News Sicherheitslücke bei Nintendo: 160.000 Benutzerkonten kompromittiert

[Rastla]

Die Nintendo Switch hat einen gravierenden Hardware-Bug (Tegra), der unfixbar ist. Brought to you by nVidia!
Die Konsole ist so offen, wie sonst keine Andere und interessieren tut es Niemanden. Stattdessen werden munter hunderttausende Konsolen mit unfixbarem Serienfehler dem ahnungslosen Kunden untergejubelt.

Nintendo weiss das seit jetzt fast genau 2 Jahren (April 2018), nVidia ebenso. Der Tegra hat einen heftigen Bug und ist unpatchbar. Und das reihenweise Konten der Benutzer kompromittiert werden würden, haben die Leute schon damals gesagt.

Das hat 1. nichts mit dem aktuellen Thema zu tun und 2. wie du bereits richtig erwähnt hast ein Hardware Bug. Also insofern - wo siehst du hier ein Problem?
Oder glaubst du es wurden 160k Switch Konsolen manuell (also per Hand und vor Ort) durch diesen Bug ausgenutzt? Warum dann überhaupt diesen Umweg gehen wenn man die Konsole bereits in der Hand hält und einfach direkt dieses Schundluder betreiben könnte?

 

[[wege]mini]

Ach ja, die Nintendo Network ID

Eine super Erfindung, fast genauso toll wie amiibo.

Diese Network ID ist genauso Weltklasse, wie in der www-Adresse die Session-ID mit reinzuschreiben oder seinen Nick Name auch gleichzeitig als Login Name und als mail Adresse zu nehmen und am besten, den auch noch als PW.

Kommt vor, Mund ab putzen, weiter machen.

mfg

 

[iSight2TheBlind]

@TechFA Die iCloud-Sache damals war Phishing und dass die Switch offen ist spielt auch keine Rolle!
Man kann vor Ort eine Switch manipulieren, aber nicht remote!
Die Switch besitzt nicht mal einen (frei nutzbaren) Browser über den man das System angreifen könnte wenn der Nutzer im Internet surft.

 

[22428216]

Ach, was bin ich froh, mit der SNES gespielt zu haben.
Kassette kaufen, reinstecken und Spaß haben. So einfach ist es.
keine Konten, Käufe und anderer Mist.

 

[[wege]mini]

keine Konten, Käufe und anderer Mist.

Dafür konnte man mit wenig Aufwand diese Dinger genauso gut kopieren wie Disketten, Kassetten oder heute einfache Daten. Der Aufwand war nur etwas höher als heute ein Download.

Nur "leider" konnte Nintendo überhaupt gar nicht nachvollziehen, was irgend wo in (Namen hier einsetzen) hergestellt wurde und dann über irgend welche Kanäle verkauft wurde.

Heute ist es Asien, früher war es Osteuropa. Wenn du da in einen "Software" laden gehts/gegangen bist, fällst du vom Glauben ab. Irgend wo kann man die Hersteller auch verstehen.

If you like the shit, buy it.

Wenn der Kopierer mehr verdient als der Urheber, ist irgend etwas falsch gelaufen, egal ob der Urheber "zu hohe" Preise verlangt.

mfg

 

[testwurst200]

2fa ist ja schön und gut jedoch müsste man dafür oft sein handy benutzen und das möchte ich nicht

 

[LeifErik]

Passwort ändern, 2-Stufen Sicherheit aktivieren und gut ist.

Zudem: 160.000 Accounts klingt erstmal viel, aber bei insgesamt mindestens 50+ Mio. relativiert sich diese Zahl dann doch wieder.

 

[Chismon]

Bei Millionen von Sony Playstation Accounts war der Hack von Benutzerkonteninfos ja einmal derb lange in den Medien und hat auch wohl Sony imagetechnisch eine Weile geschadet und seitdem scheinen Sie die Sicherheit hoch angesetzt zu haben.

Schade, dass das bei Nintendo jetzt mit der Switch wohl nicht in ausreichendem Maße der Fall gewesen zu sein scheint (auch wenn das den üblichen Leuten hier mit rosa Nintendobrille nicht gefallen mag und man es klein redet, die Faktenlage ist auch bei relativ kleinem Ausmaß immer noch die gleiche, sonst sähe sich Nintendo auch nicht genötigt darauf offiziell einzugehen).

Soweit mir bekannt ist, hat nur Microsoft jetzt noch eine weisse Weste diesbzgl., weswegen ich denke, dass dort von allen großen Konsolen-Herstellern/Services die Kundendaten i.a. noch am sichersten aufgehoben sein dürften (zumal man als Unternehmen dort mit Hackerangriffen wohl auch die längste und meiste Erfahrung gesammelt haben dürfte).

Bleibt zu hoffen, dass das zukünftig bei Nintendokonsolen nicht mehr gehen wird und noch höhere Priorität geniessen wird.

 

[jabberwalky]

Bezahlen tue ich aber eh nur mit den Prepaid Karten, daher dürfte ich relativ safe sein.

Mach ich auch immer so. Auch anderswo. Selbst beim Handy. Dann gibt es auf keinen Fall unangenehme Überraschungen.

 

[[wege]mini]

Soweit mir bekannt ist, hat nur Microsoft jetzt noch eine weisse Weste diesbzgl.

Hier müsste man weiße Weste definieren.

Mit Blick auf Corona kann ich z.B. nicht fassen, dass niemand über Skype redet. Aktuell kenne ich kaum eine Software die sich weniger meldet, wenn sie auf mehreren Geräten zeitgleich angemeldet ist.

mfg

p.s.

mich hat schon vor Jahren erschreckt, dass ich auf mehreren Systemen zeitgleich mit meinem Skype Account angemeldet sein kann/konnte und das offline logfile tatsächlich auf allen Systemen funktioniert(e). Ob jmd. 3tes zusätzlich auch noch mit dabei ist/war, konnte ich nicht verifizieren

Das macht echt Spaß....im Skype irgend welche sensitive Daten zu posten ist/war echt sportlich

 

[FatalFury]

Dieses Asitaische Denken (siehe Olympischen Spiele in Japan - Japan damals, wir haben kein Corona Problem) hat den Coronavirus gebracht.
Alles immer verbergen wollen und nur den schönen Selfi Moment zulassen. Ich hab da langsam kein Bock mehr auf Asia Zeugs. Nintendo reagiert da genauso wie China mit dem Coronavirus.

 

[paokara]

Hmm das Thema mit den Nintendo Network IDs und mit den Accounts ist ja ein wenig verwirrend.

Mein Nintendo Account scheint davon nicht betroffen zu sein. Aber wie kann ich denn jetzt bitteschön das Passwort meiner Nintendo Network ID ändern? Muss dies direkt am 3DS oder an einer WiiU durchgeführt werden?

Viele Grüsse

 

[Tuxgamer42]

Man hat sie umgangen, weil man wußte, wie die Kiste arbeitet, kommuniziert und so weiter. Eben weil man hinter die Kulissen gucken konnte, nachdem man per Jailbrake drin war.

Ah, ein Fan von "Security by Obscurity".

Sorry, das war noch wirklich nie die Lösung. Also ähm nein, Software muss so designed sein, dass sicher auch wenn alle Implementierungsdetails bekannt.

Dass eine Zusammenhang zwischen Jailbrake und "Fappening" (mit p? weil kommt von happening, englisch "Ereigniss") schlicht und einfach nicht exisitert, wurde ja bereits erwähnt.

 

[aivazi]

Hmm hatte vor einem Monat eine komische Anmeldung aus Amerika gehabt auf meinem Nintendo Account gehabt.
Anschließend das Passwort geändert und die 2FA aktiviert, letzteres ist inzwischen Extrem wichtig geworden unabhängig von Nintendo, wenn man keinen Passwort Generator verwendet der ein Verrückt Langes "unmerkbares-Passwort generiert. Zumindest kriegt man da früh genug Feedback und kann bei ungewollter Anmeldung schnell genug reagieren, bevor irgendwas verloren geht.

 

[ChrFr]

Muss dies direkt am 3DS oder an einer WiiU durchgeführt werden?

Ja scheint nur auf den beiden Geräten / Geräte-Familien möglich zu sein.
Ich habs auch auf meiner WiiU gemacht.

MfG
Christian

 

[D.M.X]

Selbes Spiel wie immer, alles erst zugeben wenn man erwischt wurde. Ich weiß nicht wie es den anderen hier geht aber Firmen die das so handhaben verlieren bei mir massiv an Sympathie. Benutzerdaten zu leaken ist immer kacke aber es gibt auch Unternehmen das das vorbildlich gehandhabt haben. Direkt offensiv den Kunden informieren und ehrlich damit umgehen.

 

[Kalsarikännit]

2fa ist ja schön und gut jedoch müsste man dafür oft sein handy benutzen und das möchte ich nicht

dachte ich erst auch und hab mich lange Zeit dagegen innerlich gesträubt, aber mittlerweile hab ich es überall aktiviert wo es nur geht. Dank Push auch wirklich sehr einfach im Handling. Aber klar, den Knochen hast halt immer dabei.

 

[Cohen]

Bei Millionen von Sony Playstation Accounts war der Hack von Benutzerkonteninfos ja einmal derb lange in den Medien und hat auch wohl Sony imagetechnisch eine Weile geschadet und seitdem scheinen Sie die Sicherheit hoch angesetzt zu haben.

Schade, dass das bei Nintendo jetzt mit der Switch wohl nicht in ausreichendem Maße der Fall gewesen zu sein scheint (auch wenn das den üblichen Leuten hier mit rosa Nintendobrille nicht gefallen mag und man es klein redet, die Faktenlage ist auch bei relativ kleinem Ausmaß immer noch die gleiche, sonst sähe sich Nintendo auch nicht genötigt darauf offiziell einzugehen).

Ich habe sicherlich keine rosa Nintendobrille, aber auch abseits der Größenordnung (0,16 Mio. statt 77 Mio. kompromittierte Accounts) ist die Faktenlage mMn nicht die gleiche.

Bei dem aktuellen Nintendo-Fall hatte man schon vor der Sicherheitslücke die Möglichkeit, seinen Account durch Zwei-Faktor-Authentisierung zusätzlich abzusichern.

Diese Möglichkeit hatte Sony seinen Kunden damals nicht geboten, abseits vom Passwort gab es keinerlei optionalen Sicherungsmöglichkeiten. Und auch nach diesem Hack hat sich Sony weiter fünf Jahre Zeit gelassen, um Zwei-Faktor-Authentisierung optional anzubieten.

 

[iSight2TheBlind]

@D.M.X Ich gege nicht davon aus, dass es hier wirklich um etwas geht an dem Nintendo direkt Schuld hat.
Ich bin überzeugt, dass der Zugriff hier nicht über eine Sicherheitslücke erfolgte, sondern über Zugangsdaten die auf anderem Wege erlangt wurden und die man hier einfach auch mal bei Diensten von Nintendo ausprobiert hat.

Der einzige Teil wo Nintendo dann doch eine Schuld trägt ist ihr überkompliziertes Accountsystem.
Nintendo hat über die Jahre zig neue Benutzeraccounts eingeführt, die man dann bei jedem Wechsel zu einem neuen Accountsystem miteinander verknüpft hat und die ewig mitgeschleppt werden.

In diesem Fall war es wahrscheinlich so, dass Kriminelle (ein gefühlt zu hartes Wort, „Hacker“ wäre aber falsch) einen der alten Accounts als Loginweg nutzen konnten um mit dort gültigen Zugangsdaten Zugriff auf den aktuellen (und mit dem alten Accountsystem verknüpften) Account zu erlangen.
Und die alten Zugangsdaten werden halt welche gewesen sein die irgendwann mal an anderer Stelle geleakt wurden, bei denen der Nutzer aber niemals drauf kam, dass er sie auch bei dem alten Accountsystem von Nintendo hätte ändern sollen, da er beim neuen System wahrscheinlich schon ein ganz anderes Passwort verwendet.

Nintendo hätte also ihre Accountsysteme schon vor langer Zeit mal aufräumen sollen und für den Fall dass über diesen Weg auch die Zweifaktorauthentisierung umgangen werden konnte war da natürlich ein großer Fehler von Nintendo - aber das eigentliche Problem hier wird trotzdem darin bestehen, dass die Nutzer Passwörter mehrfach verwendet haben.

 

[Coeckchen]

Hmm ich habe mit meinen beiden Konten Glück gehabt, nun habe ich die zwei Wege Authentifizierung aktiviert.
Denn bei Epic und Origin wurde ich auch von heute auf Morgen gehackt obwohl ich sehr vorsichtig war und die Daten bei jedem Konto einmalig sind und nirgendwo verwendet werden. Trotzdem wurden diese durch irgendeine Sicherheitslücke bei EA und Epic entwendet.

Ging mir mit Spotify so...Account gemacht, Premium "Testmonat" Aktiviert und 2 Wochen später wurde Passwort und Email geändert (Mail war .fr), der Support konnte mir dann nicht helfen weil ich kein Zahlungsbeleg vorweisen konnte für den Gratis Testmonat den ich nicht bezahlt hab...