SCUF Gaming stellte Kundendaten ohne Passwort ins Internet



Eine Kundendatenbank mit mehr als 1,1 Mio. Datensätzen wurde von SCUF Gaming, Hersteller von High-End-Gamepads und anderen Videospiel-Peripheriegeräten, im Internet veröffentlicht. Die Datenbank enthielt u.a. Kundennamen, Kontaktinformationen, Zahlungsinformationen, Bestellhistorien, Reparaturtickets, uvm. Das Sicherheitsforschungsteam von Comparitech unter der Leitung von Bob Diachenko deckte die Daten auf, die im Web ohne Passwort oder sonstige Authentifizierung zugänglich waren. Die Daten waren etwa zwei Tage lang ungeschützt, bevor sie von Comparitech entdeckt und der Vorfall an SCUF gemeldet wurde. Als die Datenbank von Comparitech gefunden wurde, enthielt sie bereits eine Notiz, die offenbar von Kriminellen hinterlassen worden war, die Lösegeld forderten. Darin hieß es: "Ihre Datenbank wird heruntergeladen und auf unseren gesicherten Servern gesichert. Um Ihre verlorenen Daten wiederherzustellen, senden Sie 0,3 BTC an unsere BitCoin-Adresse und kontaktieren Sie uns per E-Mail." SCUF-Kunden könnten dem Risiko von Betrug und gezielten Phishing-Angriffen ausgesetzt sein, die von Kriminellen verübt werden, die möglicherweise auf die Daten zugegriffen haben. Ein Sprecher von Corsair, der Muttergesellschaft von SCUF Gaming, antwortete Comparitech mit einer Stellungnahme: "Nach der Benachrichtigung haben wir die Grundursache für diese Gefährdung identifiziert und die Datenbank innerhalb von zwei Stunden gesichert. Während wir die Warnung von Herrn Diachenko untersuchten, entdeckten wir auch, dass sich ein Bot mit dem Server der Datenbank verbunden und dort eine Lösegeldforderung platziert hatte. Wir haben keine Beweise dafür, dass weder der Bot noch irgendein anderer Akteur in der Lage war, Kundendaten zu missbrauchen. Dieses Problem war spezifisch für ein System, das aufgrund von Vorsichtsmaßnahmen bei der Arbeit von zu Hause aus aufgrund der aktuellen COVID-19-Pandemie außer Haus betrieben wurde." Comparitechs Untersuchung zufolge war die Datenbank weniger als 48 Stunden lang ungeschützt. Doch das war lange genug, dass ein Unbefugter darauf zugreifen konnte. Ein Corsair-Sprecher sagte gegenüber Comparitech, es handele sich um einen automatisierten Bot: "Das Bot-Skript [...] verschlüsselte/löschte keine Daten und war nicht lange genug mit dem Server verbunden, um die Datenbank herunterzuladen." Die meisten Datensätze scheinen von SCUF Gaming zwischen 2017 und 2020 gesammelt worden zu sein.

The(G)net ist Mitglied des

SCN-Mitglieder:

• GAMES.ch

joypad.ch

insidegames.ch

Copyright © 2020 The(G)net Schweiz