Die Computerspielefirma Activision Blizzard ist offenbar Opfer eines erfolgreichen Angriffs. Am 4. Dezember 2022 soll ein Angreifer eine Person aus der Personalabteilung dazu verleitet haben, den Zwei-Faktor-Authentifzierungscode (2FA) für ihr Konto zu verraten. Der Täter soll dann Daten über alle Activision-Blizzard-Mitarbeiter kopiert haben, darunter die vollen Namen, Telefonnummer, E-Mail-Adressen, Gehälter und Bürostandorte. Was überrascht, ist die Einschätzung des Unternehmens, was sensible Mitarbeiterdaten (nicht) sind: „The security of our data is paramount, and we have comprehensive information security protocols in place to ensure its confidentiality. On December 4, 2022, our information security team swiftly addressed an SMS phishing attempt and quickly resolved it. Following a thorough investigation, we determined that no sensitive employee data, game code, or player data was accessed.“ Das hat Activision Blizzard an Techcrunch übermittelt. Zu Deutsch: Sicherheit ist wichtig und wir haben sogar Vorschriften dazu. Am 4. Dezember haben wir einen SMS-Phishing-Versuch schnell gelöst. Wir haben ganz genau hingeschaut und herausgefunden, dass nicht auf sensible Mitarbeiterdaten, Sourcecode unserer Computerspiele oder Spielerdaten zugegriffen wurde. Ebenfalls offengelegt wurde bei dem Einbruch der Fahrplan für die Veröffentlichung zukünftiger Computerspiele. Ob das auch nicht sensibel ist, geht aus der Stellungnahme des Unternehmens nicht hervor. Ebensowenig bekannt ist, ob es die betroffenen Mitarbeiter zeitnah über den Vorfall informiert hat. Eine Mitteilung an die Kapitalmarktbehörde SEC hat Activision Blizzard nicht erstattet, soweit aus der öffentlichen Datenbank ersichtlich ist. Nach derzeit geltenden SEC-Vorgaben aus dem Jahr 2018 ist so eine Mitteilung nur dann verpflichtend, wenn die Kenntnis für Investoren wichtig ist. Die SEC (Securities Exchange Commission) arbeitet an einer Verschärfung der Offenlegungspflicht. Offenbart hat den Hack ein Sicherheitsforscher von vx-underground auf Twitter, wo er auch Screenshots gepostet hat, aber betont, nicht am Hack beteiligt gewesen zu sein. Laut dem Spieleblog Insider Gaming hat vx-underground angegeben, dass der Täter vergeblich versucht hat, die bei Activision Blizzard kopierten Daten zu verkaufen. Weil das nicht gelungen sei, habe er die Daten an vx-underground weitergereicht. Insider Gaming führt weiter aus, dass es inzwischen selbst eine Kopie der Daten erlangt habe, und so den Hack bestätigen könne. heise online kennt diese Daten nicht und kann ihre Echtheit daher nicht einschätzen. Laut einem veröffentlichten Screenshot war es dem Angreifer ein Einfaches, den 2FA-Code zu erhalten: Er hat danach gefragt. Der Screenshot zeigt, dass der Angreifer am Abend des 4. Dezember, einem Adventsonntag, eine SMS-Nachricht schickte, die den Anschein erweckte, der Arbeitsplatz der Empfängerin sei in Gefahr. Darin enthalten war ein Link. Ein paar Minuten später folgte die Bitte um den über die verlinkte Webseite ausgelösten 2FA-Code, und das Opfer übermittelte brav die sechsstellige Zahl. „Angelegenheit erledigt“, antwortete der Angreifer umgehend. In der Folge soll der Täter nicht nur interne Daten abkopiert, sondern seinen Charakter noch auf andere Weise entlarvt haben: Im firmeninternen Chat wurde offenbar mit dem Konto des Opfers eine unanständige Nachricht gepostet.