Thought Leadership
Ein Hacker behauptet, Nvidias Cloud-Gaming-Dienst GeForce Now geknackt zu haben. Zum Verkauf stehen Millionen Datensätze. Nvidia prüft den Vorfall intern.
Auf dem kriminellen Marktplatz BreachForums wurde ein Datensatz zum Verkauf inseriert, der angeblich die vollständige Nutzerdatenbank von Nvidias Cloud-Gaming-Dienst GeForce Now umfasst. Das berichtete Cybernews. Ein Akteur, der unter dem Pseudonym „ShinyHunters“ auftritt, fordert für das Paket eine Summe von 100.000 US-Dollar, zahlbar in den Kryptowährungen Bitcoin oder Monero. Während Nvidia den Vorfall untersucht, warnen Sicherheitsforscher vor den weitreichenden Folgen für die betroffenen Nutzer, sollte sich der Datendiebstahl als authentisch erweisen.
Forderung von 100.000 Dollar für den kompletten Datenbankzugriff
Der Anbieter des Datensatzes behauptet, die Informationen direkt aus dem Backend des Nvidia-Dienstes extrahiert zu haben. Das Verkaufsargument im Darknet ist die Exklusivität: Der Käufer erhalte den Datensatz nach der Zahlung sofort und exklusiv. GeForce Now ermöglicht es Spielern, hardwareintensive Titel über das Internet zu streamen, wobei der Dienst oft mit persönlichen Konten bei Steam, Epic Games oder Ubisoft verknüpft ist.
Die geforderte Summe von 100.000 US-Dollar ist für einen Datensatz, der angeblich Millionen von Menschen betrifft, ein markttypischer Preis für unauthentifizierte Käufer. Es bleibt jedoch festzuhalten, dass bisher kein offizieller Beweis für die vollständige Extraktion vorliegt, außer den vom Angreifer bereitgestellten Stichproben.
Zweifel an der Identität des ShinyHunters-Pseudonyms
Sicherheitsanalysten von Cybernews und anderen Fachportalen weisen darauf hin, dass es sich bei dem Verkäufer vermutlich um einen Imitator handelt. Die ursprüngliche Hacker-Gruppe „ShinyHunters“ ist dafür bekannt, ihre Erpressungen über eigene Leak-Seiten zu koordinieren und nutzt laut eigenen Angaben keine öffentlichen Foren wie BreachForums mehr. Das für den Nvidia-Angriff genutzte Profil scheint ein Trittbrettfahrer zu sein, der den berüchtigten Namen nutzt, um die Glaubwürdigkeit des Angebots künstlich zu erhöhen.
Trotz der Zweifel an der Identität des Hackers wird die Bedrohung ernst genommen. Der Akteur gibt an, mit den Bedrohungsclustern UNC6040 und UNC6240 in Verbindung zu stehen. Diese Gruppen wurden von Google Threat Intelligence bereits im vergangenen Jahr für komplexe Angriffe auf Unternehmensinfrastrukturen verantwortlich gemacht. Dass diese Cluster in der Vergangenheit Daten an ShinyHunters geliefert haben, macht eine Verbindung zumindest technisch plausibel, auch wenn das Posting-Verhalten auf dem Forum untypisch bleibt.
Technische Analyse deutet auf Schwachstelle in Keycloak-Systemen hin
Um den potenziellen Käufern die Echtheit der Ware zu beweisen, veröffentlichte der Hacker fünf Datensätze als Probe. Die Struktur dieser Daten weist deutliche Merkmale der Identity-Management-Plattform Keycloak auf. Keycloak ist ein Open-Source-System für Authentifizierung und Autorisierung, das von vielen globalen IT-Dienstleistern zur Verwaltung von Nutzerprofilen eingesetzt wird.
Zu den angeblich exfiltrierten Datenfeldern gehören:
- Vollständige Namen der Nutzer
- Verifizierte E-Mail-Adressen
- Interne Plattform-Benutzernamen
- Geburtsdaten (soweit im Profil hinterlegt)
- Authentifizierungsstatus und interne Systemrollen
- Zeitstempel für die Kontoerstellung und letzte Zugriffe
Sollte das IAM-System (Identity and Access Management) von Nvidia tatsächlich kompromittiert worden sein, könnten Angreifer nicht nur personenbezogene Daten auslesen, sondern potenziell auch Berechtigungen innerhalb des Dienstes manipulieren.
Gefahren durch Phishing und Missbrauch von Steam-Konten
Die Sicherheitsforscherin Rasa Jurgutyte warnt davor, dass ein solcher Datensatz die perfekte Grundlage für sogenanntes Doxxing und gezielte Phishing-Angriffe bildet. Da GeForce Now-Nutzer ihre Accounts häufig mit der Spieleplattform Steam verknüpfen, könnten Hacker versuchen, über die geleakten E-Mail-Adressen und Benutzernamen Zugang zu den wertvollen Steam-Bibliotheken zu erlangen.
Ziel solcher Angriffe ist meist der Diebstahl von In-Game-Gegenständen, der Missbrauch von Steam-Guthaben oder die Übernahme kompletter Accounts für den Weiterverkauf. Da die E-Mail-Adressen laut dem Hacker als „verifiziert“ markiert sind, sparen sich Kriminelle den Aufwand, inaktive Konten auszusortieren, was die Effizienz ihrer Kampagnen steigert.
Instabilität krimineller Marktplätze erschwert die Verifizierung
Die Situation wird durch die allgemeine Instabilität in der Cybercrime-Szene verkompliziert. Das genutzte Portal BreachForums wurde in der Vergangenheit mehrfach durch Strafverfolgungsbehörden abgeschaltet oder durch interne Sicherheitslücken geschwächt. Erst kürzlich gelangte eine Datenbank mit den Daten von über 320.000 Nutzern des Forums selbst an die Öffentlichkeit.
In diesem unsicheren Umfeld versuchen oft weniger erfahrene Hacker, durch spektakuläre Ankündigungen Aufmerksamkeit zu erregen. Ein konkurrierendes Forum versucht derzeit, Nutzer für die VECT-Ransomware anzuwerben, wobei Forscher bereits nachweisen konnten, dass diese Malware technisch so fehlerhaft ist, dass sie verschlüsselte Daten gar nicht wiederherstellen kann. Dies unterstreicht, dass Behauptungen auf solchen Plattformen stets mit einer gewissen Skepsis betrachtet werden müssen.
Nvidia prüft Vorwürfe und rät zur Vorsorge
Nvidia hat bisher noch kein offizielles Statement zum Erfolg oder Misserfolg des Angriffs abgegeben. Das Unternehmen erklärte lediglich, dass man Berichte über mögliche Sicherheitsvorfälle stets untersuche. In der Zwischenzeit wird Nutzern von GeForce Now dringend empfohlen, präventive Maßnahmen zu ergreifen.
Dazu gehört das Ändern des Passworts und die Aktivierung der Zwei-Faktor-Authentifizierung (2FA), sofern dies noch nicht geschehen ist. Da Keycloak-basierte Systeme oft auch Token für die Anmeldung nutzen, sollten Nutzer zudem prüfen, ob sie in ihren Kontoeinstellungen aktive Sitzungen beenden können, die sie nicht selbst autorisiert haben.
