Der Spiele-Hersteller Ubisoft wurde Opfer eines Hacker-Angriffs – was jetzt eigentlich genau passiert ist, will man aber nicht sagen. Lediglich so viel: Das Uplay-Netzwerk, über das Ubisoft seine Spiele, Downloads und sein DRM (Digital Rights Management) laufen lässt, sei nicht betroffen. Fest steht ebenfalls: Jemand ist mit gestohlenen Anmeldedaten illegal in das Ubisoft-Netzwerk eingedrungen. Aus Sicherheitsgründen sagen die Franzosen nicht genauer, wie die Angreifer vorgegangen sind oder welche Seiten betroffen waren. In einem Blog-Posting will Ubisoft die Wogen glätten und die Nutzer beruhigen:
Wir haben herausgefunden, dass illegal auf unsere Buchhaltungsdatenbank zugegriffen wurde. Betroffen sind Namen, Mailadressen und verschlüsselte Passwörter. Wichtig ist, dass keine persönlichen Zahlungsinformationen bei Ubisoft liegen, glücklicherweise waren also alle Daten zu Kreditkarten sicher vor diesem Angriff.
Mehr als 16 Zeichen geht nicht
Alle Nutzer sollen jetzt bitte ihre Passwörter ändern – falls sie auf verschiedenen Seiten die gleichen benutzen, dann auch überall sonst. Mittlerweile habe man diesen Zugang geschlossen und die IT-Sicherheit arbeite daran, weitere Zugriffe zu verhindern.
Ubisoft hat die Betroffenen per Mail über das Datendiebstahl unterrichtet. Dafür gibt es zwar Lob der Nutzer, aber der hält nicht lange vor. Denn das System von Ubisoft lässt eine maximale Passwortlänge von 16 Zeichen zu. Und damit ist der Respekt der Gamer schon wieder weg:
Sie kapieren es einfach nicht. Sie hatten einen Einbruch, verschlüsselte Passwörter wurden gestohlen, aber wenn du dein Passwort ändern willst stellst du fest: Die Passwortlänge ist auf maximal 16 Zeichen begrenzt. Ich verstehe nicht, wieso Unternehmen auf eine Maximallänge bestehen.
Ubisoft teilte bisher nicht mit, wie und mit welcher Methode die gestohlenen Passwörter verschlüsselt wurden. Dekodieren kann man die Passwörter wohl nicht, aber knacken natürlich sehr wohl. Schweigen ist da kein guter Schritt – wenn Daten schon gestohlen wurden, möchte man doch zumindest nachträglich wissen, wie gesichert denn nun die Daten waren. Ubisoft zieht es zum Ärger vieler Nutzer jedoch offenbar vor, weiterhin zu mauern und reagiert auch auf direkte Nachfragen nur mit der ursprünglichen Pressemitteilung:
Massives DRM und zweifelhafte Sicherheit
Dabei ist es längst nicht das erste Mal, dass Ubisoft in Sachen Sicherheit und Datenschutz negativ auffällt. Als rigider Verfechter von DRM scheut sich die Spieleschmiede beispielsweise nicht, ihre Nutzer an die extrem kurze Leine zu legen – schließlich geht das Unternehmen davon aus, dass 90 Prozent aller Spieler Raubkopien benutzen. Im Ergebnis war 2008 etwa die PC-Portierung von Assassin’s Creed nahezu unspielbar, weil bei bestehender Internetverbindung konstant die Ubisoft-Server angefragt wurden.
Zwei Jahre später wurde die Online-Verbindung dann zur Grundvoraussetzung – brach diese ab, war auch das Spiel zuende. Ein weiteres Jahr später zog Ubisoft, den Online-Zwang erst zurück, führte ihn dann aber doch wieder ein. Später machten dann zur Abwechslung wieder eklatante Sicherheitsprobleme Schlagzeilen: 2012 ermöglichte eine Lücke in der Uplay-Software Zugriff auf den Browser und unter Umständen auch auf das System. Und erst im April kursierte in russischen Foren ein Exploit, der über Uplay sogar den Zugriff auf noch nicht veröffentlichte Spiele zuließ.
So bitter es klingt: Die aktuellen Probleme sind damit nur weiterer Fall in einer langen Reihe von Sicherheitslücken und nutzerfeindlicher Firmenpolitik – und werfen damit unweigerlich die Frage auf, ob es nicht besser wäre, seine Spielevorlieben zu überdenken.
Logo: Ubisoft
