CD Projekt wurde gehackt

    Zitat von Similicious

    Wie ich oben bereits schrieb, die Auktion ist vorbei: Quelle


    Was nun mit den Codes geschieht, bleibt abzuwarten.

    Das ist mir schon bewusst, aber mir persönlich nutzt das ja nichts. Außer der Umfang, der da weggegangen ist. Wie die hauseigene RED-Engine. Was mich damit umtreibt ist der letzte Hotfix 1.12 zum 05.02. Vom 06.02. soll der Zeitstempel sein. Das bedeutet aber nur, da hat man es geholt. Wann man es vorbereitet hat, ist nicht bekannt. Informiert wurde 3 Tage später. Bis jetzt gibt es keine Infos ob der Hotfix sicher ist. Muss man darüber nachdenken das Spiel zu löschen? Habe ja alles bis auf den 1.12 manuell heruntergeladen. Doch beim Installieren des Updates kommt ja der Bug, dass wiederum über 100 GB freier Festplattenplatz benötigt wird und die Spielstände sind dann auch nicht versionsgleich.

    • Offizieller Beitrag

    Scheinbar wurde die Auktion die in dem Exploit-Forum stattfinden sollte abgebrochen, weil es angeblich von außerhalb ein Angebot gab. Zumindest falls das hier denn echt ist: https://twitter.com/vxunderground/status/1359890201686990863


    Ich finde die Beweise aber irgendwie verdächtig. So gabs ein "Beweisfoto" bei der Cyberpunk-Auktion: https://twitter.com/vxunderground/status/1359568916339646466


    Wenn man da genau drauf schaut, dann sieht man, dass die gezeigte Verzeichnisstruktur von Witcher 3 stammt. Zudem kann ich einen exakt gleichen Screenshot machen indem ich die Assets mit dem bundle-Extractor aus den Spieldateien entpacke.

    • Offizieller Beitrag

    Es wurde doch nicht nur der Sourcecode von Cyberpunk versteigert, sondern auch der von Witcher 3, Witcher 3 RTX und Thronbreaker. Wahrscheinlich stammt das Bild des Verzeichnisses aus Witcher 3 oder Witcher 3 RTX. Der Gwent-Code wurde definitiv geleakt, deswegen halte ich die ganze Sache für durchaus glaubhaft. Die Frage ist jetzt, wer hat die Codes ersteigert. Könnte jemand aus China sein, könnte auch CDPR selbst sein über eine dritte Person. ;)


    Es gibt mittlerweile auch eine Vermutung, welche Gruppierung hinter dem Hack steckt. Das war keine Amateur-Aktion, wenn sich das als wahr herausstellt. Ob wir das jemals erfahren werden, steht in den Sternen.

    • Offizieller Beitrag

    Na ja, die aktuelle "Roadmap" ist doch eh völlig schwammig. Ich könnte mir vorstellen, dass der nächste Patch sich verzögert, aber zu den free DLCs gibt es keinen festen Zeitraum. Irgendwann in den "kommenden Monaten", das kann alles sein. März, April, Juni. Die kostenlosen DLCs werden zum Großteil wahrscheinlich eh schon fertig sein.

    Zitat von Similicious

    Na ja, die aktuelle "Roadmap" ist doch eh völlig schwammig. Ich könnte mir vorstellen, dass der nächste Patch sich verzögert, aber zu den free DLCs gibt es keinen festen Zeitraum. Irgendwann in den "kommenden Monaten", das kann alles sein. März, April, Juni. Die kostenlosen DLCs werden zum Großteil wahrscheinlich eh schon fertig sein.

    Wäre es dann nicht ein Anfang die User zu informieren, dass ihre Dinge (Account, Nutzerdaten) inkl. des letzten Hotfix nicht betroffen sind?

    Eigentlich tut mir CDP nicht leid. Meine Sympathie für sie hat eh seit Cyberpunk gelitten. :(

    Denn diese Attacke ist, und da könnte ich alles verwetten, ein Ergebnis der eignen Mitarbeiter.

    Irgend so ein Trottel hat eine diffuse Email-Nachricht geöffnet oder war auf einer speziellen Webseite. Nur so kann man diese Systeme infiltrieren.

    Denn wenn es angeblich so einfach ist, von außen auf all die Server zu zugreifen, dann wären schon längst alle Spieleentwickler-Fimen erpresst worden oder der Code geklaut. Es waren aber in der Vergangenheit extrem wenig Firmen, die da betroffen waren.

    Eben die, die solche trottligen Mitarbeiter haben.

    • Offizieller Beitrag
    Zitat von Triss

    Irgend so ein Trottel hat eine diffuse Email-Nachricht geöffnet oder war auf einer speziellen Webseite. Nur so kann man diese Systeme infiltrieren.

    Das ist schlichtweg Falsch. Es gibt dutzende Wege etwas zu "hacken", angefangen von Zero Day Exploits bis zu fehlenden Patches.


    Zitat von Triss

    Denn wenn es angeblich so einfach ist, von außen auf all die Server zu zugreifen, dann wären schon längst alle Spieleentwickler-Fimen erpresst worden oder der Code geklaut. Es waren aber in der Vergangenheit extrem wenig Firmen, die da betroffen waren.

    Das passiert in letzter Zeit wirklich relativ oft. Zuletzt bei Ubisoft. Wenn die Erpressung für den Erpresser erfolgreich ist, hört man danach auch logischerweise nichts. In beiden Fällen ist es im Interesse des Unternehmens das die Öffentlichkeit davon nichts mitbekommt.

    • Offizieller Beitrag

    Capcom wurde übrigens auch zuletzt (November 2020) gehackt, auch dort wurde versucht, das Unternehmen zu erpressen. Wie zitres schon sagt, das passiert in letzter Zeit häufig. Dahinter stecken organisierte, kriminelle Gruppierungen, die wissen ganz genau, wie sie sich Zugang verschaffen können.

    Aufgrund der grossen Anzahl Beiträge zum Thema, haben die in meinen Augen ein eigenes Thema verdient, ich habe das deshalb mal verschoben.


    Was ich mich frage: Da wurde der Sourcecode versteigert. Was hindert die Hacker daran, dies zu wiederholen und mehrfach zu verkaufen? Bzw. wer kauft sowas für viel Geld, wenn er dann doch kein exklusiv-recht dran hat?

    Zitat von Nastja

    Aufgrund der grossen Anzahl Beiträge zum Thema, haben die in meinen Augen ein eigenes Thema verdient, ich habe das deshalb mal verschoben.


    Was ich mich frage: Da wurde der Sourcecode versteigert. Was hindert die Hacker daran, dies zu wiederholen und mehrfach zu verkaufen? Bzw. wer kauft sowas für viel Geld, wenn er dann doch kein exklusiv-recht dran hat?

    Zuerst danke für das Aufräumen:)


    Das ist für mich eben das Problem. Es wird für mich komisch informiert. Auf den offiziellen Seiten steht unter Neuigkeiten nichts. Man hat 2 Tage gebraucht um es zu melden auch, um es zu erkennen? Auf Twitter bittet man ehemalige Kollegen wie sie reagieren sollen und dass wahrscheinlich ihre Daten nicht abgegriffen wurden. In den mir bekannten Fällen, wie das Amtsgericht Berlin oder die Stadtverwaltung Potsdam hat man Monate gebraucht, mit entsprechend geholten Firmen, bis man wieder eine Kommunikation über das Internet zugelassen hat. Behördenanträge sind eine wichtige Sache.


    Ich habe aufgehört zu Spielen, habe mein Passwort geändert, auch im verbundenen eMAIL-Account des von mir genutzten Webanbieters. Es ist eine merkwürdige Informationsweise. Denn wer sagt mir, dass bei einem Update drin steckt. Der Hotfix war vom 5.2. Also einen Tag vor dem Upload der Daten. Und war der Hotfix sauber? Würde am liebsten das Spiel von meiner Festplatte löschen.


    Das Argument mit dem Backup kennen ich. Aber bei den beiden Behörden wurde die Hardeware neu aufgebaut. Wo soll man das Backup hinspielen, wenn alle Server betroffen sind? Neue anmieten, wäre ne Option. Doch kennt man das Tor, durch das sie eingedrungen sind oder rätselt man noch? Auch hier kann man schreiben: In einem laufenden Verfahren macht man durch Informationen den "Gegner" nicht stark.


    Aber mir fehlt eine echte Versicherung auf der offiziellen Webseite und nicht irgendwo. Leider erfährt man in Foren oder auf Gamerwebseiten (Zeitschriften) mehr als beim Hersteller.

    Zitat von Nastja

    Aufgrund der grossen Anzahl Beiträge zum Thema, haben die in meinen Augen ein eigenes Thema verdient, ich habe das deshalb mal verschoben.


    Was ich mich frage: Da wurde der Sourcecode versteigert. Was hindert die Hacker daran, dies zu wiederholen und mehrfach zu verkaufen? Bzw. wer kauft sowas für viel Geld, wenn er dann doch kein exklusiv-recht dran hat?

    Inzwischen wurde der Source-Code andersweitig verkauft und die Auktion wurde abgebrochen. Zahlen um die 7-8 Millionen sind im Spiel.


    Zitat von GameStar News
    • Offizieller Beitrag
    Zitat von Nastja

    Was ich mich frage: Da wurde der Sourcecode versteigert. Was hindert die Hacker daran, dies zu wiederholen und mehrfach zu verkaufen? Bzw. wer kauft sowas für viel Geld, wenn er dann doch kein exklusiv-recht dran hat?

    Das hört sich vielleicht in dem Zusammenhang paradox an, aber: ihr Ruf.


    Die Hacker haben mit dem Käufer eine Vereinbarung getroffen, wenn sie sich nicht daran halten und den Code trotzdem weiter verbreitet, schadet das ihren zukünftigen Transaktionen. Denn die Gruppe wird wieder Daten stehlen, also werden sie auch diese wieder verkaufen wollen und wenn bekannt ist, dass sie sich nicht an Vereinbarungen halten, bleiben sie u.U. darauf sitzen. Und das wollen sie nicht, sie wollen ja Geld damit machen.

    Zitat von Similicious

    Das hört sich vielleicht in dem Zusammenhang paradox an, aber: ihr Ruf.


    Die Hacker haben mit dem Käufer eine Vereinbarung getroffen, wenn sie sich nicht daran halten und den Code trotzdem weiter verbreitet, schadet das ihren zukünftigen Transaktionen

    Ok, also sozusagen die "Street Credibility".

    Ich habe das letzte update nicht runtergeladen, aber mehr aus dem Grund, da ich kurz vor Ende stand, das Spiel nicht noch ein drittes mal spielen wollte und mir gedacht habe, das lohnt sich eh nicht mehr. Ich hatte auch Sorge, das meine Speicherstände nacher corrupted und nicht mehr zu laden sind.

    Noch mal alles von vorne hätten wir nicht ertragen. Und es einmal als Corpo durchspielen war Pflicht.

    I am putting myself to the fullest possible use, which is all I think that any conscious entity can ever hope to do.

    (HAL9000 :hal9000: )



    Everyone needs a bucket 🪣 <3

    • Offizieller Beitrag
    Zitat von VRanger

    Das ist für mich eben das Problem. Es wird für mich komisch informiert. Auf den offiziellen Seiten steht unter Neuigkeiten nichts. Man hat 2 Tage gebraucht um es zu melden auch, um es zu erkennen?

    Um noch einmal auf den Punk "Kommunikation" einzugehen: CDPR kommuniziert generell sehr wenig, seit dem Release von Cyberpunk sind sie regelrecht verstummt. Im Fall des Hacks kannst du davon ausgehen, dass sie nicht 2 Tage gebraucht haben, um das zu erkennen, aber rein aus taktischen Gründen und wahrscheinlich auch im Zuge der Ermittlung geschwiegen haben. Ich möchte nicht wissen, wie viele interne Daten täglich gestohlen werden, auch von großen Unternehmen. Wären Kundendaten betroffen gewesen, hätte CDPR sich sofort und auf allen Kanälen an die Öffentlichkeit werden müssen, das ist aber nicht der Fall. Der Schaden liegt bei ihnen: Es sind ihre Daten und die Daten ihrer Mitarbeiter.


    Der Hacker hatte ihnen eine 48-Stunden-Frist gesetzt. Ich hätte es wahrscheinlich auch erst einmal darauf ankommen lassen und geschaut, ob und wo ggf. schon vorher Daten auftauchen. So gern ich mir mehr Kommunikation von CDPR wünsche, sie sind nicht verpflichtet, alles Interne nach außen zu tragen. Das Studio versucht sich zu schützen, denn der Shitstorm war seit dem Release von Cyberpunk gewaltig. Ich denke, daher ist es nachzuvollziehen, dass man den Fall erst einmal intern und mit den entsprechenden Behörden behandelt hat, anstatt sofort die geballte Ladung Internet auf den Plan zu rufen.

    @Similicious, es ist eigentlich für den Hersteller des Games nicht wichtig, was du oder ich mir wünschen. Aber ich habe meine Konsequenzen gezogen. Das Spiel ist gelöscht, ebenso der Zugang zu GOG. Ich denke, dass es dazu gehört und fair wäre, wenn man die Nutzer, Käufer eines Produktes informiert, dass es eine Schwachstelle gibt oder man es nicht sagen kann, ob es die gibt. Das letztere wird meiner Meinung nach der Fall sein. Denn man war sich auch nicht zu schade mit nem Fake auf ner Messe anzutreten, um allen zu zeigen wie toll man war.


    Das hat mich an Rogue erinnert. Wenn man sie im Afterlife besucht und gut die Dialoge wählt, kann man sie fragen, ob sie einen Job hat. Sie antwortet sinngemäß: Du hattest einen Job, jetzt sind Dexter, T-Bug und Jackie tot. Du musst auf deinen Ruf schauen ...


    Der Hersteller hat im Goldstatus ein Game verschoben, etwas herausgebracht was für den PC, aber nicht für Konsolen war und mauert jetzt, in dem er nicht mal ehrlich auf seine Homepage schreiben kann: Wir wurden angegriffen.


    Meine Konsequenzen stehen oben. Es gibt Sachen, da kann man dann lesen was man will, aber ich muss für mich entscheiden, was das richtige ist. Und ich sage es auch offen.


    Grüße

    VRanger