[English]Ende September 2023 wurde der Cloud-Anbieter Shadow über einen von ihren Hostern gehackt. Die Plattform wird von Online-Spielern genutzt, und drei Blog-Leser haben mich über den Vorfall per Mail informiert (danke dafür). Die Hacker versuchen nun erbeutete Daten von Spielern zu verhökern.
Anzeige
Wer ist Shadow?
Bei Shadow handelt es sich um einen Cloud-Gaming-Dienst, der seinen Kunden die Möglichkeit bietet, anspruchsvolle AAA-Spiele auf einem virtuellen Computer zu spielen. Das Ganze lässt sich dann auf lokale Geräte (PCs, Laptops, Smartphones, Tablets, Smart-TVs) streamen. Der Anbieter stellt dazu High-End-Windows-PCs in der Cloud zur Verfügung.
Der Sicherheitsvorfall
Es sind gleich mehrere Blog-Leser, die mich gestern und vorgestern über den Vorfall per Mail informiert haben. Ein Leser hatte bereits zum 11. Oktober 2023 eine Mail mit einer Benachrichtigung durch den Anbieter erhalten und schrieb, dass er Kunde beim Cloudgaming-Anbieter shadow.tech sei. Der Anbieter hatte ihm eine Mail zu einem Sicherheits-/Datenschutzvorfall geschickt, die mir im Original vorliegt.
Ein weiterer Leser meldete sich gestern und schrieb, dass er vor einiger Zeit das Angebot des Cloud Anbieters getestet habe und deshalb noch einen Account besitzt. Es habe dort wohl einen Vorfall gegeben, bei dem Kundendaten abgegriffen wurden. Interessant sei wiederum, wie das passiert ist. Alle Leser wurden von Shadow per E-Mail (siehe Screenshot) über den Vorfall informiert.
Anzeige
Der Vorfall fand bereits Ende September 2023 statt und geht auf einen Social-Engineering-Angriff auf einen Shadow-Mitarbeiter zurück. Dieser hochentwickelte Angriff begann laut Shadow auf der Discord-Plattform mit dem Herunterladen von Schadsoftware statt. Von einem Bekannten des Mitarbeiters wurde vorgeschlagen, sich ein Spiel auf der Steam-Plattform herunterzuladen. Dieses Spiel war aber mit Malware verseucht und der Bekannte war selbst Opfer desselben Angriffs.
Der Shadow-Mitarbeiter muss wohl administrative Berechtigungen besessen haben. Und der infizierte Rechner wurde auch zum Zugriff auf die Plattform benutzt – zwei Kardinalfehler. Das Shadow-Sicherheitsteam hat, laut deren Aussage, zwar sofort gehandelt. Trotz der Maßnahmen gelang es dem Angreifer, eines der gestohlenen Cookies auszunutzen, um sich mit der Verwaltungsschnittstelle eines der von Shadow benutzten SaaS-Anbieter zu verbinden. Dank dieses Cookies (welches nun zwar deaktiviert ist), konnte der Angreifer über die API des SaaS-Anbieters bestimmte private Informationen über Shadow-Kunden abrufen.
Bei den erbeuteten Daten handelt es sich um den Vor- und Nachnamen, die E-Mail-Adresse, das Geburtsdatum, die Rechnungsadresse und das Ablaufdatum der benutzten Kreditkarte. Laut Anbieter wurden keine Passwörter oder sensiblen Bankdaten abgegriffen.
Nach Bekanntwerden des Vorfalls hat Shadow sofort Maßnahmen zur Sicherung seiner Systeme ergriffen (was aber zu spät war). Es wurden Vorkehrungen getroffen, um künftige Vorfälle zu vermeiden. Außerdem wurden die Sicherheitsprotokolle verstärkt, die Shadow bei allen seinen SaaS-Anbietern anwenden will. Schließlich will man seine internen Systeme aufrüsten, um die kompromittierten Workstations unschädlich zu machen, was darauf hindeutet, dass die Maschinen, die zum Streaming genutzt werden, auch kompromittiert sein dürften.
Der Anbieter warnt, dass Betroffene nach diesem Vorfall bei den E-Mails, die sie erhalten, sehr wachsam sein müssen, da es sich um Phishing-Versuche handeln könnte. Generell rät der Anbieter alle Konten zu schützen, indem eine Multi-Faktor-Authentifizierung ("MFA") eingerichtet wird.
Daten in Hackerforum angeboten
Die Kollegen von Bleeping Computer berichten gestern hier, dass der Bedrohungsakteur in einem Untergrundforum behauptete, dass er Ende September bei dem französischen Anbieter Shadow eingedrungen sei und die Daten von 533.624 Nutzern stehlen konnte. Er will die gestohlene Datenbank in einem bekannten Hackerforum verkaufen.
"Ende September habe ich mir Zugang zur Datenbank des französischen Unternehmens Shadow verschafft. Sie enthält nur Kunden, nicht alle Shadow-Nutzer", heißt es, laut Bleeping Computer, in dem zum Verkauf stehenden Beitrag. Und weiter: "Nach einem Versuch der gütlichen Einigung, den sie absichtlich ignoriert haben, habe ich beschlossen, die Datenbank zum Verkauf anzubieten."
Anzeige
Der Sicherheitsvorfall..
Wird immer schlimmer, gestern Anruf "In ihrem Paypal-Konto wurden 50000€ in Rechnung gestellt" per AI-Computerstimme *lol – Ich habe gar kein Paypal-Konto und keinen Virus auf dem PC war RU-Tel.Nr. AI-Anfänger die üben wohl noch! Haha! :)
Günther bei Shadow habe ich kein Konto. Haha!
naja, du nutzt Windows. Da ist dann eh nicht mehr zu retten, Bernd ;-)
Was soll man dazu noch sagen!
Ich lade mir als Administrator auf meinen Arbeitsrechner auch immer ganz lustige Spiele von Steam darauf und wenn es sich anbietet einen "Mod" auf Discord direkt mit.
Statt dass sie sich selbst eine "ShadowVM" geben, um das Spiel zu testen?
Ich verstehe nicht, wie man so verdammt nachlässig und gleichgültig sein…
@Anonymous Naja gutes Personal und so ;-P
Sind ja nicht Ihre Daten und pasieren tut auch nix wenn mal was passiert. DSGVO Strafen? Pustekuche!
Selbst wenn bei den BigFive mal große Strafen verhängt wird, werden die so nie bezahlt.
Wirklich peinlich.
Wenn jemand Administrator ist, wovon man bei Administrativen Rechten ausgehen kann.
Sollte man erwarten, dass derjenige genug Verständniss hat, zu wissen was er da macht.