Nintendo-Datenleck: Angriff auf Drittanbieter bestätigt – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

Nintendos Daten durch Cyberangriff auf Drittanbieter gestohlen

Nintendo of America bestätigte gegenüber BleepingComputer, dass Daten vom Drittanbieterdienst TinyPulse gestohlen wurden, der für interne Umfragen genutzt wurde. Das Unternehmen betonte, dass seine eigenen Systeme nicht von dem Angriff betroffen seien.

Ein Nintendo-Logo mit einem digitalen Schloss und Datenstrom-Grafiken im Hintergrund, die Cybersicherheit repräsentieren.

Was ist passiert

Der Videospielriese Nintendo ist wegen eines Cybersicherheitsvorfalls in den Nachrichten. Dieser Vorfall ist jedoch nicht von der Art, die wir oft sehen. Nintendo of America gab eine spezielle Erklärung gegenüber der Technologie- und Cybersicherheits-Nachrichtenseite BleepingComputer ab und bestätigte, von einem Datenleck betroffen zu sein. Der Kern des Problems liegt nicht bei Nintendos eigenen Servern oder seiner Netzwerkinfrastruktur. Die Quelle des Problems ist ein Drittanbieterdienst, der in den internen Abläufen des Unternehmens verwendet wird: TinyPulse.

TinyPulse ist eine Umfrageplattform, die Unternehmen zur Messung der Mitarbeiterzufriedenheit und zum Sammeln von Feedback nutzen. Nintendo nutzte, wie viele andere moderne Unternehmen auch, einen solchen Dienst, um den Puls seiner Mitarbeiter zu fühlen und die Unternehmenskultur zu verbessern. Genau dieser Dienst wurde Opfer eines Cyberangriffs, und die Angreifer verschafften sich Zugang zu den auf der Plattform gespeicherten Daten. Laut Nintendos Erklärung enthielten diese Daten auch ihre eigenen Umfrageinformationen. Diese Situation verdeutlicht einmal mehr ein Risiko, das in der modernen Geschäftswelt immer wichtiger wird: das Risiko der Lieferkette oder von Drittanbietern. Egal wie robust die eigenen Firewalls eines Unternehmens sind, eine Schwachstelle bei einem anderen Unternehmen, mit dem es zusammenarbeitet oder von dem es Dienstleistungen bezieht, kann es indirekt beeinträchtigen. Der Fall Nintendo ist ein konkretes Beispiel dafür, wie das schwächste Glied in dieser Kette die gesamte Struktur gefährden kann.

Die erbeuteten Daten

Der kritischste Punkt des Lecks ist, welche Daten gestohlen wurden. Laut Nintendos Erklärung gegenüber BleepingComputer werden die von den Angreifern erbeuteten Daten als "Umfragedaten" beschrieben, die über die TinyPulse-Plattform gesammelt wurden. Dies ist eine recht weit gefasste Definition, aber ihr Inhalt lässt sich aus der Natur des Dienstes ableiten. Plattformen wie TinyPulse sammeln typischerweise die Gedanken der Mitarbeiter zu ihrem Arbeitsplatz, ihren Vorgesetzten, den Unternehmensrichtlinien und ihrer allgemeinen Zufriedenheit. Diese Umfragen werden oft anonym durchgeführt, damit sich die Mitarbeiter freier äußern können.

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →

Es gab keine klare Aussage darüber, ob sich die gestohlenen Daten auf bestimmte Umfragen beziehen oder ob sie personenbezogene Daten (PII - Personally Identifiable Information) enthalten. Solche Umfragedaten können jedoch, auch wenn sie auf den ersten Blick nicht so gefährlich wie Finanzdaten oder Kundeninformationen erscheinen, sehr sensibel sein. Informationen über die interne Dynamik des Unternehmens, die Mitarbeitermoral, potenzielle Managementprobleme und Hinweise auf strategische Pläne können aus diesen Daten extrahiert werden. Wenn die Daten nicht anonym sind oder Metadaten enthalten, die die Anonymität aufheben könnten, könnten auch die Meinungen bestimmter Mitarbeiter aufgedeckt werden. Dies könnte sowohl das interne Vertrauensklima schädigen als auch von konkurrierenden Firmen oder böswilligen Akteuren genutzt werden. Nintendo hat es vermieden, weitere Details über die Art der gestohlenen Daten preiszugeben, sodass Unsicherheit über die Anzahl der betroffenen Mitarbeiter oder die Größe des Datensatzes bestehen bleibt.

Wie der Angriff geschah

Kommen wir zum technischen Aspekt des Vorfalls. Der Angriff richtete sich nicht direkt gegen Nintendo. Das Ziel war das Unternehmen, das den TinyPulse-Dienst anbietet, eine Tochtergesellschaft von WebMD. Laut dem Bericht von BleepingComputer wurde der Angriff auf die Systeme von TinyPulse ausgeführt, und Nintendo war indirekt betroffen. Die technischen Details, wie genau der Angriff stattfand, welche Sicherheitslücke ausgenutzt wurde oder wie lange die Angreifer Zugang zum System hatten, wurden bisher nicht mit der Öffentlichkeit geteilt.

Typischerweise ereignen sich solche Angriffe auf Drittanbieter durch Methoden wie falsch konfigurierte Cloud-Server, Zero-Day-Schwachstellen in der Software, schwache Authentifizierungsmechanismen oder die Kompromittierung der Anmeldeinformationen eines autorisierten Mitarbeiters durch Phishing-Angriffe. Da jedoch weder von Nintendo noch von dem Unternehmen, das TinyPulse betreibt, eine spezifische Erklärung abgegeben wurde, wäre eine Kommentierung des Vektors des aktuellen Angriffs reine Spekulation. Die einzige bekannte Tatsache ist, dass es den Angreifern gelungen ist, die Verteidigungsanlagen von TinyPulse zu umgehen und auf Kundendaten, einschließlich Nintendos Umfragedaten, zuzugreifen. Dieser Vorfall ist eine deutliche Mahnung, dass die Sicherheit eines Dienstleisters gleichbedeutend mit der Sicherheit all seiner Kunden ist.

Wer ist betroffen

Direkt von diesem Leck betroffen sind die Mitarbeiter von Nintendo of America. Die von den Mitarbeitern, die an internen Zufriedenheits- und Feedback-Umfragen teilgenommen haben, bereitgestellten Daten sind nun in den Händen Dritter. Ob die Daten anonym sind oder nicht, wird der entscheidendste Faktor sein, um das Ausmaß der Auswirkungen zu bestimmen. Wenn die Daten mit persönlichen Informationen verknüpft werden können, könnten die an diesen Umfragen teilnehmenden Mitarbeiter potenziell gefährdet sein.

Indirekt betroffen ist Nintendo selbst. Obwohl das Unternehmen betont, dass seine eigenen Systeme sicher sind und seine Hauptgeschäftstätigkeit nicht beeinträchtigt ist, schadet die Nennung seines Namens in einem Datenleck seinem Markenruf. Die Zuverlässigkeit könnte von Kunden und Geschäftspartnern in Frage gestellt werden. Spieler oder Besitzer von Nintendo-Konsolen sind von diesem Vorfall nicht direkt betroffen. Die gestohlenen Daten enthalten keine Kundendaten wie Spielerkonten, Kreditkarteninformationen oder Spielstände. Das Leck bezieht sich ausschließlich auf die internen Abläufe des Unternehmens. Wenn Sie also ein Switch-Benutzer sind, gibt es derzeit keinen Grund zur Sorge.

Was Sie tun können

Die Maßnahmen, die Sie in einer solchen Situation ergreifen können, hängen davon ab, wer Sie sind. Aufgrund der Art des Vorfalls – nämlich, dass es sich bei den gestohlenen Daten um Mitarbeiterumfragen handelt – sind für die allgemeine Nintendo-Kundschaft keine sofortigen Maßnahmen erforderlich.

  • Für Nintendo-Spieler: Dieses Leck betrifft nicht Ihre Spielerkonten oder persönlichen Daten. Dennoch ist es als gute zivile Cybersicherheitspraxis immer eine gute Idee, die Zwei-Faktor-Authentifizierung (2FA) für Ihr Nintendo-Konto zu aktivieren. Dies hält Ihr Konto sicherer gegen zukünftige und unabhängige Angriffe.
  • Für Nintendo-Mitarbeiter: Wenn Sie ein Nintendo-Mitarbeiter sind und an diesen Umfragen teilgenommen haben, ist es ratsam, vorsichtig zu sein. Befolgen Sie die offiziellen Ankündigungen Ihrer Personal- oder Sicherheitsabteilung. Obwohl unklar ist, ob die Daten persönliche Informationen enthalten, seien Sie wachsam gegenüber verdächtigen E-Mails oder Nachrichten. Angreifer könnten die erlangten internen Informationen nutzen, um überzeugendere Spear-Phishing-Angriffe zu starten.
  • Für andere Unternehmen: Dieser Vorfall ist eine wichtige Lektion für alle Unternehmen. Wenn Ihr Unternehmen Software oder Dienstleistungen von Drittanbietern nutzt, überprüfen Sie die Sicherheitsstandards dieser Partner. Stellen Sie sicher, dass Ihre Verträge mit ihnen die Datensicherheit und die Pflicht zur Benachrichtigung bei Datenlecks abdecken. Denken Sie daran, dass das schwächste Glied in Ihrer Lieferkette Ihre Sicherheit ist.

Was das Unternehmen sagt

Nach Bekanntwerden des Vorfalls ergriff Nintendo of America einen proaktiven Ansatz und gab eine Erklärung gegenüber BleepingComputer ab. Diese Erklärung war entscheidend, um die Situation zu klären und Bedenken zu zerstreuen. In der Erklärung des Unternehmenssprechers stachen zwei Kernpunkte hervor.

Erstens bestätigte Nintendo unmissverständlich, dass das Datenleck bei einem Drittanbieter, TinyPulse, aufgetreten ist und dass dabei eigene Umfragedaten gestohlen wurden. Dies ist ein positiver Schritt im Sinne der Transparenz. Anstatt das Problem zu leugnen oder zu verbergen, haben sie es anerkannt.

Der zweite und vielleicht wichtigste Punkt war Nintendos Betonung, dass seine eigenen Systeme von diesem Angriff nicht betroffen waren. In der Erklärung hieß es deutlich: "Nintendos Netzwerke oder Systeme waren von diesem Vorfall nicht betroffen." Dies sollte klarstellen, dass das Leck nicht auf eine Schwachstelle in Nintendos eigener Sicherheitsinfrastruktur zurückzuführen war, sondern ausschließlich auf ein Problem in den Systemen eines externen Partners. Damit will das Unternehmen seine Kunden und Investoren beruhigen und die Botschaft vermitteln, dass der Vorfall keine Bedrohung für sein Kerngeschäft darstellt. Bisher gab es keine öffentliche Erklärung von TinyPulse oder seiner Muttergesellschaft WebMD zu diesem Thema.

Quelle

https://www.bleepingcomputer.com/news/security/nintendo-confirms-data-stolen-in-webmd-subsidiary-cyberattack/

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag HCRG meldet Ransomware-Angriff nach einem Jahr

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.