Datenpanne bei Activision: Veröffentlichte Informationen über Mitarbeiter und Spiele

Datenpanne im Dezember 2022

Activision, einer der großen Spieleentwickler, erlitt Anfang Dezember 2022 eine Datenpanne. Die Hacker, die sich Zugang zu den internen Systemen des Unternehmens verschafften, indem sie einen Mitarbeiter über eine gefälschte SMS-Nachricht täuschten, waren in der Lage, sensible Dokumente von seinem Arbeitsplatz zu stehlen, darunter Mitarbeiterinformationen und Zeitpläne für die Veröffentlichung von Inhalten bis zum 17. November 2023.

Activision behauptet, dass keine sensiblen Mitarbeiterdaten, Spielcode oder Spielerdaten in die Hände des Angreifers gelangten und dass der Vorfall schnell behoben wurde. Die Sicherheitsforscher von vx-underground behaupten jedoch, dass sich die Hacker am 2. Dezember Zugriff auf das Slack-Konto eines Activision-Mitarbeiters verschafft und versucht haben, andere Mitarbeiter zum Anklicken von bösartigen Links zu bringen.

Hacker haben es in der Regel auf bestimmte Branchen und Fachleute in Bereichen wie Technologie und Cybersicherheit abgesehen. Die Mitarbeiter werden für die weiteren geplanten Social-Engineering-Angriffe und weiteren Infektionen benötigt. Um die Aufmerksamkeit der Mitarbeiter zu erregen, werden sogar Tools beworben, die in der entsprechenden Branche verwendet werden und begehrt sind. Es gilt also Vorsicht.

Persönliche Informationen von Angestellten angeblich durchgesickert

Obwohl Activision seine Mitarbeiter, deren Daten möglicherweise gestohlen wurden, noch nicht über die Datenpanne informiert hat, hat vx-underground die Legitimität der Datenpanne überprüft. Den Sicherheitsforschern zufolge wurden unter anderem Informationen wie den vollständigen Namen, die E-Mail-Adresse und Telefonnummern der Mitarbeiter, Gehaltshöhe des Stellenangebots und vorherige Arbeitgeber entwendet.

Es wird behauptet, dass der Hack auf den Computer dieses einen Mitarbeiters beschränkt war, aber angesichts der Verantwortlichkeiten, die einem Mitarbeiter der Personalabteilung übertragen werden, enthielt der Computer Mitarbeiterdaten aller Activision-Mitarbeiter. Activision behauptet jedoch, dass keine Spieler-/Benutzerdaten gefährdet wurden.

The security of our data is paramount, and we have comprehensive information security protocols in place to ensure its confidentiality. On December 4, 2022, our information security team swiftly addressed an SMS phishing attempt and quickly resolved it. Following a thorough investigation, we determined that no sensitive employee data, game code, or player data was accessed.

Die Sicherheitslücke hat auch Pläne für die kommenden DLCs für Modern Warfare II, Call of Duty 2023 (Codename Jupiter) und Call of Duty 2024 (Codename Cerberus), enthüllt. Die durchgesickerten Informationen basierten auf Marketingmaterialien, denn die Entwicklungsumgebung war von der Sicherheitslücke nicht betroffen. Auch wenn einige der von Activision erlangten Informationen inzwischen veraltet sein mögen, ist der Einbruch dennoch von Bedeutung, da Mitarbeiterdaten und Veröffentlichungszeitpläne offengelegt wurden.

Activision behauptet, dass keine sensiblen Informationen gestohlen wurden

Activision hat seinen Hauptsitz in Kalifornien, wo ein Gesetz zur Meldung von Datenschutzverletzungen Unternehmen dazu verpflichtet, die Opfer von Datenschutzverletzungen zu benachrichtigen, wenn 500 oder mehr Einwohner des Staates betroffen sind. Das Gesetz definiert „persönliche Informationen“ als Sozialversicherungsnummern, andere Formen von Ausweisen wie Führerscheinnummern, kalifornische Personalausweise, Steueridentifikationsnummern, Reisepassnummern, militärische Identifikationsnummern oder andere eindeutige Identifikationsnummern, die auf einem Regierungsdokument ausgestellt sind, das üblicherweise zur Überprüfung der Identität einer bestimmten Person dient, sowie medizinische und Krankenversicherungsdaten, Kreditkartennummern und biometrische und genetische Daten.

Der Sprecher von Activision hat erklärt, dass es für ein Unternehmen keine Meldepflicht gibt, wenn es keine Beweise für den Zugriff auf sensible Daten gibt. Da durch den Verstoß jedoch Mitarbeiterdaten, einschließlich vollständiger Namen und E-Mail-Adressen der Firma, offengelegt wurden, muss Activision möglicherweise seine Mitarbeiter und Aufsichtsbehörden über den Verstoß informieren. Das Unternehmen ist außerdem dabei, von Microsoft im Rahmen eines Deals im Wert von 68,7 Milliarden Dollar übernommen zu werden, was die Angelegenheit weiter verkomplizieren könnte.

Activision hat seine Mitarbeiter noch nicht über den Verstoß informiert, was problematisch sein könnte, wenn deren Daten gestohlen wurden. Möglicherweise muss das Unternehmen auch die Aufsichtsbehörden über den Verstoß informieren, da die Daten der Mitarbeiter offengelegt wurden. Dieser Verstoß erinnert daran, wie wichtig Cybersicherheitsmaßnahmen sind und dass Unternehmen Datenschutzverletzungen ernst nehmen müssen.