgeklärt und man will schon Mitarbeiter rausschmeißen? Das zeigt wie ich schon sagt von keiner Führungsrolle und wenn tun mit die Mitarbeiter einfach leid wenn sie so eine Chef haben der 0 Empathie hat.

Achso. Wenns Bugs sind, dann fällt das nicht unter "seine IT nicht im Griff haben".

Ich schrieb bewusst Exploit und nicht Bug... Ein Exploit ist im schlimmsten Fall ein Zero Day. Aber ja, auch trotz einem Bug kann man die IT voll unter Kontrolle haben wenn man aber auf. 3. Software setzt kann das halt passieren... Siehe erst neulich als MS Opfer wurde und der Source Code geklaut wurde. Oder haben die Ihre IT auch nicht im Griff deswegen? Oder ist es evtl. anderes weil es ein Konzern ist?

Naja, es gibt schon noch sowas wie code-reviews/Qualitätskontrolle/Stresstests der Peripherie.

Und das hilft auch nicht. Erneut siehe die Hacks letztes Jahr wo durch ein Unternehmen hunderte wenn nicht tausende gehackt wurden.

 

[Zimmbo]

Ist schon erstaunlich wie viele hier anscheinend "Ahnung von IT-Sicherheit" haben. Arbeite selbst in einem Großunternehmen und wir sind bisher glimpflich davongekommen. Wahrscheinlich weil so gut wie alles, was man zum normalen Arbeiten nicht braucht, deaktiviert ist. Allerdings gibt es dann gewisse Leute die z.B. eine USB-Freigabe haben da Sie diese zum Arbeiten brauchen, und wenn die damit schlampig umgehen, dann hat man schonmal ein offenes Tor. Anderes Beispiel, bei uns werden Regelmäßig Fake Spam / Phishing Mails verschickt, um die Mitarbeiter zu Sensibilisieren für echte Schad E-mails. Was glaubt ihr wie viele der Mitarbeiter auf den Link in der Fake-Spam Mail klicken? Es sind im Schnitt fast 50%. Und je weiter höher man in der Hierarchie kommt, desto schlimmer wird es.

Zusammenfassend kann man sagen, das IT-Sicherheit immer zwei Faktoren hat, die Technik und die Person vor dem Bildschirm.

 

[Lyle]

Quatsch... Jetzt schon Leute raus hauen zeigt nur das du kein guter Chef wärst und wenn du Mitarbeiterverantwortung hast tuen mir diese leid...

Sehr empathischer Kommentar.

Und das hilft auch nicht. Erneut siehe die Hacks letztes Jahr wo durch ein Unternehmen hunderte wenn nicht tausende gehackt wurden.

Na freilich hilft das. Bietet es 100 %ige Sicherheit? Mitnichten. Zwischen min und max liegt allerdings noch einiges dazwischen.

 

[Vigilant]

again. Was ist daran so schlimm? Witcher 3 wurde schon released.

Einbruch bleibt Einbruch,
Diebstahl bleibt Diebstahl,
Erpressung bleibt Erpressung usw.

Um welchen Gegenstand, in welchem Zustand und Alter es sich handelt, ist völlig unerheblich. Ebenso, welche Art von Schwachstelle ausgenutzt wurde.

 

[Lyle]

Ist schon erstaunlich wie viele hier anscheinend "Ahnung von IT-Sicherheit" haben. Arbeite selbst in einem Großunternehmen und wir sind bisher glimpflich davongekommen. Wahrscheinlich weil so gut wie alles, was man zum normalen Arbeiten nicht braucht, deaktiviert ist. Allerdings gibt es dann gewisse Leute die z.B. eine USB-Freigabe haben da Sie diese zum Arbeiten brauchen, und wenn die damit schlampig umgehen, dann hat man schonmal ein offenes Tor. Anderes Beispiel, bei uns werden Regelmäßig Fake Spam / Phishing Mails verschickt, um die Mitarbeiter zu Sensibilisieren für echte Schad E-mails. Was glaubt ihr wie viele der Mitarbeiter auf den Link in der Fake-Spam Mail klicken? Es sind im Schnitt fast 50%. Und je weiter höher man in der Hierarchie kommt, desto schlimmer wird es.

Zusammenfassend kann man sagen, das IT-Sicherheit immer zwei Faktoren hat, die Technik und die Person vor dem Bildschirm.

Da hilft nur technischer Schutz soweit möglich, ernstgenommene und regelmäßige Mitarbeiterschulung, sowie klare Regeln mitsamt klar kommunizierter Konsequenzen bei Verstoß gegen eben jene.

 

[DerTiger]

Naja, es gibt schon noch sowas wie code-reviews/Qualitätskontrolle/Stresstests.

In einem gewissen Rahmen, wohl. Aber der hat Grenzen.
Es gibt nicht ohne Grund regelmäßig Softwareupdates.
Bugs treten immer wieder auf und können auch unbemerkt bleiben.
Zudem kann in einer heterogenen Umgebung mit einem gewissen Grad an persönlicher Freiheit niemand in angemessener Zeit alle Softwarekomponenten durchtesten.

 

[Faust II]

Man möchte (nur) kontaktiert werden? Naja mal anrufen is drin, oder nicht?

WhatsApp Nachricht: "Yo was geht, diggas?" 😄

Neh, ich schätze mal hier wurde einfach ganz klar ausgelassen um was es tatsächlich geht. Sich an die Öffentlichkeit zu wenden ist da auch nur Schadensbegrenzung, denn wenn die Hacker alles haben, können sie selbst auch nicht viel mehr anders machen als erpresst wird. Da wird wohl noch was kommen, die Frage ist wer bringt es zuerst, in welcher Form.

Was die Sicherheit angeht: Natürlich geht das alles anders, wie hier schon Jemand schrieb 2 getrennte Netzwerke etc. Natürlich alles etwas komplexer als das ist es schon aber letztlich einfach nur eine Kostenfrage. Da wird auf bei der Sicherheit geschludert und das ist das Ergebnis.

Bei der Firma ja nicht das erste mal das wegen Geldgeilheit bei irgendwas geschludert wird mh? 😉

 

[HanneloreHorst]

Sie werden jetzt mit all den Features erpresst, die es nicht ins Spiel geschafft haben und nur das ist der einzig wahre Grund, warum das Spiel so wurde, wie es ist und sie mussten es Launchen um das Lösegeld für die Daten zusammen zu kriegen.

What a Story!

Spaß beiseite, ich denke mir bei sowas immer "na und?".
Sollen sie die Spiele doch trotzdem genau so wie geplant raus bringen, ja, Infos sind was tolles aber was noch viel geiler ist?
Ein gutes Spiel spielen.
Solange keine Nutzerdaten betroffen sind, finde ich die Spoilers nicht wirklich bedrohlich für ein Unternehmen.

Selbst wenn die Story gespoilert wird, ich meine, fast jede Story ist vorhersehbar und selbst Wendungen sind ja mittlerweile recht breit ausgelutscht worden, man kann sich schon denken was passiert und trotzdem zockt man Spiele.

Und zur Datensicherheit muss man halt auch sagen, dass eigentlich nichts, was irgendwie an irgendeinem Netz dran ist, ist unhackbar.
Manche Informationen werden ja sogar gefühlt absichtlich gestreut um ein Produkt interessanter zu machen, quasi kostenlose Werbung.

Trotzdem ist es schon lustig, dass manche großen Firmen es mit der Datensicherheit genau so lapidar halten wie der HSV.