{"id":286915,"date":"2023-10-13T00:36:00","date_gmt":"2023-10-12T22:36:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=286915"},"modified":"2023-10-13T19:36:49","modified_gmt":"2023-10-13T17:36:49","slug":"cloud-anbieter-shadow-gehackt-kundendaten-von-spielern-abgegriffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/10\/13\/cloud-anbieter-shadow-gehackt-kundendaten-von-spielern-abgegriffen\/","title":{"rendered":"Cloud-Anbieter "Shadow" gehackt, Kundendaten (von Spielern) abgegriffen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Ende September 2023 wurde der Cloud-Anbieter Shadow \u00fcber einen von ihren Hostern gehackt. Die Plattform wird von Online-Spielern genutzt, und drei Blog-Leser haben mich \u00fcber den Vorfall per Mail informiert (danke daf\u00fcr). Die Hacker versuchen nun erbeutete Daten von Spielern zu verh\u00f6kern.<\/p>\n

<\/p>\n

Wer ist Shadow?<\/h2>\n

\"\"Bei Shadow handelt es sich um einen Cloud-Gaming-Dienst, der seinen Kunden die M\u00f6glichkeit bietet, anspruchsvolle AAA-Spiele auf einem virtuellen Computer zu spielen. Das Ganze l\u00e4sst sich dann auf lokale Ger\u00e4te (PCs, Laptops, Smartphones, Tablets, Smart-TVs) streamen. Der Anbieter stellt dazu High-End-Windows-PCs in der Cloud zur Verf\u00fcgung.<\/p>\n

Der Sicherheitsvorfall<\/h2>\n

Es sind gleich mehrere Blog-Leser, die mich gestern und vorgestern \u00fcber den Vorfall per Mail informiert haben. Ein Leser hatte bereits zum 11. Oktober 2023 eine Mail mit einer Benachrichtigung durch den Anbieter erhalten und schrieb, dass er Kunde beim Cloudgaming-Anbieter shadow.tech <\/em>sei. Der Anbieter hatte ihm eine Mail zu einem Sicherheits-\/Datenschutzvorfall geschickt, die mir im Original vorliegt.<\/p>\n

Ein weiterer Leser meldete sich gestern und schrieb, dass er vor einiger Zeit das Angebot des Cloud Anbieters getestet habe und deshalb noch einen Account besitzt. Es habe dort wohl einen Vorfall gegeben, bei dem Kundendaten abgegriffen wurden. Interessant sei wiederum, wie das passiert ist. Alle Leser wurden von Shadow per E-Mail (siehe Screenshot) \u00fcber den Vorfall informiert.<\/p>\n

\"Shadow<\/p>\n

Der Vorfall fand bereits Ende September 2023 statt und geht auf einen Social-Engineering-Angriff auf einen Shadow-Mitarbeiter zur\u00fcck. Dieser hochentwickelte Angriff begann laut Shadow auf der Discord-Plattform mit dem Herunterladen von Schadsoftware statt. Von einem Bekannten des Mitarbeiters wurde vorgeschlagen, sich ein Spiel auf der Steam-Plattform herunterzuladen. Dieses Spiel war aber mit Malware verseucht und der Bekannte war selbst Opfer desselben Angriffs.<\/p>\n

Der Shadow-Mitarbeiter muss wohl administrative Berechtigungen besessen haben. Und der infizierte Rechner wurde auch zum Zugriff auf die Plattform benutzt \u2013 zwei Kardinalfehler. Das Shadow-Sicherheitsteam hat, laut deren Aussage, zwar sofort gehandelt. Trotz der Ma\u00dfnahmen gelang es dem Angreifer, eines der gestohlenen Cookies auszunutzen, um sich mit der Verwaltungsschnittstelle eines der von Shadow benutzten SaaS-Anbieter zu verbinden. Dank dieses Cookies (welches nun zwar deaktiviert ist), konnte der Angreifer \u00fcber die API des SaaS-Anbieters bestimmte private Informationen \u00fcber Shadow-Kunden abrufen.<\/p>\n

Bei den erbeuteten Daten handelt es sich um den Vor- und Nachnamen, die E-Mail-Adresse, das Geburtsdatum, die Rechnungsadresse und das Ablaufdatum der benutzten Kreditkarte. Laut Anbieter wurden keine Passw\u00f6rter oder sensiblen Bankdaten abgegriffen.<\/p>\n

Nach Bekanntwerden des Vorfalls hat Shadow sofort Ma\u00dfnahmen zur Sicherung seiner Systeme ergriffen (was aber zu sp\u00e4t war). Es wurden Vorkehrungen getroffen, um k\u00fcnftige Vorf\u00e4lle zu vermeiden. Au\u00dferdem wurden die Sicherheitsprotokolle verst\u00e4rkt, die Shadow bei allen seinen SaaS-Anbietern anwenden will. Schlie\u00dflich will man seine internen Systeme aufr\u00fcsten, um die kompromittierten Workstations unsch\u00e4dlich zu machen, was darauf hindeutet, dass die Maschinen, die zum Streaming genutzt werden, auch kompromittiert sein d\u00fcrften.<\/p>\n

Der Anbieter warnt, dass Betroffene nach diesem Vorfall bei den E-Mails, die sie erhalten, sehr wachsam sein m\u00fcssen, da es sich um Phishing-Versuche handeln k\u00f6nnte. Generell r\u00e4t der Anbieter alle Konten zu sch\u00fctzen, indem eine Multi-Faktor-Authentifizierung (\"MFA\") eingerichtet<\/a> wird.<\/p>\n

Daten in Hackerforum angeboten<\/h2>\n

Die Kollegen von Bleeping Computer berichten gestern hier<\/a>, dass der Bedrohungsakteur in einem Untergrundforum behauptete, dass er Ende September bei dem franz\u00f6sischen Anbieter Shadow eingedrungen sei und die Daten von 533.624 Nutzern stehlen konnte. Er will die gestohlene Datenbank in einem bekannten Hackerforum verkaufen.<\/p>\n

\"Ende September habe ich mir Zugang zur Datenbank des franz\u00f6sischen Unternehmens Shadow verschafft. Sie enth\u00e4lt nur Kunden, nicht alle Shadow-Nutzer\", hei\u00dft es, laut Bleeping Computer, in dem zum Verkauf stehenden Beitrag. Und weiter: \"Nach einem Versuch der g\u00fctlichen Einigung, den sie absichtlich ignoriert haben, habe ich beschlossen, die Datenbank zum Verkauf anzubieten.\"<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ende September 2023 wurde der Cloud-Anbieter Shadow \u00fcber einen von ihren Hostern gehackt. Die Plattform wird von Online-Spielern genutzt, und drei Blog-Leser haben mich \u00fcber den Vorfall per Mail informiert (danke daf\u00fcr). Die Hacker versuchen nun erbeutete Daten von Spielern … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,4328],"class_list":["post-286915","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/286915","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=286915"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/286915\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=286915"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=286915"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=286915"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}