News Nach Cyberangriff: Hacker veröffentlichen interne Daten von Insomniac Games

[Glendon]

Ich frage mich ja, wer außer des betroffenen Studios und Sony bereit wäre die 1,9 Mio. zu bezahlen. Für alle anderen hat das doch gar keinen großen Wert, oder?

 

[noway]

Wer weiß, vllt irgendwelche Konkurrenz?!

 

[gaym0r]

Ich frage mich ja, wer außer des betroffenen Studios und Sony bereit wäre die 1,9 Mio. zu bezahlen. Für alle anderen hat das doch gar keinen großen Wert, oder?

Es gibt viel zu viele Unternehmen, die zahlen, entgegen dem Rat der Polizei.
Kenne kleinere Unternehmen (kleiner als Sony), die mehr gezahlt haben.

 

[EdwinOdesseiron]

Das ist ja häufig nur der erste Einfallspunkt. Das Wort ist trotzdem richtig. Vielleicht guckt ihr auch einfach nur zu viele Filme in denen Kapuzenjungs eine Firewall überwinden.

Ja genau so wird es sein. Hacking ist für mich eine aktive Maßnahme und kein Fangnetz was man auswirft um zu sehen was hängen bleibt. Aber heutzutage ist ja alles ein "Hack", klingt halt spannender und macht den alten Leuten bei der Tagesschau Angst vor den cOmPuTeRn.

 

[Maine]

Das ist ja häufig nur der erste Einfallspunkt. Das Wort ist trotzdem richtig. Vielleicht guckt ihr auch einfach nur zu viele Filme in denen Kapuzenjungs eine Firewall überwinden.

schön, dass du genau weißt, was ich unter "gehackt" verstehe. Oder es könnte auch einfach sein, dass du jede nur erdenkliche Gelegenheit nutzen musst, um dir einzureden, dass du besser bist als andere, who knows.

 

[Mondgesang]

"Gehackt"

Ist aus derselben Trickkiste wie AI und Cyber. Im Neuland der Digitalisierung kann man mit solchen Begriffen von den Laien viel Aufmerksamkeit und Dramatik erzeugen.

 

[Zer0DEV]

Du glaubst echt dass das eine Person ist und weiter, dass er/sie den Verpflichtungen nicht nachgekommen ist? Bist du die Person oder woher weißt du das? Oder wolltest nur mal Schwachsinn im Internet verbreiten? Ich habe da so eine Tendenz

Das was Du glaubst interessiert mich ja nicht.
Das was Du zu deuten scheinst, ist in jedem Fall eine Fehldeutung.
Mit keiner Silbe steht in meinem Posting etwas, dass es um "eine Person" geht.

Wer sich mit der DSGVO nur ein kleines bisschen beschäftigt hat, sollte zwischenzeitlich mal verstanden haben, dass der "Verantwortliche für die Datenverarbeitung" das Unternehmen ist das die Daten erhebt/verarbeitet. Wenn also Kopien von Reisepässen im Dateisystem des Spieleentwicklers liegen, dann ist der Verantwortliche für die Datenverarbeitung eine juristische Person, also der Spieleentwickler. Im Zweifel gibt es aber auch Gemeinsam Verantwortliche, sofern da Sony selbst auch noch ein Wort mitreden tut. Dann sind Entwickler und Publisher verantwortlich und damit Schuld.

Wie kommen Ransomwareangriffe zu Stande? Natürlich weil jemand etwas angeklickt hat!
Wie kann man dem entgegenwirken? Durch Mitarbeiterschulung zum Datenschutz und Informationssicherheit!
Kann die IT was dafür? Grundsätzlich auszuschließen ist das nicht. Sofern alle Möglichkeiten der Härtung ausgeschöpft wurden, ist das schwächste Glied noch immer der mit der Maus in der Pfote!

 

[Kano]

Rhysida fordert derweil ein Lösegeld in Form einer Auktion. Die Hackergruppe hat Insomniac bis zur Veröffentlichung des vollständigen Datensatzes eine Frist von sieben Tagen eingeräumt. Währenddessen können aber auch andere Interessenten zuschlagen: Ab 50 Bitcoins (1,9 Millionen Euro) verspricht Rhysida einen exklusiven Zugriff auf die Daten.

Das einzige Problem, welches Blockchain effizient löst: Große Mengen erpresster Lösegelder an Unbekannt transferieren.

 

[Beg1]

Klar, größter Unsicherheitsfaktor ist der Mensch. Aber eine gute Sicherheitsarchitektur sollte in der Lage sein, auch menschliche Fehler auszubügeln.

Sorry, aber wenn ein Mitarbeiter auf der Arbeit ständig zwielichtige Anhänge mit unbekannten Dateiformaten öffnet und permanent am rumsurfen ist, da reden wir echt von tagesaktuell idiotensicher und das gibt es nicht.

Und glaub mir, davon gibt es in fast jeder Verwaltung einige (und nicht nur in Verwaltungen)...

 

[gaym0r]

schön, dass du genau weißt, was ich unter "gehackt" verstehe. Oder es könnte auch einfach sein, dass du jede nur erdenkliche Gelegenheit nutzen musst, um dir einzureden, dass du besser bist als andere, who knows.

Geht es dir gut?

 

[coffee4free]

Artikel-Update: Kurz nach Ablauf der Frist habe Rhysida 98 Prozent der erbeuteten Daten veröffentlicht, heißt es in einem neuen Bericht von Cyber Daily. Veröffentlicht wurden demnach 1,67 Terabyte an internen Daten von Insomniac Games, verteilt auf 1,3 Millionen Dateien. Für die übrigen zwei Prozent habe die Ransomwaregruppe offenbar einen Käufer gefunden.

Enthalten sind wohl zahlreiche Design-Materialien aus dem noch unveröffentlichten Wolverine-Spiel. Das Datenleck umfasse aber auch Dateien aus Spider-Man 2, interne Personalunterlagen, Screenshots aus Insomniacs Slack-Kanälen sowie Inhalte von mehreren Mitarbeiter-PCs.

Darüber hinaus sei in dem Datensatz aber auch eine unterzeichnete Vereinbarung zwischen Marvel und Sony Interactive Entertainment zu finden, die auf drei kommende X-Men-Spiele hinweist, sodass nach dem bereits genannten Wolverine-Spiel noch zwei weitere Ableger aus diesem Franchise folgen dürften. Wolverine soll demnach am 1. September 2025 veröffentlicht werden, die beiden Nachfolger jeweils Ende 2029 respektive Ende 2033. Sonys Budget für die drei Titel liege der Vereinbarung zufolge bei jeweils 120 Millionen US-Dollar.

 

[9t3ndo]

Also bis auf Personaldaten ist das doch eher weniger schlimm. Im Endeffekt hat man jetzt eine Roadmap zu kommenden Titeln aber alles was mit Geld zu tun hat, muss doch als AG eh in irgendeiner Form offen gelegt werden.
Die meisten Assets kommen heutzutage eh von Quixel Megascans und die paar händig erstellten sind dann eben auch nur spezifisch für die produzierten Spiele zu gebrauchen.

 

[habla2k]

Offenbar kein kompletter Quellcode von irgendwas?

Etwas mulmig macht ja höchstens, dass irgendjemand Geld bezahlt hat um 2% zu bekommen. Was das wohl war? Und wer das wohl war?

Krass finde ich auch, dass ein Spiel für in 10!! Jahren geplant ist. AAA Produktionen dauern heute einfach viel zu lange.

 

[Trimipramin]

"Um ein Statement zu setzen, werden wir hier nicht im Detail darauf eingehen, was genau veröffentlich wurde"
DAS hätte ich hier gerne gelesen. Schlimm genug ist die Sache ja.

 

[johnieboy]

DAS hätte ich hier gerne gelesen. Schlimm genug ist die Sache ja.

Einfach auf Reddit in den entprechenden gaming Leak Subreddit schauen, da wird mittlerweile alles fein säuberlich aufgelistet was die Spiele betrifft

Der Leak ist sehr sehr umfangreich, u.a. von der Spiele Timline bis 2030, der kompletten Story von Wolverine, pre Alpha Gameplay bis zu dem Lizenzabkommen zwischen Insomniac/Sony und Marvel für ein zukünftiges Spiel ist da alles dabei.

 

[Diablokiller999]

Mit ein Grund, wieso ich in meiner Firma ständig eine eigene IT Abteilung mit Fokus auf Sicherheit haben möchte - aber da rede ich mir ja den Mund fuselig.
Letztens wurde ein großer Kunde von uns gehackt, hatte schon Herzsausen, dass das über uns passierte.

Hoffe die Ermittlungen werden was ergeben, fand Insomniac immer sehr sympathisch, vor allem deren GDC Talks halfen mir super weiter

 

[Marco01_809]

@Trimipramin Finde ich Unfug. Abfließende Details und Daten zu zukünftigen Spielen erzeugen allenfalls einen Schaden finanzieller Natur - ein Risiko das jedem IT-Unternehmen bekannt ist und gegen Investitionen in die Sicherheit abgewogen wird. Wenn der Schaden so katastrophal ist/wäre hätten sie vorher mehr absichern müssen.

Deutlich unfeiner sind die E-Mails und Reisepass-Scans. Kein netter Zug, Mitarbeiter-Daten als Druckmittel einzusetzen. Auch hier würde ich dem Unternehmen aber vorwerfen derart sensible Daten auf unsicheren Systemen dauerhaft zu speichern. Das kommt halt dabei raus wenn alles auf Zwang digitalisiert werden muss, wir aber in Sachen IT-Sicherheit noch in der Steinzeit herumstochern. Ne Kopie auf Papier hätten die Hacker nicht raustragen können.

 

[Rocketeerxx]

@gartenriese Natürlich ist das für Betroffene beschissen... die Verantwortung trägt aber alleinig der Verantwortliche für die Datenverarbeitung und der ist offenkundig seinen Verpflichtungen (u.a. Mitarbeiterschulungen zum Datenschutz und Informationssicherheit) nicht nachgekommen.

Betroffene müssen im Zweifel den Spieleentwickler wegen Nachlässigkeit verklagen. In den USA kein Ding der Unmöglichkeit. Bei uns, mit DSGVO, eher Schein als sein...

"die Verantwortung trägt aber alleinig der Verantwortliche für die Datenverarbeitung"

Definitiv nein! Die Verantwortung tragen die Drecksäcke, die die Daten gehackt und veröffentlicht haben.
Aus meiner Sicht ist das System Bitcoin und Co. ein Tummelplatz für Kriminelle aller Art. Das sollte reguliert oder besser komplett abgeschafft werden.

Damit wäre für die meisten Hacker der Anreiz weg.

 

[Atnam]

Die meisten Assets kommen heutzutage eh von Quixel Megascans und die paar händig erstellten sind dann eben auch nur spezifisch für die produzierten Spiele zu gebrauchen.

Für die Unreal Engine aufjedenfall, Sony Studios nutzen aber eigene Engines für ihre Spiele.
In dem Fall hier wären es dann vermutlich alles speziell erstellte Assets die trotzdem in den Umlauf kommen.
Schön stell ich mir das nicht vor.

 

[B01scout]

"die Verantwortung trägt aber alleinig der Verantwortliche für die Datenverarbeitung"

Definitiv nein! Die Verantwortung tragen die Drecksäcke, die die Daten gehackt und veröffentlicht haben.
Aus meiner Sicht ist das System Bitcoin und Co. ein Tummelplatz für Kriminelle aller Art. Das sollte reguliert oder besser komplett abgeschafft werden.

Damit wäre für die meisten Hacker der Anreiz weg.

DSGVO in Europa oder andere Regelungen in USA betreffen die legale Datenverarbeitung und -Sicherheit in der Firma; Strafgesetz kümmert sich dann um die Hacker. Das sind zwei unterschiedliche Sachen.