CD Projekt RED: Interne Netzwerke und Quellcodes mehrerer Projekte wurden von Erpressern gehackt

[Jondoan]

Das Internet, zurecht als riesige Chance empfunden wandelt sich von Tag zu Tag mehr in eine kriminelle Einrichtung.

Kneipen, einst ein Ort zum geselligen Zusammentreffen, wurden von Tag zu Tag mehr genutzt dort kriminelle Aktivitäten abzusprechen.

Wie wir wissen, tümmeln sich heute in Kneipen nur noch ausschließlich kriminelle Gestalten.

Wenn ich solche Aussagen schon immer lese, frage ich mich, warum manche Leute überhaupt ins Internet dürfen.

Wer sich heute in Kneipen tummelt, ist wirklich kriminell (weil Corona Auflagen und so) ..

[Loci]

So sehr man auch CD Projekt RED für die Veröffentlichungspolitik von CP2077 kritisieren muss: sowas ist weder lustig, noch Anlass zur Schadenfreude. Eher Anlass zur weiteren Kritik was IT-Sicherheit im Unternehmen angeht. Ansonsten kann man dem Verursacher nur wünschen ein möglichst unglückliches Leben zu führen und das er die Konsequenzen für seine Taten tragen wird. Das wird sicher nicht einfach werden, denn wahrscheinlich lebt der/die Täter im Ausland und nicht in Polen. Wenn der/die dann noch aus einem Land kommen, wo Interpol keine Macht hat, dann können sie wirklich nur Schadensbegrenzung betreiben.

Das tut mir für die Entwickler alles Leid, die ganz sicher ein tolles, bugfreies gut laufendes Spiel produzieren wollen. Denn auf deren Rücken wird das ausgetragen.

Sachliche Kritik finde ich völlig in Ordnung und auch angebracht, aber Leute die alles tun um maximalen Schaden anrichten zu wollen, sollten sich mal überlegen, ob sie nicht doch lieber in die Gummizelle wandern sollten. Sorry, aber was teilweise im Internet steht lässt einem die letzte Hoffnung auf Intelligenz, Anstand und Objektivität bei der Menschheit zweifeln.

[bohni]

obwohl sie das eigentlich nicht dürften.

Wo steht das?

Ist nicht per Se verboten, steht aber in den meisten Arbeitsverträgen, wenn auch nur indirekt, z.B. das du keine Kunden- oder firmeninterne Daten woanders speichern darfst.

mmh RDP via VPN?

Du darfst übrigens afaik perdefault NICHT von deinem Arbeitsplatz aus privat surfen, dabei spielt es auch keine Rolle ob du es kannst oder nicht. Ausser es steht bei dir (wie z.B. bei mir) ausdrücklich im Arbeitsvertrag das private Internetnutzung am Arbeitsplatz erlaubt ist.

Betriebsvereinbarung ...

[GoodOldGamingTimes]

Find's ehrlich gesagt ziemlich daneben wir hier manche nichts anderes als Spott und Häme für CDPR übrig haben. Trotz aller Fehler, die vom Management gemacht wurden, sind nun auch die letzten Menschen in der firmeninternen Nahrungskette Opfer dieser Attacke geworden: All diejenigen Personen, die wirklich ihre gute Arbeit gemacht haben.

Nur weil man vielleicht 60-70€ in den Sand gesetzt hat, sollte man dem Unternehmen insgesamt nicht das schlimmste auf der Welt wünschen. Wobei "in den Sand gesetzt" Ansichtssache ist und das negative Erlebnis vielleicht auch mit der eigenen Erwartungshaltung zusammenhängt.

Auch das Gerücht, dass der Hack von CDPR selbst sein soll, finde ich absurd. Es wäre jedenfalls die weitaus riskantere Variante als einfach das naheliegendste zu machen: das Spiel so lange mit Patches und ggf. weiteren content zu versorgen, bis es genau dem entspricht, was es eigentlich sein sollte. Siehe No Man's Sky.

Vielleicht lernt es CDPR dann auch für ihr nächstes Spiel, dieses dann fertig auszuliefern.

+1

[Kajetan]

obwohl sie das eigentlich nicht dürften.

Wo steht das?

Teilweise in der Datenschutzverordnung. Unsere Kunden bestehen auf die strikte Einhaltung aller Vorschriften diesbezüglich, manche lassen uns sogar eigens zertifizieren. Wir müssen sogar jederzeit offenlegen können, über welche Hardware entsprechende Projektunterlagen gegangen sind. Wenn da irgendwo im Log eine nicht registrierte Hardware-ID auftaucht, gibt es nicht nur Ärger, sondern saftige Vertragsstrafen.

Grundsätzlich sollte Privat- und Firmen-Hardware klar getrennt sein. Was rechtlich und sicherheitstechnisch auch dann sinnvoll ist, wenn man nicht an sensitiven Projekten arbeitet. Hier hat sich in den vergangenen Jahrzehnten leider so viel falsches und laxes Verhalten eingeschlichen, dass es nicht wundert, dass Festplatten-Verschlüssler so ein leichtes Spiel haben. Und dann haben wir noch den Geiz von Firmenführungen, die vielleicht (!) erst dann aufwachen, wenn es zu spät ist.

[Liesel Weppen]

mmh RDP via VPN?

Hab ich doch geschrieben, mit RDP wird ja nichts auf deinem Rechner gespeichert. Das geht mMn also (bin aber auch kein Rechtsanwalt).
Aber das verstehe ich auch nicht unter "ich arbeite auf meinem Rechner". Du arbeitest dann nämlich trotzdem auf dem Firmenrechner, du benutzt deinen nur zur Anzeige. Für RDP brauch ich auch nicht unbedingt meinen Rechner, das könnte ich auch vom FireTV aus machen.

Betriebsvereinbarung ...

Jup, aber sowas muss da dann auch drinstehen. Pauschal "ich darf am Arbeitsplatz über Firmeninternet privat surfen" is eben nicht, sondern eher das Gegenteil.
Mittlerweile ist es meistens auch explizit erlaubt. Man stimmt aber dabei gleichzeitig zu, das der Arbeitgeber deinen Internetverkehr ggf. protokolliert und somit auch sehen könnte, wo du überall so rumsurfst.

Edit: Private Sachen auf Firmenhardware:
Ich habs auch mal erlebt, das ein Azubi private Programmierexperimente auf Firmen-PC gemacht hat und es dabei irgendwie geschafft hat seine Windows-Installation zu schrotten. Da war die Kacke auch am Dampfen, schon alleine nur wegen des Produktionsausfalls und dem zusätzlichen Aufwand den die IT hatte, seinen Rechner nachher wieder flott zu machen.
Oh, und einer wurde sogar mal (unter anderem) rausgeworfen, also aufgeflogen ist, das er Steam auf dem Firmenlaptop installiert hatte.

[bohni]

Teilweise in der Datenschutzverordnung. Unsere Kunden bestehen auf die strikte Einhaltung aller Vorschriften diesbezüglich, manche lassen uns sogar eigens zertifizieren. Wir müssen sogar jederzeit offenlegen können, über welche Hardware entsprechende Projektunterlagen gegangen sind. Wenn da irgendwo im Log eine nicht registrierte Hardware-ID auftaucht, gibt es nicht nur Ärger, sondern saftige Vertragsstrafen.

Mmmh also ist kein Remote-Access bei euch möglich?

[Liesel Weppen]

Mmmh also ist kein Remote-Access bei euch möglich?

Wenn du RDP benutzt, wird ja nur die Anzeige weitergeleitet. Du hast dabei nie irgendwelche Daten auf dem Heimrechner. Und der eigentliche Zugriff erfolgt dabei ja auch nicht durch deinen Rechner, sondern den macht der Rechner auf den du mit RDP verbunden bist.

Es kann auch trotzdem übers VPN Zugriff auf Dateifreigaben möglich sein. Nur du darfst halt trotzdem nicht mit deinem Privat-PC darauf zugreifen oder gar was kopieren.

Wenn mans ganz genau nimmt, will ich meinen Privat-PC nichtmal per VPN mit dem Firmennetzwerk verbinden. Weil sollte ich mir privat doch mal irgendwas einfangen, und dann VPN verbinden, kann sich das halt ganz einfach ins Firmennetzwerk verbreiten.
Insofern kann man auch RDP vom Privatrechner auch kritisch sehen, aber nicht in dem Sinne, das Firmendaten rauskommen, sondern eher das was ungewolltes ins Firmennetz reinkommt.

Das Beste ist in so einem Fall: Einfach den Arbeitgeber fragen, ob man was auch immer man vorhat, machen darf. Auch ob man den Privat-PC ins VPN verbinden darf. Wenn der dann ja sagt, bist du zumindest safe.

Bei mir ist der Firmenlaptop sogar, wenn ich HO mache, nur im Gast-WLAN, das komplett von meinem restlichen Zeug getrennt ist. Sowas ist bei uns nicht vorgeschrieben, aber ich WILL das so.

[bohni]

Betriebsvereinbarung ...

Jup, aber sowas muss da dann auch drinstehen. Pauschal "ich darf am Arbeitsplatz über Firmeninternet privat surfen" is eben nicht, sondern eher das Gegenteil.

steht explizit drin.

Mittlerweile ist es meistens auch explizit erlaubt. Man stimmt aber dabei gleichzeitig zu, das der Arbeitgeber deinen Internetverkehr ggf. protokolliert und somit auch sehen könnte, wo du überall so rumsurfst.

ist explizit ausgeschlossen.

Ich habs auch mal erlebt, das ein Azubi private Programmierexperimente auf Firmen-PC gemacht hat und es dabei irgendwie geschafft hat seine Windows-Installation zu schrotten.

Das schafft Window auch alleine.

Oh, und einer wurde sogar mal (unter anderem) rausgeworfen, also aufgeflogen ist, das er Steam auf dem Firmenlaptop installiert hatte.

ok das würde ich auch nicht wagen.

[bohni]

Mmmh also ist kein Remote-Access bei euch möglich?

Wenn du RDP benutzt, wird ja nur die Anzeige weitergeleitet. Du hast dabei nie irgendwelche Daten auf dem Heimrechner. Und der eigentliche Zugriff erfolgt dabei ja auch nicht durch deinen Rechner, sondern den macht der Rechner auf den du mit RDP verbunden bist.

Naja bei beteiligter Hardware ist das schon mehr .. remote geht ja nicht ohne Netwerkkarte, den Rechner als Terminal etc. D.h. die Daten sind zuindest kurzfristig auf einer "unbekannten" Hardware ID gewesen.

Das Beste ist in so einem Fall: Einfach den Arbeitgeber fragen, ob man was auch immer man vorhat, machen darf. Auch ob man den Privat-PC ins VPN verbinden darf. Wenn der dann ja sagt, bist du zumindest safe.

Wir wurden mit dem Anfang von Corona ins Homeoffice versetzt ... Firmenrechner mitnehmen war da eher als Ausnahme gedacht - aber möglich.
Ich möchte allerdings nur ungern unser Repository, Testdaten oder noch schlimmer Logs aus dem Feld via DSL runterladen müssen.

[winterblink]

Wo ist denn in dem neuen Beta-Profil die Ignorierliste zu finden? Kann mir da jemand weiterhelfen?

[bohni]

ich bin ja still

[Wirkstoff]

CDPR hat nach dieser unglaublichen Ausbeutungsnummer und Lügenaktion nichts anderes verdient. Ich nenne es mal Karma. Meine 60€ haben sie ja auch durch bewusste Lügen gestohlen, da finde ich das nur fair. Ich hoffe der Quellcode wird veröffentlicht. Das könnte man dann als Witzbuch des Codings veröffentlichen.

Was für ein peinlicher Kommentar

[Drian Vanden]

Lügen ist trotzdem kein Verbrechen. Erpessung schon.

Da Lügen eine Eigenschaft des versuchten oder vollendeten Betruges ist - doch, dann ist Lügen immanent einer Straftat. Und hier geht es ja um den Kontext zu Cyberpunk 2077. Mindestens eine Klage wegen Betruges gegen CDPR existiert zum aktuellen Zeitpunkt. Nur, um deine sonst sicher richtige Stellungnahme in korrekten Kontext zu rücken.


Zur News selbst: auch ich kann die Schadenfreude einiger User nicht verstehen. Ein Hack und ein verbuggtes Spiel sind zwei völlig unterschiedliche Punkte, die man zu unterscheiden in der Lage sein sollte.

Da das bei einigen offenbar nicht der Fall ist, muss ich davon ausgehen, dass denjenigen, nach einem komplett verkorksten Arbeitstag lauter Pleiten, Pech und Pannen, dass denjenigen schadenfroh ins Gesicht gelacht werden darf, wenn sie noch vor ihrer Wohnungstür den Einbrecher vollbepackt davonlaufen sehen. "Bei mir wurde eingebrochen!" "Höchste Zeit, ihre Arbeitseinstellung zu überdenken."

Während der Hack selbst strafrechtlich zu verfolgen und zu verurteilen ist, darf man die Verantwortlichkeit einer funktionierenden Systemsicherheit aber auch nicht vergessen. Ohne den Angriff nun genau zu kennen, also wie er vonstatten ging, sollte auch ein CDPR darum bemüht sein zu klären, wie es dazu kommen konnte. Kundendaten sollen nach bisherigem Kenntnisstand nicht betroffen sein. Ihnen gegenüber hätte CDPR, wie jedes andere Unternehmen eben auch, bestimmt eine gesetzlich auferlegte und geregelte Pflicht, sie zu schützen.

[Liesel Weppen]

Wo ist denn in dem neuen Beta-Profil die Ignorierliste zu finden? Kann mir da jemand weiterhelfen?

Gar nicht. Aber du kannst dein Foren (!!!) Profil aufrufen und dort manuell Leute auf deine Ignoreliste setzen.