Leak enthüllt private Daten und Nachrichten von 1,5 Millionen Gamern
Tech

Leak enthüllt private Daten und Nachrichten von 1,5 Millionen Gamern

Weil die Gaming-Plattform ESEA nicht 100.000 Dollar Lösegeld an einen Hacker zahlt, sind jetzt zahlreiche persönliche Informationen im Netz gelandet. Für Counter-Strike-Spieler könnte der Leak gefährlich werden.
10.1.17

Bild: Screenshot 

Wer Cheater hasst, der spielt bei uns—das ist das Versprechen von ESEA, einer der größten internationalen eSports-Organisationen. Wer sich hier anmeldet, der kann in unterschiedlichen Ligen mitspielen, vom Amateur bis zum Messerskin-sammelnden-Profi. Um bei den Turnieren mitspielen zu dürfen, müssen Nutzer bei der Anmeldung viele Informationen preisgeben: Der Steam-Account muss verknüpft werden, E-Mail, Anschrift, Klarname, Telefonnummer.

Anzeige

Wie sich nun herausstellt, konnte die ESEA nicht für die Sicherheit der Daten sorgen—denn nach einem Hacker-Angriff wurden vor ein paar Tagen zahlreiche private Nutzerdaten im Netz auf der Plattform LeakedSource veröffentlicht. Insgesamt sind 1,5 Millionen Gamer betroffen—eine Zahl, die die ESEA auf Nachfrage von Motherboard ebenfalls bestätigt. Da die Spieler die Plattform auch zur Kommunikation untereinander nutzen, sind unter den nun geleakten Daten auch Privatnachrichten der User. Auch die von Usern genutzten Accounts bei Diensten wie PlayStation Network (PSN) oder Xbox Live sind unter den Daten, die im Leak auftauchten.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Begonnen hatte das Drama für die ESEA schon vor rund zwei Wochen: Am 27. Dezember wird die Gaming-Plattform von bisher unbekannten Hackern kontaktiert, die ihnen mitteilen, dass sie auf Nutzerdaten sowie Daten der internen Infrastruktur zugegriffen hätten. Die Hacker nutzen dabei—sehr gewissenhaft—ein Kontaktformular, das extra dafür eingerichtet wurde, Bugs und Sicherheitslücken zu melden. Nutzer, die das tun, werden von ESEA mit Geld oder InApp-Währung belohnt.

Doch der oder die Hacker wollen zu viel: 100.000 Dollar lautet die Forderung—wenn man das Geld nicht bekomme, würden die Nutzerdaten veröffentlicht werden. Auf unsere Anfrage, welche Beträge normalerweise im Zuge des hauseigenen Bounty-Hunting-Programms gezahlt werden, heißt es nur allgemein, die Höhe der Belohnung würde sich nach der Schwere der Sicherheitslücke richten.

Anzeige

Die vom Hacker geforderte Summe ist der ESEA in jedem Falle zu hoch. Sie versucht über die nächsten Tage stattdessen, die Sicherheitslücke zu stopfen. Laut ESEA ist am 30. Dezember das Problem behoben. Währenddessen „eskalieren die Hacker ihre Drohungen", so die ESEA. Sie kontaktieren das FBI. Am 8. Januar, nach einem weiteren Hack eines ESEA-Game-Servers, bei dem laut der eSports-Organisation keine Nutzerdaten gestohlen werden konnten werden—laden die Hacker die Daten auf der Leakplattform LeakedSource hoch.

Auch ein Problem für Counter Strike-Spieler: Wenn die Plattform zum Waffenmarkt wird

Wer will, kann jetzt überprüfen, ob der eigene ESEA-Account zu den Opfern gehört. Im Counter-Strike-Subreddit posten Forennutzer inzwischen Screenshots, die den Hack bestätigen und nichts Gutes verheißen. Der veröffentlichte Datensatz scheint umfangreich zu sein und viele persönliche Details der Nutzer preiszugeben.

In einer Pressemitteilungen schreibt die ESEA, die Daten der Nutzer wären nach dem Hack ihre oberste Priorität gewesen. Trotz alledem wurde die Summe nicht an die Erpresser bezahlt—wobei noch lange nicht klar ist, ob das Lösegeld den Leak überhaupt verhindert hätte. Kleiner Trost: Zumindest die erbeuteten Passwörter sind mit dem als solide geltenden bcrypt-Standard verschlüsselt worden und auch Kreditkartendaten und Zahlungsinformationen sollen sicher geblieben sein.

Der Ratschlag, den die ESEA jetzt ihren Nutzer erteilt, gehört inzwischen schon zum Standardprozedere nach Hacks solcher Größenordnung: Passwörter austauschen. Auf unsere Anfrage, welche Lücke der oder die Hacker nutzten, will uns ESEA keine Antwort geben. Sie beruft sich dabei auf laufende FBI-Ermittlungen.

Ins Netz gelangt sind die Daten trotzdem. Der Hack wirft kein gutes Licht auf die eSports-Liga, die schon öfter in der Kritik stand: 2013 wurde die ESEA-Software benutzt, um mit den Rechnern der eigenen Nutzer Bitcoins zu generieren; 2015 gab es dann massive Kritik an den Sicherheitspraktiken der Seite: Unter anderem würden Passwörter unverschlüsselt per Email verschickt, hieß es damals. Und auch an der Effizienz der Anti-Cheat-Maßnahmen der ESEA gibt es von Entwicklern in der Cheat-Szene massive Zweifel.