Über das Wochenende verbreiteten sich Pokémon-Quellcode, Grafiken und andere Dokumentationen schnell in den sozialen Medien und anderen Internetforen. Woher kam es? Game Freak bestätigte letzte Woche, dass es gehackt wurde und dabei mehr als 2.600 Mitarbeiterdaten gestohlen wurden. Es nicht Bestätigen Sie zwar den massiven Diebstahl seiner Spieldaten, aber die Spieldaten stammen wahrscheinlich aus demselben Verstoß. Ein Hacker gab an, 1 TB Daten einschließlich des Quellcodes dafür erworben zu haben Pokémon-Legenden: ZA und die Pokémon-Spiele der nächsten Generation, zusätzlich zu Builds älterer Spiele, Konzeptzeichnungen und Lore-Dokumenten. Zahlreiche Informationen wurden bereits veröffentlicht – und laut dem Hacker werden noch weitere ins Internet hochgeladen.
Einfach ausgedrückt ist dies wahrscheinlich einer der größten Leaks in der Geschichte von Pokémon. Es konkurriert mit dem 1,67 TB großen Leak gehackter Insomniac Games-Daten der berüchtigten Ransomware-Gruppe Rhysida, der im Dezember letzten Jahres veröffentlicht wurde, und einem Rockstar Games-Hack aus dem Jahr 2022, der noch nicht abgeschlossen ist Grand Theft Auto 6 Das Filmmaterial wurde frühzeitig veröffentlicht. Diese Hacks sind immer eine große Neuigkeit, denn die Videospielbranche ist bekanntermaßen geheimnisvoll und sorgt durch sorgfältig geplante Teaser, Trailer und Ankündigungen für Aufsehen. Dieser Hype ist für Entwickler und Herausgeber wertvoll, aber auch für Leaker, die online nach Einfluss suchen, Hacker, die Lösegeld fordern, und konsumfreudige Spieler irgendetwas über ihr Lieblings-Franchise. Aber wie kann das so weitergehen?
Phishing-Versuche kommen häufig vor und kommen nicht nur bei Game Freak oder einem anderen Videospielunternehmen vor, sagte Stiv Kupchik, Cybersicherheitsforscher bei Akamai, gegenüber Polygon. Aber das Publikum für durchgesickerte Informationen ist riesig, was große Aufmerksamkeit bedeutet. Videospielfans verlangen nach dieser Art von Inhalten.
„Die Fans des Produkts interessieren sich sehr dafür, was kommt, was die Leute denken und so weiter und so weiter“, sagte Justin Cappos, Professor an der Tandon School of Engineering der New York University. „Zumindest weiß ich, dass es eine meiner Lieblingsbeschäftigungen war, als ich ein kleiner Junge war und mit Computerspielen und ähnlichen Dingen herumspielte, in meine lokale Kopie des Spiels einzudringen und es umzukehren, zu ändern und es anders zu machen Dinge. Heutzutage gibt es offensichtlich viele Leute, die sich dafür interessieren, und Videospiele sind besonders ein leichtes Ziel, was sie auch für Leute wie Cyberkriminelle attraktiv macht.“
Cappos sagte, Videospielunternehmen priorisieren oft andere Dinge als die Sicherheit: Sie konzentrieren sich auf Systeme, die eine schnelle Entwicklung ermöglichen, und setzen oft „große Teams ein, die dazu neigen, überlastet zu sein“. Nintendo ist gut in Sachen Sicherheit, sagte Cappos, aber wenn es um Nintendos verschiedene Partner geht, kann es schwierig werden. „Eines der schwierigen Dinge beim Defensivspiel ist, dass man immer richtig verteidigen muss“, sagte Cappos. „Du darfst nicht einmal ausrutschen. Und deshalb spielt es keine Rolle, ob zwei der drei Unternehmen gute Arbeit geleistet haben. Einer von ihnen vermasselt und du bist in Schwierigkeiten.“
Adam Marrè, Chief Information Security Officer des Cybersicherheitsunternehmens Arctic Wolf, fügte hinzu, dass Videospielunternehmen tendenziell ins Visier genommen werden, weil sie möglicherweise eher dazu neigen, Lösegeld zu zahlen, um unveröffentlichte Inhalte offline zu halten.
Bei dem jüngsten Verstoß gegen Game Freak scheint es sich nicht um ein Lösegeld zu handeln, aber Screenshots des Nintendo-Entwicklerportals eines gemeldeten Game Freak-Mitarbeiters deuten darauf hin, dass sich der Hacker über ein Social-Engineering- oder Phishing-Programm Zugang zu den Dateien verschafft hat – wie bei den Insomniac Games und Grand Theft Auto 6 Lecks. Allerdings übernahmen sowohl im Fall von Rockstar Games als auch im Fall von Insomniac Games bekannte Hackergruppen die Verantwortung für die durchgesickerten Informationen. Eine Gruppe namens Lapsus$ übernahm die Verantwortung dafür GTA6 Sicherheitsverstoß, bei dem ein 17-jähriger Hacker Phishing- und Social-Engineering-Methoden einsetzte, um Zugang zu den Slack-Kanälen des Rockstar Games-Unternehmens zu erhalten. (Der Hacker wurde zu unbefristeter Haft in einem Krankenhaus verurteilt.) Eine andere Gruppe, Rhysida, übernahm die Verantwortung für das Insomniac Games-Leak; Rhysida ist dafür bekannt, Phishing-Angriffe zu nutzen, um sich Zugang zu Servern zu verschaffen. Die Motivation für den jüngsten Hack von Game Freak ist nicht klar – aber manchmal kann es auf Schlagkraft zurückzuführen sein.
„Gaming ist eine sehr hochkarätige Branche“, sagte Kevin Gosschalk, CEO von Arkose Labs. „Viele der Angreifer, die es auf die Spielebranche abgesehen haben, sind auch Spieler, die nur daran interessiert sind, kommende Spiele durchsickern zu lassen. Das sorgt für hohe Publizität und verleiht ihnen viel Einfluss.“
Social Engineering und Phishing erfordern nicht unbedingt spezielle Tools oder technische Fähigkeiten: Stattdessen versuchen Hacker mit diesen Methoden, ein Opfer dazu zu bringen, Zugriff auf ein Konto zu gewähren oder Schadsoftware herunterzuladen. Cappos sagte, Untersuchungen zeigen, dass 20 % der Menschen, die einen glaubwürdigen Phishing-Versuch erhalten – „nicht nur eine zufällige E-Mail eines nigerianischen Prinzen“, darauf hereinfallen.
„Phishing funktioniert, indem es das Opfer dazu verleitet, vertrauliche Anmeldeinformationen oder Zugriffstoken weiterzugeben oder vom Angreifer gesendete Befehle oder Dateien auszuführen“, sagte Kupchik gegenüber Polygon. „Genau wie beim traditionellen Angeln beginnt es mit einem Köder – es kann eine E-Mail, ein Dokument oder eine Website sein, die legitim erscheint, sich aber tatsächlich unter der Kontrolle des Angreifers befindet. Das Opfer würde denken, dass es legitime Software herunterlädt oder sich auf einer internen Website anmeldet, aber stattdessen würde es seine Zugangsdaten an die Angreifer weitergeben oder ahnungslos bösartige Payloads ausführen.“
Der „einfache“ Teil besteht darin, diese Anmeldeinformationen zu erhalten, um sich anzumelden, sagte Lorenzo Pedroncelli, Senior Manager von RSA Security. Der schwierige Teil besteht darin, die Multi-Faktor-Authentifizierung zu überwinden, die möglicherweise auch für sichere Plattformen erforderlich ist – hier kommt Social Engineering ins Spiel. „Wenn Sie nicht über MFA verfügen, können gefälschte E-Mails, Passwörter oder andere Anmeldeinformationen viel bewirken mehr Schaden“, sagte Pedroncelli. Cappos fügte hinzu, dass die SMS-basierte Authentifizierung weniger sicher sei als andere Arten, es aber immer noch Möglichkeiten gebe. „Normalerweise passiert es bei den meisten authentifizierungsbasierten Hacks, dass sie nicht überall die Multi-Faktor-Authentifizierung aktiviert haben“, sagte er . „Manche Leute haben es, andere nicht, und sie können einen Weg finden, über Leute einzudringen, die mehr Zugriff haben, als sie sollten, und die keine Multi-Faktor-Authentifizierung aktiviert haben.“ Andernfalls muss ein Angreifer eine Person dazu verleiten, ihre MFA-Codes preiszugeben. (Cappos empfiehlt die Verwendung einer sicheren Multi-Faktor-Authentifizierung Und Halten Sie Ihre Software auf dem neuesten Stand, denn Letzteres kann eine weitere Möglichkeit sein, sich Zugang zu verschaffen, indem man veraltete Software ausnutzt.)
Das neueste Game Freak-Leak ist eine ganz andere Art von Leak als beispielsweise die Zeit, als jemand Fotos davon gemacht hat Pokémon-Schwert Und Pokémon-Schild Strategieleitfäden vor der Veröffentlichung der Spiele. Die Pokémon Company hat im Jahr 2021 einen Rechtsstreit mit den Personen, die diese Fotos auf Discord veröffentlicht haben, beigelegt und sie zur Zahlung von jeweils 150.000 US-Dollar verurteilt. In dieser vorherigen Situation beschränkten sich die durchgesickerten Informationen auf Dinge, die im Strategiehandbuch abgedruckt waren, wie z. B. neue Pokémon. Es handelte sich um Informationen, die The Pokémon Company nicht preisgeben wollte, aber sie sind weitaus weniger schwerwiegend als die Informationen, die im Zusammenhang mit diesem massiven jüngsten Hack online verbreitet wurden. Es ist auch ein anderes Szenario, als wenn Mitarbeiter Informationen an die Presse weitergeben, wie z Fallout 4’s-Einstellung oder wenn Microsoft versehentlich redigierte Gerichtsdokumente in ein mit dem verknüpftes Datei-Repository hochgeladen hat Federal Trade Commission gegen Microsoft Fall.
Cybersicherheitsexperten, die mit Polygon gesprochen haben, sagen, es sei noch zu früh, um die Auswirkungen oder Beweggründe der Hacker vollständig zu verstehen; Insomniac Games wurde von einer Ransomware-Gruppe gehackt und ihr erklärtes Interesse war finanzieller Natur. Die Person, die Game Freak gehackt hat, scheint eine gewisse Affinität zu Game Freak und Pokémon zu haben: Sie behauptete, den Quellcode dafür zu haben Pokémon-Legenden: ZA und die Spiele der nächsten Generation, sagte aber angeblich, dass sie „die Veröffentlichungen dieser Spiele nicht ruinieren werden“.
