Der französische Gaming Streaming Dienst shadow.tech wurde Opfer eines massiven Sicherheitsvorfalls, bei dem über 500.000 Datensätze von registrierten Gamern gestohlen worden sind.
Wie kam es zum Datenklau?
Die beliebte Hacker Taktik „Social Engineering“ wurde hier angewandt. Ein Hacker teilte einem Freund eines Mitarbeiters ein Spiel über Discord, dass mit Malware verseucht war. Über diesen Freund kam das Spiel unwissentlich weitergeteilt an den Mitarbeiter. Als der Mitarbeiter bemerkte, dass er ein Malware verseuchtes Spiel runtergeladen hat, war es bereits zu spät, da Cookie Credentials des Mitarbeiters zur internen Software As A Service Provider Api bereits in die Hände des Hackers gelangt waren. Trotz unverzüglicher Meldung an die interne Sicherheitsabteilung hatte der Hacker genug Zeit, um mit den Zugangsdaten des Mitarbeiters 500.000 Datensätze zu stehlen.
Welche Daten sind betroffen?
Die Hacker hatten laut Unternehmensangaben keinen Zugriff auf Kreditkartendaten und Passwörter. Sie haben jedoch Zugriff gehabt auf:
- Rechnungsanschrift
- Name
- Email Adresse
- Geburtsdatum
- Ablaufdatum der Kreditkarte
Unsere Risikobewertung
GERING: Rein aus Rechnungsdaten lässt sich kein unmittelbares Schadensszenario ableiten. Wahrscheinlich ist, dass die Hacker diese Daten im Darkweb verkaufen und in Folge dessen mit vermehrt Phishing und Social Engineering Attacken bei den betroffenen Gamern zu rechnen ist. Eine direkte Bedrohung von Leben oder Existenz der Betroffenen lässt sich daraus aber nicht ableiten.
Welche Fehler wurden hier im Datenschutz gemacht?
Die entscheidende Frage ist, welche technischen und organisatorischen Maßnahmen hätten verhindern können, dass der Hacker mit einer so unterschwelligen Attacke seinen Weg in das System bahnen konnte?
Zum einen wäre vielleicht eine bessere Trennung von privaten und Arbeit eine Maßnahme gewesen. Hätte der Mitarbeiter nicht den selben Discord Account in der Arbeit verwendet, wie den vermutlich privaten, den er mit seinen Freunden nutzt, wäre evtl. kein Download auf den Rechner in der Arbeit sondern nur einer auf einen privaten Rechner stattgefunden.
Ferner ist aus den Incident Response Maßnahmen des Unternehmens ersichtlich, dass vorher wohl schwache Sicherheitsprotokolle herrschten, die das Ausnutzen von gestohlenen Cookies ermöglichten.
Laut Unternehmensaussage mussten auch weitere interne Workstations des Cloud Anbieters ausgetauscht werden, was dafür spricht, dass sich die Malware in weitere Teile der internen Infrastruktur verbreiten konnte.
Was hätte nun getan werden können, um so ein Szenario zu verhindern? Vielleicht hätte man durch Mitarbeiter Awareness Schulungen im Bereich Phishing und Social Engineering einen solchen Hackversuch abwehren können. Strengere interne Regeln zur Passwort Vergabe hätten hier nichts genützt, da der Hacker ein Cookie verwendet hat, dass den PC des Mitarbeiters als vertrauenswürdig einstuft und daher Zugriff gewährt ohne jeden API Zugriff per Passwort zu authentifizieren. Fraglich ist allerdings, ob es notwendig war aus Rechtemanagement Sicht, dem Mitarbeiter so umfassende Zugriffsrechte auf Kundendaten zu geben.
Können Betroffene auf Schadensersatz hoffen?
Sehr wahrscheinlich wird gegen die Verantwortlichen im Sinne der DSGVO ein Bußgeld wegen unzureichender technischer und organisatorischer Maßnahmen verhängt werden. Unberührt davon können Betroffene eine Argumentation nach DSGVO Artikel 82 Abs.1 in Verbindung mit §253 BGB auf Schadenersatz gegen den Verantwortlichen vorbringen, sollten Sie denn beweisen können, dass es in Folge des Datenklaus zu einem finanziellen oder Reputations Schaden kam.
Hinweis: dieser Artikel stellt keine Rechtsberatung dar, sondern spiegelt nur die persönliche Meinung des Authoren wieder.