Wichtig: DriveThruRPG gehackt, Kreditkartendaten entwendet

Wichtig: DriveThruRPG gehackt, Kreditkartendaten entwendet

Logo DriveThruRPG

Wer zwi­schen dem 10. Juli und dem 6. August Kre­dit­kar­ten­käuf­te beim bekann­ten Rol­len­spiel-Anbie­ter Dri­ve­ThruR­PG getä­tigt hat, soll­te sich mög­li­cher­wei­se bes­ser mit sei­nem Kre­dit­kar­ten­un­ter­neh­men in Ver­bin­dung set­zen und die Kar­te erset­zen las­sen. Wer PayPal als Zah­lungs­me­tho­de genutzt hat, ist auf der siche­ren Sei­te. Die Anbie­ter raten in einer FAQ selbst ein­deu­tig zum Sper­ren der Karte:

Q: If I store my credit card infor­ma­ti­on at Dri­ve­ThruR­PG what steps should I take?

A: We sug­gest you con­ta­ct your credit card issuing bank and ask them to replace your credit card. We have no evi­dence that the­se num­bers were com­pro­mi­sed. It would not have been easy to un-encrypt the stored num­bers, but we can­not rule out the possibility.

Kre­dit­kar­ten­nut­zer, die betrof­fen sind, wur­den laut Aus­sa­gen der Betrei­ber bereits per Email benach­rich­tigt. Über­aus frag­wür­dig fin­de ich, dass die Betrei­ber nicht auf der Start­sei­te der Inter­net­prä­senz auf das Pro­blem hinweisen.

Die Anbie­ter behaup­ten zudem, dass das Sicher­heits­leck besei­tigt ist und man pro­blem­los und ohne Sor­ge wie­der ein­kau­fen kann. Den­noch: Wo es irgend­wie geht, soll­te man bei Online­käu­fen von der Nut­zung von Kre­dit­kar­ten abse­hen und alter­na­ti­ve Sys­te­me nut­zen. Ja, auch PayPal ist nicht risi­ko­los, aber zumin­dest kön­nen bei der Zah­lung dar­über kei­ne Kre­dit­kar­ten­da­ten abge­grif­fen wer­den (und ich per­sön­lich hat­te in all den Jah­ren noch nie ein Pro­blem mit PayPal).

Wei­te­re Infor­ma­tio­nen fin­den sich ein einer FAQ im Sup­port­sys­tem von DriveThruRPG

Playstation-Network: Angreifer klaut Kundendaten

Als ich ges­tern vom Super-GAU sprach, war das nicht über­trie­ben. Sony hat heu­te im Play­sta­ti­on Blog end­lich die Kat­ze aus dem Sack gelas­sen, dass unbe­kann­te Angrei­fer ins Play­sta­ti­on-Net­work ein­ge­drun­gen sind und dort die Daten von unge­fähr 70 Mil­lio­nen Kun­den geklaut haben. Ob auch Kre­dit­kar­ten­da­ten dar­un­ter sind, dar­über »ist man sich nicht sicher«, aber allein die­se vor­sich­ti­ge For­mu­lie­rung zeigt deut­lich, dass dem so sein dürf­te. Unter den geklau­ten Daten befin­den sich auch Name, Anschrift,  Geburts­da­tum, Kauf­his­to­rie sowie Log-in und Pass­wort und offen­bar auch die Sicher­heits­fra­ge, die eine Pass­wort­wie­der­her­stel­lung ermög­licht, wenn man es ver­ges­sen hat.

Das ist arg, man muss sich vor allem fra­gen, war­um die Daten offen­sicht­lich nicht in einer ver­schlüs­sel­ten Form vor­la­gen, bzw. war­um eine vor­han­de­ne Ver­schlüs­se­lung schein­bar so leicht durch einen (oder meh­re­re) Angrei­fer aus­ge­he­belt wer­den konnte?

Sony emp­fiehlt nun sei­nen Kun­den, ihre Kon­ten sorg­sam zu über­wa­chen – na toll… Es bleibt zu prü­fen, ob bei uner­laub­ten Zugrif­fen auf­grund der mög­li­cher­wei­se min­der­wer­ti­gen Sicher­heits­maß­nah­men des Kon­zerns hier Scha­dens­er­satz­for­de­run­gen sei­tens der Kun­den mög­lich sind. Ich gehe davon aus, dass dem so sein dürf­te. Wohl dem, der mit Pre­paid­kar­ten agiert hat.

Erneut zeigt sich nach dem Root­kit-Desas­ter, dass der Mega­kon­zern es mit dem Daten­schutz und den Kun­den­rech­ten nicht all­zu ernst zu neh­men scheint. Man fokus­siert sei­ne Auf­merk­sam­keit wohl lie­ber dar­auf, mit aller Macht und nicht eben gerin­gem finan­zi­el­len Auf­wand Per­so­nen zu ver­fol­gen, die ein ent­fern­tes Fea­ture der Play­sta­ti­on wie­der­her­stel­len wol­len. Das Geld wäre in die Sicher­heit des PSN offen­sich­lich bes­ser inves­tiert gewe­sen, gel­le Sony?

Wann das PSN den Kun­den wie­der zur Ver­fü­gung ste­hen wird ist unge­wiss, denn dar­über schweigt man sich nach wie vor aus.

Bild: PS3, aus der Wiki­pe­dia – mit einem Loch (Public Domain) ange­rei­chert von mir