Update 13.5., 22:30:
Am Abend hat Square Enix Stellung zu den Vorkommnissen bezogen. Im folgenden die wesentlichen Sätze der Stellungnahme:
Square Enix bestätigt, dass eine Gruppe von Hackern sich Zugang zu Bereichen der Eidosmontreal.com Webseite sowie von zwei weiteren Produktseiten geschaffen hat. Wir haben sofort die betroffenen Websites offline gestellt und haben umgehend Maßnahmen zur Überprüfung der Sicherheit eingeleitet. Bevor wir diese Seiten wieder online stellen, erhöhen wir nach unseren strengsten Maßstäben die Sicherheit der betroffenen und auch der anderen Webseiten.Eidosmontreal.com hat keine Kreditkarteninformationen gespeichert und auch die Spielcodes sind nicht von dem Angriff betroffen. Darüber hinaus sind uns jedoch bis zu 350 Zugänge an Bewerbungen auf der Webseite eingegangen und wir sind gerade damit beschäftigt, jeden einzelnen Betroffenen anzuschreiben, um uns in aller Höflichkeit bei ihnen zu entschuldigen. Zusätzlich haben wir entdeckt, dass auf ungefähr 25.000 E-Mail Adressen nicht mehr zugegriffen werden kann. Diese E-Mail Adressen sind jedoch nicht mit Personendaten verbunden. Sie dienen lediglich zur Website Registrierung und geben uns Informationen über die Nutzer, um ihnen Neuigkeiten über Produkte mitzuteilen.Weder die Verbreitung noch ein Missbrauch von irgendwelchen persönlichen Informationen sind in dieser Hinsicht von unserer Seite festgestellt worden.
Dass so schnell eine Stellungnahme folgt, dürfte mit dem globalen PR-Fiasko zusammenhängen, das aktuell Sony Computer Entertainment und auch Mutterkonzern Sony wegen der Millionen von gehackten PSN-Accounts erleidet.
Ursprüngliche News vom 13.5.:
Wie die Seite KrebsOnSecurity berichtet, wurden diese Woche mehrere Webseiten von Eidos Interactive und ihrem derzeit größtem Zugpferd Deus Ex - Human Revolution gehackt. Die Seiten waren seit Dienstagmorgen für einige Stunden offline -- am Mittwochabend erschien ein Banner der Verantwortlichen mit der Aufschrift "Owned by Chippy1337" mit mehreren Namen der vermeintlichen Hacker.
Nach Angaben der Angreifer sollen unter anderem 9000 Lebensläufe, persönliche Informationen von 80000 Usern der Deus-Ex-Seite und etwas, was die Hacker "src" nennen, gestohlen worden sein. Dabei handelt es sich vermutlich um den Source Code der Homepage oder gar vom neusten Deus-Ex-Spiel. Verantwortich für den Angriff soll eine Splittergruppe von Anonymous sein, die sich aus Protest gegen die Veröffentlichung der Pressemitteilung zu den Sony-Angriffen ablöste. Eine offizielle Stellungnahme von Eidos liegt uns derzeit noch nicht vor.
Also, falls Eidos so unklug war, den Source-Code des Spiels auf einem Webserver abzulegen... hatten sie wohl den selben Sicherheitsexperten als Berater im Haus, dem auch Sony vertraut hat.
Auf irgendwelchen Servern liegt der Code schon rum. Wenn es die Server sind auf denen auch die Webseiten gelagert werden ist das erstmal kein Problem. Sowas haben große Serverfarmen so an sich.
Auch wird bei verteilten Mitarbeitern sicherlich auf den Code von außen zugegriffen werden können.
Problematisch wird es nur, wenn du durch einen einfachen Hack der Webseiten und offensichtlich der Forendatenbank an einen Sourcecode eines Spieles kommst. Aber das der bei Entwicklern oft nicht so gut abgesichert ist haben ja schon Valve und dann Crytec bewiesen.
Genau dein letzter Absatz ist das Problem. Das lässt sich aber eigentlich so einfach verhindern, dass sich mit Mitleid mit Software-Entwicklern und Admins, die DAS nicht hinkriegen, sehr in Grenzen hält.
Auf dem Webserver sicher nicht. Die Frage ist wie das Sicherheitskonzept aussieht und ob es so schlecht ist, dass die "Hacker" über sie den Einstieg ins interne Netz geschafft haben. Allerdings glaube ich nicht wirklich daran.
Heute ist wohl jeder "Hacker" von Anonymous. Als ich heute früh zur Arbeit gefahren bin, hab ich 'nen totes Tier auf der Straße gesehen. Waren bestimmt auch die Hacker von Anonymous.
Naja, prizipiell ist jeder Anonymous es sei denn er outet sich anderweitig als nicht Anonymous. Das ist das lustige an so einer amorphen Gruppierung. Ich glaube aber auch das wenige Leute ein Verständniss dafür entwickeln wie das eigentlich ist mit Anonymous und wie das funktioniert und das es sich nicht ausschließlich um Hacker oder irgendwelche Nerds handelt ...
Hier auf GG geht es in den Newskommentaren doch sowieso meistens nur um das Hetzen gegen bestimmte Buhmänner, oder? Ob das jetzt gerade vermeintliche Kopierer sind oder schon wieder Anonymous spielt da doch keine Rolle - man interessiert sich höchstens noch weniger dafür, ob die überhaupt was mit der Meldung zu tun haben. Das ist so wie bei der BILD mit den Ausländern oder Arbeitslosen. Was dort der arbeitslose Ausländer ist, ist hier der kopierende Hacker.
Sobald irgendwo unfähige Firmen (die dafür natürlich keinesfalls kritisiert werden) Daten in die ganze Welt geleakt haben, geht das Gekreische gegen Anonymous los. Nicht weil sie dafür verantwortlich wären (wo kämen wir da hin), noch nicht mal weil es darunter vielleicht einige Hacker gibt, sondern weil unseriöse Medien mal (zu völlig anderen Themen) fälschlicherweise mutmaßten es handele sich bei Anonymous um irgendwelche Hacker. Das reicht dann auch schon. Daran kann man sich dann gerade noch erinnern. :D
Was machen die ganzen Lebensläufe auf einem Server, welcher "im Netz steht"? Und wenn wirklich der Sourcecode auch dort abgelegt war...
Vorallem kann ich mir nicht vorstellen das irgendwer extra erwähnen würde das sie die "src" von einer Webpage runtergeladen haben
Ich habe für diese Gruppe keine Sympathien mehr übrig. Das hat nichts mehr mit Sicherheitslücken aufzeigen etc. zu tun - das ist einfacher Datendiebstahl mit der Schädigung von zigtausend unbeteiligten Menschen, deren Daten da gelagert wurden. Jeder, der sich zu dieser Gruppe zählt sollte in meinen Augen wissen, dass der Name nicht mehr für irgendwelche nerdigen oder lustigen/sympathischen Aktionen steht, sondern für einfache kriminelle.
Falls du mit "diese Gruppe" Anonymous meinst (was ja eigentlich keine Gruppe ist) dann frage ich dich wo siehst du die Beweise für deinen doch recht verurteilenden Post?
In der News hier auf GG lese ich nur ein "soll verantwortlich sein" und auch auf der "Krebs" Seite stehen nur Dinge wie "seems to be" oder noch besser ist der Absatz wo geschrieben wird das der Hack wohl nur wenige Tage nach dem Sony Hack passierte und sie daher verdächtig werden. Hä? Wenn in München ein Autounfall passiert und wenige Tage später einer in Berlin ist doch auch nicht unbedingt die gleiche Person schuldig oder? (ich weiß Vergleiche ... aber bitte das ist echt kein Beweis für Schuld oder Unschuld)
Da die Gruppe eben aus einer anonymen Masse besteht kann jeder seine Zugehörigkeit behaupten. Es lässt sich also weder sagen, ob diese Hacker "dazugehören", oder nicht.
Insofern hast du Recht damit, dass es keine Beweise gibt oder geben kann. Aber jeder, der meint etwas tolles zu tun, wenn er sich dieser "Bewegung" durch tragen von Masken oder ähnlichem anschließt, muss doch klar sein, dass sich ein paar Meter weiter wahrscheinlich Menschen mit Motiven, die man selber kaum unterstützen würde, derselben Masse anschließen.
Es gibt ein paar sympathische Ideen dahinter. Aber im Großteil hat sich durch das Bekanntwerden der Idee und deren grundsätzliches Problem (was nun mal ja auch ihre eigentliche Grundidee ist - die Anonymität) wohl eher ein Sammelbecken für zweifelhafte Charaktere gebildet.
In dem Sinne gibt es die Gruppe eigentlich nicht mehr. Entweder steht man für alles ein, was jeder unter Berufung auf die Gruppierung tut, oder es gib die Gruppe in dem Sinne nicht mehr. Die Idee mag ja noch leben, aber sich selber als Mitglied von Anonymous zu verstehen, ist doch eigentlich nicht mehr möglich.
Deswegen ist es ja auch eine Bewegung und keine Gruppe.
Anonymous engagiert sich ja zum Glück auch noch in anderen Bereichen als dem hacken verschiedener Internetseiten.
Für ihren ständigen Protest gegen Scientology (Stichwort "Project Chanology") werden sie bei mir immer gewisse Sympathien besitzen.
Anonymous ist eine reine Wohltätigkeitsorganisation. So ähnlich wie die Hamas oder die Hisbollah...
Mal wieder abgesehen vom Datenklau: Was haben Lebensläufe auf einem Server zu suchen?
Du würdest dich wundern, was man alles findet, wenn man Google richtig nutzt.. hab schon mehrerer Abschlusszeugnisse, Mietverträge und sonstiges von Privatpersonen gefunden.
(Nur vom Dateinamen her, darauf zugreifen ist ja nicht erlaubt - und das habe ich auch nicht getan.)
Wenn Privatpersonen ihre Dateien auf Webservern auslagern, um ggf. von mehreren Rechnern drauf zugreifen können, mag ja deren Sache und von mir aus OK sein. Aber das hier ist schon ein anderes Kaliber und es stellt sich auch die Frage, ob das die Personen von den Lebensläufen das überhaupt wissen, was Eidos mit denen macht bzw. fahrlässig damit umgeht.
Ist schon wieder 1. April? :P
Was is momentan bitte los? Kann doch echt nicht mehr angehen langsam... Man kann ja keine Website mehr aufrufen ohne Nachrichten über irgendwelche Vollidioten, ähm Hacker, zu lesen.
Sucht euch anständige Hobbies...
Mach dir lieber darüber Sorgen, dass es Hackern so leicht gemacht wird an vertrauliche Daten ran zu kommen...
Das dieses Problem genauso schwerwiegend ist ist mir schon klar. Unternehmen die heutzutage noch an Ihrer IT-Sicherheit sparen sollten eigentlich dafür auch hart bestraft werden, eben wegen Kundendaten und allem.
Aber was mich eben etwas wundert ist, dass die Sicherheitsmechanismen ja nicht erst seit ein paar Wochen dermaßen schlecht sind, davor aber trotzdem nicht so viele (zumindest öffentlich bekannte) Attacken auf einmal auftraten.
Solche Attacken und Datenlecks sind auch schon früher aufgetreten, sie werden aber auch schnell wieder vergessen. König Kunde hat halt ein Gedächtnis wie ein Sieb.
Wenn ein Angreifer ein kommerzielles Interesse hat, dann will er eben nicht auffallen. Deswegen* tauchen solche Attacken dann nicht in den Medien auf.
* und wahrscheinlich auch, weil es schlechte Berichterstattung über eine Firma bringt, die zugeben muss, dass die Daten ihrer Kunden nicht sicher waren. Weshalb dann ein Abgreifen der Daten nicht öffentlich gemacht würde.
Welchen Sinn macht es eigentlich auf der gehackten Website neben den Nicknames der Hacker auch "Echtweltnamen" zu hinterlassen? Ich gehe mal davon aus, dass das nicht die echten Namen der Hacker sind.
Du kannst doch von den Meldungen nicht darauf schließen wie viele Hacks es gab. Viele werden sicherlich nie gemeldet. Das heißt dann ja auch nicht, dass zu diesem Zeitpunkt Daten sonderlich sicher gewesen seien.
Das erinnert mich an den Fall eines großen österreichischen Textilunternehmens. Durch Zufall bin ich beim Surfen darauf gestoßen, dass bei unterdrückten Scripts auf deren Seite Werbung für Potenztabletten sichtbar wurde. Ich habe die Firma mehrmals darauf hingewiesen, allerdings niemals eine Antwort bekommen. Nach mehreren Monaten ist die Werbung dann verschwunden. Dieser Hack taucht auch in keiner Statistik auf.
Selbst wenn der Source Code gehackt worden wäre, direkten Einfluss auf die Veröffentlichung des Spiels hat das nicht. Denn der Source Code alleine ist ja nichts spielbares sondern nur der Programm Code. Der finanzielle Schaden betrifft wohl eher nach dem Release der Kampf gegen Cheater und Buguser ;) Aber nur mit Hilfe des Source Codes kann man auch nicht einfach ein Deus Ex 3 zusammen bauen und kostenlos im Internet veröffentlichen. Schlimmer als den Source Code finde ich persönlich eher die persönlichen Daten die da dabei sind.
Da DX3 Singleplayer ist, interessiert die Cheater und Co. sowieso niemand.
Hat das Spiel gar kein Multiplayer Teil? Dachte da mal was darüber gelesen zu haben. Wenn dann wäre das in diesem Fall sogar äußerst praktisch für den Entwickler :D. Und obwohl man ja unrechtmäßig an den Code gekommen wäre, positive Folgen hätte das vielleicht ja trotzdem für alle, von wegen Mods für Deus Ex 3 und so...
Das ist ja alles erst der Anfang. Wo jetzt alle wie die Lemminge in die "Cloud" trotten, wird es noch ganz andere Vorfälle geben.
Ziel ist ja (siehe "Chrome OS"), dass nicht nur Firmen, sondern auch Privatleute ihre _sämtlichen_ Daten nicht mehr sicher lokal speichern, sondern auf irgendwelchen wolkigen Servern. Die Werbewirtschaft und die Innenminister können's kaum erwarten, da endlich ranzukommen. "Bundestrojaner" werden damit nämlich überflüssig.
Ich glaube nicht das die Innenminister es kaum erwarten können an irgendwelche Daten ranzukommen. Ich glaube eher sie können es kaum erwarten sich nen neuen Garten einzurichten, oder mal wieder ein neues Auto zu kaufen, oder auch mal mehr mit der Familie zu machen außerhalb des Jobs. Da sie den Job eh nach ein paar Jahren wieder los sind, und sich dann irgendwo im Finanz oder Umweltamt tummeln wo ihnen ihre Kontrolle nichts mehr bringt, und sie auch garnicht mehr interessiert. Sind halt auch nur Menschen
Oder wie er nen neuen Pass durchdrückt und danach im Aufsichtsrat einer daran verdienenden Firma landet, oder......
Und wenn er nicht gestorben ist, dann sitzt der Otto Schily noch heute im Aufsichtsrat der Firma, die was mit seinen biometrischen Reisepässen zu tun hat. :P
Deswegen kann er sich jetzt auch ganz bestimmt einen neuen Garten einrichten und mal ein neues Auto kaufen. :D
Wir sind eben im Pionierzeitalter mal wieder angekommen.
Die nächsten xx Jahre wird die Kunst des Hackens und ausnutzen von Sicherheitslücken enorme Profite für bestimmte Gruppen bringen.
In diesem speziellen Fall, sind die Freelancer, also die "Nerds" bzw die, die sich damit eingehend befassen und es als Hobby ansehen immer den "Berufshackern", die für Firmen arbeiten , voraus.
Es ist immer leichter etwas kaput zumachen als etwas zu reparieren.
Das war vor 1000 Jahren nicht anders, und wird auch heute egal wie weit die Technik geht so bleiben.
Hacker passen ja zum Deux Ex Universum. Würde mich nicht wundern wenn sich dies als Marketingaktion herausstellt.
Stimmt. :D Auch total schwache Aktion vom Cracker als Namen nicht "JCDenton" oder sowas zu hinterlassen. :D
"Bevor wir diese Seiten wieder online stellen, erhöhen wir nach unseren strengsten Maßstäben die Sicherheit der betroffenen und auch der anderen Webseiten."
irgendwie schon traurig das es immer erst nem Image Schaden durch so nen Hack bedarf bevor sich die Unternehmen dann ma dazu hinreissen lassen bissl Geld für die Sicherung ihrer Sites auszugeben.
"erhöhen wir nach unseren strengsten Maßstäben die Sicherheit der betroffenen und auch der anderen Webseiten."
Die sollten die Sicherheit mal lieber nach objektiven Maßstäben erhöhen und nicht nach ihren. :D Was die wert sind haben wir ja schließlich gerade gesehen. :P
langsam möchte aber auch jeder irgendwo irgendwas hacken :-/
Ich hab ein paar Scheite Holz im Garten...
"Diese E-Mail Adressen sind jedoch nicht mit Personendaten verbunden. Sie dienen lediglich zur Website Registrierung und geben uns Informationen über die Nutzer, um ihnen Neuigkeiten über Produkte mitzuteilen."
Ist da in der Übersetzung irgendwas verloren gegangen oder sieht da noch jemand anders einen Widerspruch? Wir haben keine Daten, aber Informationen über unsere Nutzer - uhm, enthalten Daten denn nicht normalerweise Informationen?