Erpressungsversuch gegen Frogster

Die Nutzerdatenbank des Berliner Anbieters Frogster, der unter anderem die Online-Spiele Bounty Bay, Runes of Magic, und Throne of Fire betreibt, wurde offenbar von einem Hacker angegriffen, der nun versucht, die Firma mit der Veröffentlichung der Datensätze unter Druck zu setzen.

Zweitausend Login-Datensätze – anscheinend aber veraltete – hat er veröffentlich, und behauptet darüber hinaus im Besitz von insgesamt 3.5 Millionen Datensätzen zu sein. Diese will er in zwei Wochen veröffentlichen, wenn Frogster nicht seiner Forderung nach „Respekt vor Bürgerrechten, Menschlichkeit und [einer] sozialen Einstellung“ sowie besserem Support für das Spiel nachkomme, wie er in einem YouTube-Video verlautbaren lässt.

Offentsichtlich geht es um das Löschen von Kommentaren im Frogster-eigenen Forum zu Runes of Magic, sowie vermeintliche Versuche von Frogster, andere Foren unter Druck zu setzen, wenn dort Kritik an Frogster geübt werde. Frogster reagierte mit einem Statement, in dem auf die transparenten Forenregeln verwiesen wird. Außerdem wird natürlich zum Ändern der Passworte – auch bei Drittanbietern, sofern gleiche Passwörter verwendet wurden, aufgerufen.

Ein Community-Manager stellt weiterhin fest:

Wir haben umgehend eine Task Force eingerichtet und arbeiten selbstverständlich mit Hochdruck an der Aufklärung der Ereignisse. […]

Der Vorfall ist für uns alle sehr bedauerlich. Er richtet sich nicht nur gegen Frogster als Unternehmen, sondern auch gegen Runes of Magic als lebendige Spielwelt und gegen euch als Spieler. Wir sind jederzeit für konstruktive Vorschläge offen. Seiner Meinung über illegale Methoden Nachdruck zu verschaffen, ist aber sicherlich nicht der richtige Weg.

(Hier noch ein Update zu diesem Statement von heute)

Wegen der Erpressungsversuche hat Frogster das Landeskriminalamt eingeschaltet und Anzeige erstattet. Hoffentlich weiß der ‚Hacker‘, dass Frogster durchaus gute Chancen hat, das auch zum Erfolg zu führen. Derart viele Daten zu veröffentlichen, wäre für das Unternehmen durchaus mit substanziellen finanziellen Verlusten wegen Ausfalls und mit enormem Imageschaden verbunden.

Ob dies eine angemessene Reaktion auf die Löschung von Kommentaren in einem Online-Rollenspiel-Forum ist, sei mal da hingestellt. Ich würde mich viel mehr fragen, wie nach besagten 2 Wochen geprüft werden bzw. nach welchen Maßstäben beurteilt werden soll, ob und wie Frogster der Forderung nach „Respekt vor Bürgerrechten, Menschlichkeit und [einer] sozialen Einstellung“ nachgekommen ist – und wie seine Mitspieler die Aktion unter diesen Gesichtspunkten bewerten.

Auf mich macht das alles einen sehr wirren Eindruck.

14 Ergänzungen

  1. Die Frage, die natürlich wieder keiner stellt ist, wie es denn überhaupt sein kein, dass man „mal so eben“ an 3.5 Mio. Kundendaten kommt?

  2. aus der wikipedia:
    „Am 28. Oktober hielt Gameforge 81,15% aller 2,9 Millionen Aktien und wurde damit zum Hauptaktionär“ (von Frogster)

  3. Hallo,

    „früher“ stünde da wenigstens noch die Forderung nach Weltfrieden in so einer Aussage.
    Alles bleibt anders, seufz. ;)

  4. Für mich macht das den Eindruck, das man daran sieht was für ein Suchtpotential ins solchen virtuellen Welten steckt und das die Virtuellewelt diesem Spieler wichtiger ist als die reale Welt.

  5. So geil auch: „We are legend“ :D

    Nicht mal richtig den Leitsatz des Vorbilds „Anonymous“ verstanden.

  6. Haha, auch geil: Im Forum gleich der erste Kommentar unter dem Frogster-Statement:

    „Ihr wisst, dass mit dem nicht zu spaßen ist? Er ist einer von Anonymus – er weiß was er macht. Und er weiß auch wie er sich schützen muss..“

    Ich schmeiß mich weg xD

    1. ich wüsste nicht was ein belangloses Computerspiel mit dem Plan und Anonymus zu tun haben sollte…..

      Komische Welt D:

  7. Leider schon lange keine Onlinespiel mehr erlebt, bei dem nach einem Update nicht lautstark über die ach so schlimmen Missstände lamentiert wird. Leider binden sich viele Spieler dermaßen stark an ein Spiel (wohlgemerkt: ein SPIEL!), dass sie tatsächlich glauben, sie hätten keine Alternative als zu bleiben (und zu zahlen) und entsprechend egal kann den Anbietern auch das Gejammere sein.

    Wenn man bei einem Dienstanbieter nicht zufrieden ist, stellt man für gewöhnlich sämtliche Zahlungen ein und geht. Entsprechend sehe ich diese wirre Hacking-Attacke auch eher als verzweifeltes Aufbäumen irgendeines Menschen, der auf Teufel-komm-raus nicht auf „sein“ Spiel (respektive „seine Freunde“) verzichten kann/will, wenngleich er auch mit etwas mehr technischem Know-How ausgestattet ist als der Rest solcher Leute.

    Mal so ganz nebenbei ist es aber auch ein enormes Armutszeugnis für Frogster, wie leicht man dort offenbar an die Kundendaten heran kommt.

  8. Wie assi Unbeteiligte zu bedrohen um jemand anderen zu erpressen.

    Wenn du nicht machst was ich will, veröffentliche ich die Daten deiner Kunden.

    Toller Robin Hood.

  9. Wollte nur anmerken das Frogster in der Pressemitteilung ausdrücklich bittet nicht das das Video zu verlinken. Du hast es dennoch getan.

    Die frage die ich mir selbst nicht beantworten konnte warum die diese Bitte überhaupt gestellt haben. Rechtlich sehe ich da keinen anspruch drauf

    mfg

  10. „Leider binden sich viele Spieler dermaßen stark an ein Spiel (wohlgemerkt: ein SPIEL!), dass sie tatsächlich glauben, sie hätten keine Alternative als zu bleiben (und zu zahlen) und entsprechend egal kann den Anbietern auch das Gejammere sein.“

    Sehr reif, einfach über die gestörten Kellerkinder abzulästern, die ja einfach gehen könnten.
    Dass MMO-Games auch die Funktion von sozialen Netzwerken erfüllen und Menschen sich dort Freunde und ein soziales Umfeld aufbauen und es eben nicht nur „ein SPIEL!“ ist, interessiert nicht. fyi: Das Internet ist mehr als „a bunch of tubes“.

    „Frogster [bittet] in der Pressemitteilung ausdrücklich nicht das Video zu verlinken.“
    Natürlich tut Frogster das. Aber wohl kaum aus Nächstenliebe. Die Spieler im unklaren darüber zu lassen was auf dem Spiel steht ist eher dem Bedürfnis geschuldet das eigene Image zu bewahren.

    1. 1. Ich spiele selbst Online-Spiele und das sogar schon relativ lange. Daher auch meine oben geschilderten Einblicke.

      2. Ich gehöre zu einer Berufsgruppe, die man gerne auch als „Kellerkinder“, „Nerds“, etc. bezeichnet. Ergo kenne ich mich mit der Technologie Internet durchaus aus und habe eigentlich keine Intention, über meinesgleichen zu „lästern“.

      3. Wenn das persönliche soziale Netzwerk (oder ein Teil davon) alternativlos auf ein einzelnes Spiel fußt, hat man nicht einmal im Ansatz erfasst, welche Möglichkeiten dieses Medium wirklich bietet. In Kontakt zu bleiben war nie so einfach wie heute. Dennoch glauben manche, ihre ganze Welt könne zusammen mit irgendeinem Server in fernen Landen zusammenbrechen.

      Technologie ist mein täglich Brot und auch eines meiner Hobbies, dennoch halte ich es für grundsätzlich falsch, wenn Menschen ihre komplette soziale Kompetenz ablegen, um sie der Geburtstagserinnerung von Community XYZ zu überlassen. Wenn man sich dabei dann auch noch so in eine Abhängigkeit manövriert, aus der man sich nicht einmal befreien kann/will, wenn die Zustände für einen ganz offensichtlich untragbar geworden sind, dann sollte sich eigentlich jeder normal denkende Mensch fragen, was genau er beim Netzwerken falsch gemacht hat, um in so eine Sackgasse zu geraten. Ob Spiel oder soziales Netzwerk, da muss ich Recht geben, spielt da keine Rolle. In der sozialen Mausefalle ist man dann sowieso gelandet.

      Soviel zu meiner Meinung über das „Bunch of Tubes“, oder besser gesagt einen Teil davon. In meinen Augen jedenfalls kein Grund, jemandem die Reife abzusprechen.

  11. Ich seh den Versuch Frogster nun damit zu erpressen auch als „wenig“ gelungen an.
    An seiner Stelle hätte ich die Daten komplett an verschiedene Stellen weitergeleitet auch mit dem Hinweis darauf, dass Frogster seit nun mehr als über einem Jahr von massiven Problemen bezüglich ihrer Sicherheit bescheid weiss.
    Es wurde von dort nur entweder billigend in Kauf genommen das z.B. Bankverbindungen mit Klarnamen, Geburtsdaten usw mit wenig Aufwand bezogen werden können oder aber dort sitzen die inkompetentesten Personen der Branche.
    Bis Ende November war es dort z.B. nicht möglich längere PWs auszuwählen, die „schwersten“ PWs die man sich dort zurecht basteln konnten hielten einem Bruteforce angriff im test keine 20 Minuten stand, noch einfach wars hingegen wenn man einfach das PW Reseten lies. Man erhielt daraufhin ein 6 Stelliges Buchstaben/Zahlen PW. Das war dann im allgemeinen nach 5 Minuten geknackt (gute Grakas ftw..).
    Aber wofür die mühe machen?
    Bis Ende November 2010 waren die Foren Logins gleichzeitig auch die Logindaten fürs Game und den Yusho Acc (in dem die Bankverbindungen usw ggfs liegen). Und auch dort kam es immer wieder zu „Sicherheitsproblemen“ z.B. durch lücken im Vbulletin usw.
    Hatte man von dort die Zugangsdaten der User (Forennick = Login für Yusho Acc, Game und Forum der gleiche – über die Benutzerliste des Forums hat man mit kleineren kniffen alle angemeldete User erfassen können) konnte man bis ende November direkt in allen bereichen Wildern, erst nach praktisch einem Jahr ununterbrochener Kritik (von der ein Großteil immer und immer wieder gelöscht wurde mit dem Hinweis alles ist sicher, gibt keine Probleme… über die Zeit hatte der Community Mensch schon den Spitznamen Bagdadfuchs erhalten, in Anlehnung an „Nein, die Amerikaner wurden zurückgeschlagen, keine Panzer bei uns“) wurde das System in dem Punkt ein wenig geändert.
    Nutzt nur wenig, irgendwann habens wohl einige leute geschafft zumindest Teile der DB des Forums zu ziehen (danach gabs dann auch die Umstellung der PWs im November ). Dort hatte man es auch wieder verpennt das die Vbulletin Version angreifbar war..

    Auch unterhaltsam war z.B: http://www.youtube.com/watch?v=QmMrTzInG6o diese Geschichte.
    Allerdings wurde es relativ stark im Deutschen Forum zensiert und keine Ahnung wieviele hunderte Posts gelöscht wurden die ein vernünftiges Statement verlangten warum Frogster auf der einen Seite immer wieder behauptet das auf ihrer Seite keine unverschlüsselten Daten verschickt werden und der Fehler IMMER beim User liegen würd.

    Das es dort nie wirklich so sicher sein konnte wie behauptet zeigt auch die Tatsache das es tagtäglich passierte das pro Server n halbes Dutzend guter Accounts gehackt wurden.
    Aber dies waren auch immer probleme der User, nie von Frogster.

    https://forum.runesofmagic.com/showthread.php?t=233500 <- auch schön zu sehen was für eine Anzahl an Usern sich alleine im Forum darüber auslässt, die Dunkelziffer dürfte deutlich höher liegen.

  12. Frogster hat mit ihren Zensurbestrebungen wohl mittlerweile auch mehrere Foren aufgefordert „unbeliebte“ Beiträge über den ganzen Vorfall zu beseitigen.
    Leider sind die entsprechenden Forenbeiträge (wen wunderts..) direkt verschwunden..
    Das Youtube Video haben sie ebenfalls erfolgreich entfernen lassen.

    Daher meine Frage: Kam hier auch schon sowas wie eine freundliche Bitte über das eigene Unvermögen nicht mehr zu berichten?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.