Nintendo spielt nach Kundendatenklau Verstecken

Nintendo spielt nach Kundendatenklau Verstecken

Wie schon bei ande­ren, auch gro­ßen, Anbie­tern ist es bei Nin­ten­do Hackern gelun­gen, in deren Sys­te­me ein­zu­drin­gen und Kun­den­da­ten zu klau­en. Zuerst rede­te man von ca. 160000, dann wur­den es schon 300000. Ich gehe mal davon aus, dass sich die­se Zahl noch erhö­hen wird.

Es ist nun schon schlimm genug, dass das pas­siert, und das trotz der zahl­lo­sen ner­vi­gen Mecha­nis­men, die man als Kun­de durch­lau­fen muss, um bei­spiels­wei­se in der Switch über den Online­shop ein Spiel zu erwer­ben. Das bedeu­tet für mich, dass man es zwar »aus Daten­schutz­grün­den« dem Kun­den uner­go­no­misch schwer macht, ein Spiel zu erwer­ben (was ich eigent­lich gut hei­ße), aber auf den eige­nen Ser­vern der­art lais­sez fai­re ist, dass Kri­mi­nel­le Daten abgrei­fen kön­nen. Das lässt die Maß­nah­men gegen­über den Kun­den als Far­ce erscheinen.

War­um ich aber so rich­tig fuchs­teu­fels­wild wer­de sind zwei Din­ge: Ers­tens muss ich dar­über aus den Medi­en erfah­ren, weil Big N es offen­sicht­lich nicht für not­wen­dig hält mich als Kun­den dar­über zu infor­mie­ren. Und zwei­tens wird in den Medi­en ein­deu­tig gesagt »Nin­ten­do hat sei­ne Kun­den bereits infor­miert, dass sie ihre Pass­wör­ter ändern sol­len«. Mich aller­dings nicht, und da ich nicht davon aus­ge­he, dass ich eine irgend­wie gear­te­te Son­der­rol­le ein­neh­me, neh­me ich an, dass es zig tau­sen­den ande­rer Kun­den ganz genau so geht. Allein das ist bereits ein Ver­stoß gegen diver­se Daten­schutz­ge­set­ze, die vor­schrei­ben, dass Kun­den in sol­chen Fäl­len sofort infor­miert wer­den müssen.

Nach Aus­sa­gen in den Medi­en sind kei­ne Zah­lungs­da­ten erbeu­tet wor­den, son­dern nur Namen und Geburts­da­ten. Schon schlimm genug, denn allein mit dem Geburts­da­tum kön­nen Kri­mi­nel­le bereits jede Men­ge Schind­lu­der trei­ben. Und es steht zu befürch­ten, dass mit den bei sol­chen Fäl­len übli­chen Sala­mi­tak­ti­ken nach und nach umfang­rei­che­re Daten­ab­flüs­se zuge­ge­ben wer­den könnten.

Ich habe das zum Anlass genom­men, Nin­ten­do mal einen DSGVO-Brand­brief zu schi­cken und um Daten­aus­kunft zu »bit­ten«. Das soll­ten alle Kun­den tun, Mus­ter­brie­fe fin­det man zum Bei­spiel bei den Verbraucherzentralen.

Logo Copy­right Nin­ten­do of Euro­pe GmbH

Oculus Rift: Facebook beim Datenabgreifen erwischt

Oculus Rift: Facebook beim Datenabgreifen erwischt

Oculus Rift

Es gab lau­te kri­ti­sche Stim­men, die Beden­ken hat­ten, als Daten­kra­ke Face­book die VR-Bril­le Ocu­lus Rift erwarb. Wie sich jetzt zeigt, waren die­se Beden­ken offen­bar gerecht­fer­tigt, denn wie eini­ge User nach der Instal­la­ti­on der zum Betrieb der gera­de frisch aus­ge­lie­fer­ten Gerä­te not­wen­di­gen Soft­ware fest­stell­ten, sen­det die­se in nicht gerin­gem Umfang Daten an Face­book-Ser­ver. Hin­wei­se dar­auf fin­den sich auch in den Nut­zungs­be­din­gun­gen, die natür­lich nie­mand kom­plett durch­liest. Soge­nann­te »Shrink Wrap-Lizen­zen« mit für Kun­den uner­war­te­ten Klau­seln sind in Deutsch­land ohne­hin ungültig.

Es exis­tiert zu dem The­ma ein Thread auf Red­dit, in dem aus­gie­big dis­ku­tiert wird. Diver­se nam­haf­te Online­me­di­en haben des­we­gen bereits bei Ocu­lus VR nach­ge­fragt, die hül­len sich aller­dings in Schwei­gen, was ihnen erfah­rungs­ge­mäß nicht gut bekom­men wird. Ins­be­son­de­re etli­che der ursprüng­li­chen Unter­stüt­zer auf Kick­star­ter füh­len sich doch nach­hal­tig ver … arscht.

Kri­tisch dabei ist nicht nur, dass mas­sen­haft Infor­ma­tio­nen über den Rech­ner auf dem die Ocu­lus-Soft­ware über­tra­gen wer­den, Face­book räumt sich angeb­lich sogar das Recht ein, das Mikro­fon zu über­wa­chen und die gespro­che­nen Wor­te abzu­grei­fen und über­trägt sogar die Kör­per­grö­ße des Nut­zers. All das, um auf den Nut­zer zuge­schnit­te­ne Wer­bung bereit­stel­len zu können.

Soll­te man des­we­gen sei­ne Bestel­lung stor­nie­ren und statt­des­sen auf eine inzwi­schen eben­falls lie­fer­ba­re HTV Vive zurück­grei­fen? Das muss jeder mit sich selbst aus­ma­chen, aber es gibt auch tech­ni­sche Maß­nah­men, um Face­book sei­nen dreis­ten Umgang mit den User­da­ten zu vergällen.

Bei der Instal­la­ti­on der Soft­ware vor­her die Inter­net­ver­bin­dung tren­nen (bei­spiels­wei­se den zuge­hö­ri­gen Netz­werk­ad­ap­ter deak­ti­vie­ren). Danach den bei­den Diens­ten OVRServer_x64.exe und OVRServiceLauncher.exe in der Win­dows-Fire­wall den Inter­net­zu­g­ruff ver­bie­ten. Das ver­hin­dert erst ein­mal eine Daten­über­tra­gung und scheint beim sons­ti­gen Betrieb zu kaum Pro­ble­men zu führen.

Einen Besuch im offi­zi­el­len Sup­port­fo­rum wegen des Pro­blems kann man sich übri­gens spa­ren, denn dort haben Fan­bo­is und Voll­hon­ks über­hand genommen.

Das ist das bereits drit­te Pro­blem mit dem Launch der via Kick­star­ter finan­zier­ten VR-Bril­le Ocu­lus Rift. Zuerst stell­te sich her­aus, dass man die Soft­ware und alle Apps (Spie­le) aus­schließ­lich auf C: instal­lie­ren kann. Wer eine eher klei­ne SSD betreibt und dar­auf nicht genug Platz hat, kommt schnell in Schwie­rig­kei­ten, es gibt einen Work­around mit Sym­links. Wei­ter­hin wur­den Vor­be­stel­ler in einer Mail kurz vor dem letz­ten Wochen­en­de dar­auf hin­ge­wie­sen, dass sich die Aus­lie­fe­rung ver­zö­gern wer­den, weil es »Kom­po­nen­ten­knapp­heit« gibt. All das ver­dirbt Ocu­lus-Chef Pal­mer Luckey aber ver­mut­lich nicht den Schlaf, denn der hat sein finan­zi­el­les Schäf­chen durch den Ver­kauf an Face­book ja längst im Trockenen.

Pro­mo­fo­to Ocu­lus Rift Copy­right Ocu­lus VR

Hackerangriff auf Gamigo

Der Spie­le­an­bie­ter Gami­go hat in der Nacht zum Don­ners­tag alle Ser­ver off­line genom­men, die Spie­le­ser­ver eben­so wie die Game­ser­ver. Grund hier­für war nach Aus­sa­gen des Unter­neh­mens ein Hacker­an­griff. Wei­te­re Details dazu wur­den bis­lang nicht ver­öf­fent­licht, aller­dings wur­den die Spie­ler unter ande­rem via Face­book dazu auf­ge­for­dert, ihre Pass­wör­ter für Foren und beim Kun­den­lo­gin neu zu set­zen, des­we­gen ist davon aus­zu­ge­hen, dass ein Ein­bruch erfolg­te. Spie­ler mel­den nun, dass das Rück­set­zen bzw. neu Set­zen der Pass­wör­ter nicht in allen Fäl­len funktioniert.

Gami­go betreibt unter ande­rem Spie­le wie CULTURES ONLINE oder das Sci­ence Fic­tion-MMO BLACK PROPHECY.

Die Ser­ver sind inzwi­schen wie­der online, es ist zu hof­fen, dass kurz­fris­tig wei­te­re Infos zur Ver­fü­gung gestellt wer­den, wel­che Daten betrof­fen sind. Auf der Start­sei­te de.gamigo.com fehlt aller­ding jeg­li­cher Hin­weis auf das Pro­blem und die Not­wen­dig­keit, die Pass­wör­ter zu ändern. Der Anbie­ter gibt hier mei­ner Ansicht nach kein gutes Bild ab. Und so rich­tig zu funk­tio­nie­ren scheint die Web­sei­te auch nicht immer …

Creative Commons License

Gami­go-Logo Copy­right Gamigo

Sony Online Entertainment ebenfalls angegriffen

Es reisst für Sony nicht ab. Ges­tern muss­te der Kon­zern zuge­ben, dass auch in die Ser­ver von Sony Online Enter­tain­ment ein­ge­bro­chen wor­den ist, dort wur­den noch­mals ca. 26 Mil­lio­nen Kun­den­da­ten abge­grif­fen. Das ist ins­be­son­de­re eine schlech­te Nach­richt für Fans von MMOs, denn über SOE wer­den bei­spiels­wei­se Spie­le wie EVERQUEST oder PIRATES OF THE BURNING SEA abge­wi­ckelt. Sony stellt für die­se MMOs eine Kon­to­ver­wal­tungs- und Log­in-Infra­struk­tur bereit.

Das bedeu­tet im Klar­text: man kann sich so lan­ge nicht in die­se Spie­le ein­log­gen und sie ver­trags­ge­mäß nut­zen, bis die von Sony beauf­trag­te Sicher­heits­fir­ma ihre Arbeit been­det hat und die Ser­ver wie­der frei­ge­ge­ben werden.

Damit gehö­re ich dann eben­falls »end­lich« zu den Betrof­fe­nen, denn auch ich habe mich via SOE für MMOs ange­mel­det (in klu­ger Vor­aus­sicht mit so wenig preis­ge­ge­be­nen Daten wie nur mög­lich) und mei­ne Daten sind damit im Umlauf. Glück­li­cher­wei­se waren mei­ne Anga­ben zur Adres­se falsch. Inter­es­sie­ren wür­de mich aller­dings, wie mich Sony dafür ent­schä­di­gen möch­te, dass ich die Spie­le nicht nut­zen kann.

Erneut muss man Sony zudem eine mise­ra­ble Infor­ma­ti­ons­po­li­tik vor­wer­fen, denn eben­so wie man sich beim Play­sta­ti­on Net­work eine Woche Zeit ließ, die Kun­den zu infor­mie­ren, war­te­te man auch in Sachen SOE erst­mal ab, statt wie es erfor­der­lich gewe­sen wäre, die Kun­den sofort über den Daten­klau zu informieren.

Auf der SOE-Sei­te schreibt man (Her­vor­he­bung von mir):

Sony nimmt Daten­schutz sehr ernst und wird wei­ter dar­an arbei­ten, zusätz­li­che Maß­nah­men ins Leben zu rufen, die Ihre per­sön­li­chen Daten schüt­zen. Unse­ren Kun­den eine qua­li­ta­tiv hoch­wer­ti­ge und siche­re Umge­bung zu bie­ten ist unse­re höchs­te Prio­ri­tät. Bit­te kon­tak­tie­ren Sie uns bei wei­te­ren Fra­gen unter +49 180 500 7774 (Mon­tag bis Frei­tag zwi­schen 16:00 bis 20:30 Uhr und 21:30 und 24 Uhr).

Soso, man nimmt Daten­schutz sehr ernst. Gestat­tet, dass ich lache. Kun­den­schutz offen­sicht­lich nicht, denn die genann­te Hot­line-Num­mer ist kos­ten­pflich­tig, ohne dass die Kos­ten genannt wer­den, wie es in Deutsch­land per Gesetz vor­ge­schrie­ben ist (übri­gens möch­te Sony dafür von den betrof­fe­nen Anru­fern offen­sicht­lich noch­mal 14 Cent pro Minu­te abzo­cken, unver­schäm­ter kann´s kaum noch wer­den). Wird dadurch nicht wirk­lich bes­ser, Sony…

[Edit:] Zum The­ma: Digi­ta­le Gesell­schaft – »Ver­stö­ße gegen Daten­schutz müs­sen weh tun!« 

Sony-Logo: Copy­right Sony, Jol­ly Roger: Public Domain