CD Projekt RED: Interne Netzwerke und Quellcodes mehrerer Projekte wurden von Erpressern gehackt

[Liesel Weppen]

Naja bei beteiligter Hardware ist das schon mehr .. remote geht ja nicht ohne Netwerkkarte, den Rechner als Terminal etc. D.h. die Daten sind zuindest kurzfristig auf einer "unbekannten" Hardware ID gewesen.

Nein, die Daten waren nirgendwo. Wenn du einen Bildschirm mit unbekannter Hardware-ID ansteckst der irgendwelche Daten nur ANZEIGT, hast du auch keinen Zugriff durch unbekannte Hardware. RDP ist nix anderes. Übertragen wird nur der "Bildschirm"-Inhalt (und Maus-/Tastatureingaben zurück). Das überträgt auch keine z.B. Textdateien, sondern nur im wahrsten Sinne des Wortes bildlich den Teil den du wirklich siehst.

Ich möchte allerdings nur ungern unser Repository, Testdaten oder noch schlimmer Logs aus dem Feld via DSL runterladen müssen.

Ich bin gelegentlich schon nachhause gefahren um größere Datenmengen runterzuladen, weils zuhause
wesentlich schneller geht (vorrausgesetzt die Gegenstelle ist überhaupt schnell genug).

[SneakyTurtle]

Und was genau ist da jetzt im Homeoffice für einen Angreifer leichter?

In der Regel sitzen die Leute an ihrer Privat-Hardware ...

Ich sitze auch an meinem Privatrechner von dem ich arbeite - mache ich gerade jetzt z.B.

obwohl sie das eigentlich nicht dürften.

Wo steht das?

Aber sie müssen es, weil der Arbeitgeber oft keine Lust hat sich ein entsprechendes Konzept auszudenken. ...

Also als Dev darf/kann ich im Büro genauso "surfen" wie von zu Hause aus - wo ist da der Unterschied?
Mein Linuxrechner ist bestimmt sicherer als die Win10 Kisten auf der Arbeit. (z.B. keine Makroviren da kein MS-Office etc.)

Und dann laufen im Hintergrund noch Alexa und Co.

Never

... wer hat ein dediziertes Arbeitszimmer zu Hause?

Ich z.B.

Bisher gab es Sicherheitsprobleme immer nur bei irgendwelchen Managern ... egal ob Homeoffice oder nicht.

Weil ein User zufällig etwas besser daheim aufgestellt ist, hat die Firma auf einmal kein Problem mehr? Xd
Bei uns (gut große Firma) läuft vor jedem Download erstmal ne Sandbox, kein unbegrenztes Internet und kein Download von .exe etc Dateien.
Datenübertragung nach außen? Wozu, da wird nur Schindluder mit firmeninternen Daten betrieben (USB Ports brauchen User idR auch nicht).
Dem User ist nur in seltensten Ausnahmefällen auch nur irgendwas zuzutrauen und auch diejenigen, die meinen sie wüssten und könnten alles haben schon so einiges vermasselt weil sie einfach vom Tuten und Blasen keine Ahnung haben (trotz Ing, oder Dr Titeln).
Ja klar kann sich das nicht jede Firma leisten, aber gewisse Grundvoraussetzungen braucht man eben heutzutage.

[Liesel Weppen]

Weil ein User zufällig etwas besser daheim aufgestellt ist, hat die Firma auf einmal kein Problem mehr? Xd
Bei uns (gut große Firma) läuft vor jedem Download erstmal ne Sandbox, kein unbegrenztes Internet und kein Download von .exe etc Dateien.
Datenübertragung nach außen? Wozu, da wird nur Schindluder mit firmeninternen Daten betrieben (USB Ports brauchen User idR auch nicht).
Dem User ist nur in seltensten Ausnahmefällen auch nur irgendwas zuzutrauen und auch diejenigen, die meinen sie wüssten und könnten alles haben schon so einiges vermasselt weil sie einfach vom Tuten und Blasen keine Ahnung haben (trotz Ing, oder Dr Titeln).

Du pauschalisierst genauso wie bohni, nur in genau die andere Richtung.
Definiere "User". Und definiere doch mal, was so ein "User" genau arbeitet, das der z.B. keine USB-Ports braucht.
Die Sekretärin? Für die mag das vielleicht zutreffen.

Bohni schrieb, das er Entwickler ist. Gut, je nachdem wie und was man gerade entwickelt, braucht man auch nicht unbedingt USB-Ports (moment, wo genau haben die dann Maus und Tastatur angesteckt, oder brauchen die das auch nicht?). Ich bin auch Entwickler und brauche aktuell sogar einen USB-Hub, weil die 6 Ports vom Rechner nicht reichen.
Limitierter Internetzugriff? Na wenn ich wegen jedem Download erstmal in der IT anrufen müsste, das sie mir die URL vom Kunden erstmal freischalten, dann bräuchten wir pro 3 Leuten in der Entwicklung einen in der IT, der nichts anderes tut als Ausnahmen zu regeln. Und der soll dann beurteilen können, was sicher ist und was nicht?

Entwickler brauchen übrigens auch nicht selten Admin-Zugriff auf ihre Rechner, weil ohne diverse Dev-Software gar nicht läuft, und wenn ein "User" das hat, kann er sich (wenn er weiß wie) sowieso alles selber freischalten.

Ist übrigens auch einer der Gründe, warum ich überhaupt keinen Bock drauf habe in einer "größeren" Firma zu arbeiten, wo die Bürokratie umfangreicher als die eigentliche Arbeit ist und die für jeden Mitarbeiter erstmal annimmt, das er ein Idiot ist.

[stormgamer]

Find's ehrlich gesagt ziemlich daneben wir hier manche nichts anderes als Spott und Häme für CDPR übrig haben. Trotz aller Fehler, die vom Management gemacht wurden, sind nun auch die letzten Menschen in der firmeninternen Nahrungskette Opfer dieser Attacke geworden: All diejenigen Personen, die wirklich ihre gute Arbeit gemacht haben.

Nur weil man vielleicht 60-70€ in den Sand gesetzt hat, sollte man dem Unternehmen insgesamt nicht das schlimmste auf der Welt wünschen. Wobei "in den Sand gesetzt" Ansichtssache ist und das negative Erlebnis vielleicht auch mit der eigenen Erwartungshaltung zusammenhängt.

Auch das Gerücht, dass der Hack von CDPR selbst sein soll, finde ich absurd. Es wäre jedenfalls die weitaus riskantere Variante als einfach das naheliegendste zu machen: das Spiel so lange mit Patches und ggf. weiteren content zu versorgen, bis es genau dem entspricht, was es eigentlich sein sollte. Siehe No Man's Sky.

Vielleicht lernt es CDPR dann auch für ihr nächstes Spiel, dieses dann fertig auszuliefern.

Hört hört diese vernünftigen Worte

[Cpl. KANE]

Ich kenne mich mit der Materie nicht aus, aber ich finde es immer wieder erstaunlich, wie "einfach" es zu sein scheint, ein solches Unternehmen zu hacken. Mit einfach meine ich nicht unbedingt die nötige Fachkenntnis, sondern eher die technischen Voraussetzungen.

[code5]

Tja,

arbeite bei einer Firma der das auch kürzlich passiert ist. Kein Spaß zum Weihnachten also.

Aber wie ein Experten-Team uns mitgeteilt hat, das ist dann Ransomware as a Service. Die waren aber eher auf schnellen Profit aus, hier ist es ja reine Böswilligkeit.

[CritsJumper]

Tja. Schade CD Project Red, tut mir leid das es euch so erwischt hat. Hoffe ihr lernt daraus.

Ist halt blöd wenn man nur Windows einsetzt (Stichwort Notepad!!!!).

P.s.: Das man auch die eigenen Daten verschlüsseln kann, zur Absicherung wenn jemand auf dem eigenen Rechner ist, ist auch kein Geheimnis mehr oder? Sollte mittlerweile auch einfach per internem 2Factor funktionieren, bei dem sich die Mitarbeiter halt einen One Time Pass Code holen müssen zum Arbeiten.

Schwubbs schon sind all eure Probleme gelöst. Besonders wenn eine einzelne Person niemals Zugriff auf alle Daten hat, in kurzer Zeit.

More

Show

@Cpl. KANE
Problem ist, die meisten nutzen Soziale Medien. Da sammelt man so viel persönliches und privates um authentisch zu wirken gegenüber Dritten. Weil man das was der Mitarbeiter gerade macht, glaubwürdig darlegen kann oder beobachten. Es reicht auch schon wenn es der selbe Stil ist zu schreiben und sich auszudrücken. Jeder ist mit jedem irgendwie Online vernetzt. Jemand behauptete mal über 7 Personen kann man jeden auf der Welt erreichen, bei vielen sind es sogar weniger. Weil diese alle Online sind, ist es sehr leicht, als jemand aufzutreten den man vertraut. Wenn der Angreifer zuvor Kontrolle über deren Systeme oder anders aus gedrückt, deren digitales Leben bekommen hat.

@Wird ja nur die Anzeige weitergeleitet
Haha. Wenn ich Screenshots oder Videos von dieser weiter geleiteten Anzeige mache ist es weniger schlimm? Mit Nichten! Natürlich ist es ein verstoß gegen die Weitergabe der Daten. Aber die Datenschutzverordnung hat da noch keinen Entschluss, bezüglich des Risikos einer Exposition. Im Grunde kann ja auch jemand Gespräche mit einem Laser auf einer Glasscheibe abhören oder mit einem Fernglas den Monitor beobachten. Das ist halt unter normalen Bedingungen kein vergehen.
Wohl aber der Homecomputer ohne aktuelle Sicherheitsupdates. Nur ist es wahrscheinliche eine Ausnahme wegen der Pandemie. Bei regulärer Homeoffice-Pflicht könnte man aber darüber nachdenken diese Geräte, wie Laptops zu stellen und entsprechend einer dezentralen Administration unter zu ortnen. Aber ich fürchte da müssten erst mal Schulungen her.

[GeronimoJackson]

Jup, aber sowas muss da dann auch drinstehen. Pauschal "ich darf am Arbeitsplatz über Firmeninternet privat surfen" is eben nicht, sondern eher das Gegenteil.

steht explizit drin.

Mittlerweile ist es meistens auch explizit erlaubt. Man stimmt aber dabei gleichzeitig zu, das der Arbeitgeber deinen Internetverkehr ggf. protokolliert und somit auch sehen könnte, wo du überall so rumsurfst.

ist explizit ausgeschlossen.

Ich muss mal blöd nachfragen: deinem Arbeitgeber ist schon klar, dass er dadurch für alle Verstöße haftet, die von seiner WAN-Anbindung aus begangen werden, da er diese nicht personell zuordnen kann?

Mitarbeiter tätigt illegalen Download - dein Arbeitgeber haftet
Mitarbeiter betreibt Filesharing - Dein Arbeitgeber haftet
Mitarbeiter schaut sich verbotenes Bildmaterial an bzw. verbreitet dieses - dein Arbeitgeber haftet


Und dann wundert man sich, dass Hacker so leichtes Spiel haben..

Ist halt blöd wenn man nur Windows einsetzt (Stichwort Notepad!!!!).

Da so gut wie alle großen Fachanwendungen ein Microsoft-Betriebssystem voraussetzen führt i.d.R. kein Weg daran vorbei. Erst recht, wenn man Policies zentral verwalten und verteilen und ein halbwegs gescheites Client Management einsetzen möchte. Mit ner Samba-Domäne kommst du da nicht weit

[HellToKitty]

Ich würde ja allen Moralaposteln empfehlen, heute Abend noch eine Kerze für CDPR anzuzünden und sie noch vor dem Schlafengehen ins Gebet mit einzuschließen

[Querscheisser]

Code: Alles auswählen

  (
     )
    ()
   |--|
   |  |
 .-|  |-.
:  |  |  :
:  '--'  :
 '-....-'

[CritsJumper]

Da so gut wie alle großen Fachanwendungen ein Microsoft-Betriebssystem voraussetzen führt i.d.R. kein Weg daran vorbei.

Ja natürlich und man kann es auch definitiv ordentlich und minimalistisch einstellen.

Dennoch sorgt eine Trennung über mehrere Systeme, für eine natürliche Diversität, die eben durch die Diversität in der Regel zur Sicherheit beitragen kann, weil es einfach unwahrscheinlicher ist das zum Zeitpunkt X für mehrere Systeme ein Exploit besteht, als bei einer Monokultur.

Dennoch, Zugriff auf mehrere Ebenen kann man sich mit der Zeit erschleichen oder bei der Übernahme des Backup-Systems. Aber jenes sollte nicht länger Online oder erreichbar sein, für Systeme die es nicht gerade aktive nutzen.

Doch eben über die Zeit kann man schon vieles steuern und verhindern, wenn man bemerkt das eine Datei oder Port länger geöffnet ist als es eigentlich sein sollte. Das der Angreifer sofort einen Überblick über komplexe Gewohnheiten des System-Kanon erlangt ist eher unwahrscheinlich, oder er beobachtet schon heimlich für mehrere Monate. Dagegen helfen dann auch Änderungen und ein studierte Abweichungen, wie bei einem Theaterstück, welche nur dem Produzenten bekannt sind.

Aber ja die meisten sind da eher einfach und funktional gestrickt.

[winterblink]

ich bin ja still

Ich meine doch nicht dich

Ist aber eine ernstgemeinte Frage. Ignorierfunktion scheint komplett entfernt worden zu sein. Aber hey: beta und hauptsache neu.

[Baazin]

Also das CD Projekt das jetzt fingiert haben soll ist ziemlicher Humbug.
Die Schalten die Polizei ein, die Riskieren doch nicht in den Knast zu wandern nur weil die ihr Spiel nicht rechtzeitig patchen können. Das ist ein Aktien Unternehmen und sie mussten das auch Kommunizieren, da so ein Hack massiv den Kurs beeinträchtigen kann. Tun sie das nicht machen die sich auch Strafbar.
Da werden jetzt auch keine Dorf Sherifs sich dran setzten, die Untersuchung wird ziemlich genau sein und von Fachleuten durchgeführt werden. Das Risiko da erwischt zu werden sowas Fingiert zu haben steht in keinen Verhältnis zu zur Erfolkswarscheinlichkeit/Strafe.

[NoBoJoe]

Auf mich (!) wirkt das fingiert (...)

Na ich weiß ja nicht, ob man für so ne Ruse sein angeschlagenenes Unternehmen an der Börse noch weiter abwertet. Der Erpresser weist lediglich darauf hin, dass sie die Daten zwar wiederherstellen können, dass durch die Veröffentlichung der Daten trotzdem erheblicher Ruf-/Aktien/etc-Schaden entstehen könnte.
Und warum sollte denn das Fixen von Cyberpunk nach der Wiederherstellung der Daten einfach aufhören? Und wie sollte das mit der Hackerattacke begründet werden, die ja offensichtlich keinerlei Daten vernichtet hat, sondern gewißermaßen ja nur kopiert hat? Selbst wenn der Quellcode veröffentlicht würde, warum sollte CDPR nicht weiter selbst an Cyberpunk rumbasteln?

Na ja. Zunächst mal traue ich Unternehmen solcher Größenordnung schon einiges zu. Klar, die Geheimhaltung solcher "Machenschaften" innerhalb wäre sicherlich schwierig. Aber nicht unmöglich. Man kann es auch für die Belegschaft "wahr" machen und nur wenige einweihen.

Und mein Misstrauen dem Satz der Wiederherstellung gegenüber rührt auch daher, dass die das extra nochmal selber betont haben. Wirkt auf mich halt wie eine vorträgliche Absicherung um Fragen im Vorfeld zu dem Thema abzuwehren. Ist auch nur so ein Gefühl, welches ich aber direkt beim Lesen hatte.

Und ich sage nochmal. Das ist nur mein persönlicher Eindruck und ich kann mich auch irren.

Und ich meinte nicht das Fixen. Sondern das hinzufügen von versprochenen Features. Da kann man ja leicht draus machen: Sorry Leute, der Hackerangriff hat Zeit und Ressourcen gekostet. Wir können jetzt leider nur noch Fehler beheben. Und alles andere was wir versprochen hatten schaffen wir jetzt "leider" nicht mehr blabla danke für euer Verständnis *sadface*

Wenn ich mir so den Verlauf allein der Fehlerbeseitigung bisher ansehe... vor allem was da immer wieder Neues aufploppt nach Updates. Da haben die allein damit noch lange zu kämpfen.

Und wer weiß. Vielleicht wissen die, dass jetzt "No mans sky-magic" erwartet wird und das hat denen jemand vorgerechnet.


Und ob das Veröffentlichen des Quellcodes tatsächlich passiert und dann welchen Schaden anrichtet, kann ich gar nicht abschätzen.

Für mich wirkt das in dem ganzen Chaos, welches CDP mit dem Release des unfertigen Spieles ausgelöst haben, irgendwie wie ein letzter Versuch da doch noch irgendwie als Opfer statt als Täter raus zu kommen.

Ich sehe jedenfalls nicht, dass außer Bugfixing da noch viel mehr passiert. Aber ich lasse mich auch gern eines besseren belehren. NMS ist inzwischen auch da wo es bei Release sein sollte. Hat halt nur "etwas" gedauert und gekostet.

Oh und hierzu:
Da werden jetzt auch keine Dorf Sherifs sich dran setzten, die Untersuchung wird ziemlich genau sein und von Fachleuten durchgeführt werden.

Ich bin gespannt. 1/3

https://www.bmi.gv.at/news.aspx?id=6D4D ... 595673593D

[Usul]

Ist aber eine ernstgemeinte Frage. Ignorierfunktion scheint komplett entfernt worden zu sein. Aber hey: beta und hauptsache neu.

Nichts läge mir ferner, als das Kuddelmuddel hier hinsichtlich der Foren- und Seiten-Software in Schutz zu nehmen.

Aber wie bereits erwähnt wurde, kannst du weiterhin ignorieren - du mußt in deinem eigenen Forenprofil den gewünschten User in die Ignore-Liste eintragen.

Find's ehrlich gesagt ziemlich daneben wir hier manche nichts anderes als Spott und Häme für CDPR übrig haben. Trotz aller Fehler, die vom Management gemacht wurden, sind nun auch die letzten Menschen in der firmeninternen Nahrungskette Opfer dieser Attacke geworden: All diejenigen Personen, die wirklich ihre gute Arbeit gemacht haben.

Nur weil man vielleicht 60-70€ in den Sand gesetzt hat, sollte man dem Unternehmen insgesamt nicht das schlimmste auf der Welt wünschen. Wobei "in den Sand gesetzt" Ansichtssache ist und das negative Erlebnis vielleicht auch mit der eigenen Erwartungshaltung zusammenhängt.

Auch das Gerücht, dass der Hack von CDPR selbst sein soll, finde ich absurd. Es wäre jedenfalls die weitaus riskantere Variante als einfach das naheliegendste zu machen: das Spiel so lange mit Patches und ggf. weiteren content zu versorgen, bis es genau dem entspricht, was es eigentlich sein sollte. Siehe No Man's Sky.

Vielleicht lernt es CDPR dann auch für ihr nächstes Spiel, dieses dann fertig auszuliefern.

Schön geschrieben.


PS: An die Daten-/Arbeitsplatz-/Home-Office-/Hacking-Klugscheißer: Das ist sogar ganz interessant, was ihr da schreibt. Ich bin zwar seit bald 20 Jahren im Home Office, aber als Freiberufler... und selbst ich müßte die Spiel-Dateien, die ich zum Übersetzen bekomme, eigentlich vor externem Zugriff sichern. Zum Glück interessiert sich keine Sau für die Spiele, die ich mittlerweile übersetze.