Datenklau

Nintendo spielt nach Kundendatenklau Verstecken

Wie schon bei ande­ren, auch gro­ßen, Anbie­tern ist es bei Nin­ten­do Hackern gelun­gen, in deren Sys­te­me ein­zu­drin­gen und Kun­den­da­ten zu klau­en. Zuerst rede­te man von ca. 160000, dann wur­den es schon 300000. Ich gehe mal davon aus, dass sich die­se Zahl noch erhö­hen wird.

Es ist nun schon schlimm genug, dass das pas­siert, und das trotz der zahl­lo­sen ner­vi­gen Mecha­nis­men, die man als Kun­de durch­lau­fen muss, um bei­spiels­wei­se in der Switch über den Online­shop ein Spiel zu erwer­ben. Das bedeu­tet für mich, dass man es zwar »aus Daten­schutz­grün­den« dem Kun­den uner­go­no­misch schwer macht, ein Spiel zu erwer­ben (was ich eigent­lich gut hei­ße), aber auf den eige­nen Ser­vern der­art lais­sez fai­re ist, dass Kri­mi­nel­le Daten abgrei­fen kön­nen. Das lässt die Maß­nah­men gegen­über den Kun­den als Far­ce erscheinen.

War­um ich aber so rich­tig fuchs­teu­fels­wild wer­de sind zwei Din­ge: Ers­tens muss ich dar­über aus den Medi­en erfah­ren, weil Big N es offen­sicht­lich nicht für not­wen­dig hält mich als Kun­den dar­über zu infor­mie­ren. Und zwei­tens wird in den Medi­en ein­deu­tig gesagt »Nin­ten­do hat sei­ne Kun­den bereits infor­miert, dass sie ihre Pass­wör­ter ändern sol­len«. Mich aller­dings nicht, und da ich nicht davon aus­ge­he, dass ich eine irgend­wie gear­te­te Son­der­rol­le ein­neh­me, neh­me ich an, dass es zig tau­sen­den ande­rer Kun­den ganz genau so geht. Allein das ist bereits ein Ver­stoß gegen diver­se Daten­schutz­ge­set­ze, die vor­schrei­ben, dass Kun­den in sol­chen Fäl­len sofort infor­miert wer­den müssen.

Nach Aus­sa­gen in den Medi­en sind kei­ne Zah­lungs­da­ten erbeu­tet wor­den, son­dern nur Namen und Geburts­da­ten. Schon schlimm genug, denn allein mit dem Geburts­da­tum kön­nen Kri­mi­nel­le bereits jede Men­ge Schind­lu­der trei­ben. Und es steht zu befürch­ten, dass mit den bei sol­chen Fäl­len übli­chen Sala­mi­tak­ti­ken nach und nach umfang­rei­che­re Daten­ab­flüs­se zuge­ge­ben wer­den könnten.

Ich habe das zum Anlass genom­men, Nin­ten­do mal einen DSGVO-Brand­brief zu schi­cken und um Daten­aus­kunft zu »bit­ten«. Das soll­ten alle Kun­den tun, Mus­ter­brie­fe fin­det man zum Bei­spiel bei den Verbraucherzentralen.

Logo Copy­right Nin­ten­do of Euro­pe GmbH

Oculus Rift: Facebook beim Datenabgreifen erwischt

Oculus Rift

Es gab lau­te kri­ti­sche Stim­men, die Beden­ken hat­ten, als Daten­kra­ke Face­book die VR-Bril­le Ocu­lus Rift erwarb. Wie sich jetzt zeigt, waren die­se Beden­ken offen­bar gerecht­fer­tigt, denn wie eini­ge User nach der Instal­la­ti­on der zum Betrieb der gera­de frisch aus­ge­lie­fer­ten Gerä­te not­wen­di­gen Soft­ware fest­stell­ten, sen­det die­se in nicht gerin­gem Umfang Daten an Face­book-Ser­ver. Hin­wei­se dar­auf fin­den sich auch in den Nut­zungs­be­din­gun­gen, die natür­lich nie­mand kom­plett durch­liest. Soge­nann­te »Shrink Wrap-Lizen­zen« mit für Kun­den uner­war­te­ten Klau­seln sind in Deutsch­land ohne­hin ungültig.

Es exis­tiert zu dem The­ma ein Thread auf Red­dit, in dem aus­gie­big dis­ku­tiert wird. Diver­se nam­haf­te Online­me­di­en haben des­we­gen bereits bei Ocu­lus VR nach­ge­fragt, die hül­len sich aller­dings in Schwei­gen, was ihnen erfah­rungs­ge­mäß nicht gut bekom­men wird. Ins­be­son­de­re etli­che der ursprüng­li­chen Unter­stüt­zer auf Kick­star­ter füh­len sich doch nach­hal­tig ver … arscht.

Kri­tisch dabei ist nicht nur, dass mas­sen­haft Infor­ma­tio­nen über den Rech­ner auf dem die Ocu­lus-Soft­ware über­tra­gen wer­den, Face­book räumt sich angeb­lich sogar das Recht ein, das Mikro­fon zu über­wa­chen und die gespro­che­nen Wor­te abzu­grei­fen und über­trägt sogar die Kör­per­grö­ße des Nut­zers. All das, um auf den Nut­zer zuge­schnit­te­ne Wer­bung bereit­stel­len zu können.

Soll­te man des­we­gen sei­ne Bestel­lung stor­nie­ren und statt­des­sen auf eine inzwi­schen eben­falls lie­fer­ba­re HTV Vive zurück­grei­fen? Das muss jeder mit sich selbst aus­ma­chen, aber es gibt auch tech­ni­sche Maß­nah­men, um Face­book sei­nen dreis­ten Umgang mit den User­da­ten zu vergällen.

Bei der Instal­la­ti­on der Soft­ware vor­her die Inter­net­ver­bin­dung tren­nen (bei­spiels­wei­se den zuge­hö­ri­gen Netz­werk­ad­ap­ter deak­ti­vie­ren). Danach den bei­den Diens­ten OVRServer_x64.exe und OVRServiceLauncher.exe in der Win­dows-Fire­wall den Inter­net­zu­gruff ver­bie­ten. Das ver­hin­dert erst ein­mal eine Daten­über­tra­gung und scheint beim sons­ti­gen Betrieb zu kaum Pro­ble­men zu führen.

Einen Besuch im offi­zi­el­len Sup­port­fo­rum wegen des Pro­blems kann man sich übri­gens spa­ren, denn dort haben Fan­bo­is und Vollhon­ks über­hand genommen.

Das ist das bereits drit­te Pro­blem mit dem Launch der via Kick­star­ter finan­zier­ten VR-Bril­le Ocu­lus Rift. Zuerst stell­te sich her­aus, dass man die Soft­ware und alle Apps (Spie­le) aus­schließ­lich auf C: instal­lie­ren kann. Wer eine eher klei­ne SSD betreibt und dar­auf nicht genug Platz hat, kommt schnell in Schwie­rig­kei­ten, es gibt einen Work­around mit Sym­links. Wei­ter­hin wur­den Vor­be­stel­ler in einer Mail kurz vor dem letz­ten Wochen­en­de dar­auf hin­ge­wie­sen, dass sich die Aus­lie­fe­rung ver­zö­gern wer­den, weil es »Kom­po­nen­ten­knapp­heit« gibt. All das ver­dirbt Ocu­lus-Chef Pal­mer Luckey aber ver­mut­lich nicht den Schlaf, denn der hat sein finan­zi­el­les Schäf­chen durch den Ver­kauf an Face­book ja längst im Trockenen.

Pro­mo­fo­to Ocu­lus Rift Copy­right Ocu­lus VR

Hackerangriff auf Gamigo

Der Spie­le­an­bie­ter Gami­go hat in der Nacht zum Don­ners­tag alle Ser­ver off­line genom­men, die Spie­le­ser­ver eben­so wie die Game­ser­ver. Grund hier­für war nach Aus­sa­gen des Unter­neh­mens ein Hacker­an­griff. Wei­te­re Details dazu wur­den bis­lang nicht ver­öf­fent­licht, aller­dings wur­den die Spie­ler unter ande­rem via Face­book dazu auf­ge­for­dert, ihre Pass­wör­ter für Foren und beim Kun­den­lo­gin neu zu set­zen, des­we­gen ist davon aus­zu­ge­hen, dass ein Ein­bruch erfolg­te. Spie­ler mel­den nun, dass das Rück­set­zen bzw. neu Set­zen der Pass­wör­ter nicht in allen Fäl­len funktioniert.

Gami­go betreibt unter ande­rem Spie­le wie CULTURES ONLINE oder das Sci­ence Fic­tion-MMO BLACK PROPHECY.

Die Ser­ver sind inzwi­schen wie­der online, es ist zu hof­fen, dass kurz­fris­tig wei­te­re Infos zur Ver­fü­gung gestellt wer­den, wel­che Daten betrof­fen sind. Auf der Start­sei­te de.gamigo.com fehlt aller­ding jeg­li­cher Hin­weis auf das Pro­blem und die Not­wen­dig­keit, die Pass­wör­ter zu ändern. Der Anbie­ter gibt hier mei­ner Ansicht nach kein gutes Bild ab. Und so rich­tig zu funk­tio­nie­ren scheint die Web­sei­te auch nicht immer …

[cc]

Gami­go-Logo Copy­right Gamigo

Sony Online Entertainment ebenfalls angegriffen

Es reisst für Sony nicht ab. Ges­tern muss­te der Kon­zern zuge­ben, dass auch in die Ser­ver von Sony Online Enter­tain­ment ein­ge­bro­chen wor­den ist, dort wur­den noch­mals ca. 26 Mil­lio­nen Kun­den­da­ten abge­grif­fen. Das ist ins­be­son­de­re eine schlech­te Nach­richt für Fans von MMOs, denn über SOE wer­den bei­spiels­wei­se Spie­le wie EVERQUEST oder PIRATES OF THE BURNING SEA abge­wi­ckelt. Sony stellt für die­se MMOs eine Kon­to­ver­wal­tungs- und Log­in-Infra­struk­tur bereit.

Das bedeu­tet im Klar­text: man kann sich so lan­ge nicht in die­se Spie­le ein­log­gen und sie ver­trags­ge­mäß nut­zen, bis die von Sony beauf­trag­te Sicher­heits­fir­ma ihre Arbeit been­det hat und die Ser­ver wie­der frei­ge­ge­ben werden.

Damit gehö­re ich dann eben­falls »end­lich« zu den Betrof­fe­nen, denn auch ich habe mich via SOE für MMOs ange­mel­det (in klu­ger Vor­aus­sicht mit so wenig preis­ge­ge­be­nen Daten wie nur mög­lich) und mei­ne Daten sind damit im Umlauf. Glück­li­cher­wei­se waren mei­ne Anga­ben zur Adres­se falsch. Inter­es­sie­ren wür­de mich aller­dings, wie mich Sony dafür ent­schä­di­gen möch­te, dass ich die Spie­le nicht nut­zen kann.

Erneut muss man Sony zudem eine mise­ra­ble Infor­ma­ti­ons­po­li­tik vor­wer­fen, denn eben­so wie man sich beim Play­sta­ti­on Net­work eine Woche Zeit ließ, die Kun­den zu infor­mie­ren, war­te­te man auch in Sachen SOE erst­mal ab, statt wie es erfor­der­lich gewe­sen wäre, die Kun­den sofort über den Daten­klau zu informieren.

Auf der SOE-Sei­te schreibt man (Her­vor­he­bung von mir):

Sony nimmt Daten­schutz sehr ernst und wird wei­ter dar­an arbei­ten, zusätz­li­che Maß­nah­men ins Leben zu rufen, die Ihre per­sön­li­chen Daten schüt­zen. Unse­ren Kun­den eine qua­li­ta­tiv hoch­wer­ti­ge und siche­re Umge­bung zu bie­ten ist unse­re höchs­te Prio­ri­tät. Bit­te kon­tak­tie­ren Sie uns bei wei­te­ren Fra­gen unter +49 180 500 7774 (Mon­tag bis Frei­tag zwi­schen 16:00 bis 20:30 Uhr und 21:30 und 24 Uhr).

Soso, man nimmt Daten­schutz sehr ernst. Gestat­tet, dass ich lache. Kun­den­schutz offen­sicht­lich nicht, denn die genann­te Hot­line-Num­mer ist kos­ten­pflich­tig, ohne dass die Kos­ten genannt wer­den, wie es in Deutsch­land per Gesetz vor­ge­schrie­ben ist (übri­gens möch­te Sony dafür von den betrof­fe­nen Anru­fern offen­sicht­lich noch­mal 14 Cent pro Minu­te abzo­cken, unver­schäm­ter kann´s kaum noch wer­den). Wird dadurch nicht wirk­lich bes­ser, Sony…

[Edit:] Zum The­ma: Digi­ta­le Gesell­schaft – »Ver­stö­ße gegen Daten­schutz müs­sen weh tun!« 

Sony-Logo: Copy­right Sony, Jol­ly Roger: Public Domain

Nach oben scrollen

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies und von eingebundenen Skripten Dritter zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest (Navigation) oder auf "Akzeptieren" klickst, erklärst Du Dich damit einverstanden. Dann können auch Cookies von Drittanbietern wie Amazon, Youtube oder Google gesetzt werden. Wenn Du das nicht willst, solltest Du entweder nicht auf "Akzeptieren" klicken und die Seite nicht weiter nutzen, oder Deinen Browser im Inkognito-Modus betreiben, und/oder Anti-Tracking- und Scriptblocker-Plugins nutzen.

Mit einem Klick auf "Akzeptieren" werden zudem extern gehostete Javascripte freigeschaltet, die weitere Informationen, wie beispielsweise die IP-Adresse an Dritte weitergeben können. Welche Informationen das genau sind liegt nicht im Einflussbereich des Betreibers dieser Seite, das bitte bei den Anbietern (jQuery, Google, Youtube, Amazon, Twitter *) erfragen. Wer das nicht möchte, klickt nicht auf "akzeptieren" und verlässt die Seite.

Wer wer seine Identität im Web schützen will, nutzt Browser-Erweiterungen wie beispielsweise uBlock Origin oder ScriptBlock und kann dann Skripte und Tracking gezielt zulassen oder eben unterbinden.

* genauer: eingebettete Tweets, eingebundene jQuery-Bibliotheken, Amazon Artikel-Widgets, Youtube-Videos, Vimeo-Videos

Schließen