News Sicherheitslücke bei Nintendo: 160.000 Benutzerkonten kompromittiert

SV3N

Redakteur
Teammitglied
Dabei seit
Juni 2007
Beiträge
12.670
Wie Nintendo offiziell bestätigt hat, gab es seit Anfang April unautorisierte Zugriffe auf insgesamt 160.000 Nintendo-Accounts. Die Benutzernamen und Geburtsdaten konnten ebenso eingesehen werden wie die E-Mail-Adressen, das Geschlecht und Zahlungsinformationen. Auch die Angaben zu Land und Region standen den Angreifern offen.

Zur News: Sicherheitslücke bei Nintendo: 160.000 Benutzerkonten kompromittiert
 

mbyt3

Cadet 3rd Year
Dabei seit
Feb. 2016
Beiträge
61
Da hat sich Nintendo ja echt Zeit gelassen den Kunden zu sagen was Sache ist. Hatte ich besser erwartet. Zum Glück ist bei mir nichts auffällig gewesen.
 

Marcel55

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
12.366
Verknüpft habe ich Nintendo mit Paypal. Würde da irgendwas laufen, bekomme ich über die Paypal-App sofort ne Benachrichtigung. Alle schimpfen immer über Paypal, aber es hat durchaus seine Vorteile.

Ist aber zum Glück nichts. Mal gucken ob ich evtl. das Passwort ändern muss.
 

Sombatezib

Lieutenant
Dabei seit
Juli 2007
Beiträge
984
Passwort ändern allein bringt nichts, wie andere User berichten (siehe Kommentare zum Thema auf heise.de).

Zitat von p4ran0id :
Das ist genau das Problem. Das Ändern des Passworts des normalen Nintendo Accounts bringt definitiv nichts. User verzeichnen weiterhin Zugriffe. Wenn überhaupt bringt es nur etwas, das Passwort der alten Network-ID zu ändern und das kann man bisher ja nur auf der Wii U oder dem 3DS, solange das nicht von Nintendo programmiert wurde.
Ich befürchte allerdings, dass sobald sich jemand schon darüber den Zugriff verschafft hat, im Besitz eines Tokens bzw. einer ID ist, die ihm dauerhaften Zugriff erlaubt. Dadurch brint die PW-Änderung nichts. Das ist auch der Grund, warum Nintendo endlich mal die Login-Funktion über die NNID abgeschaltet hat, um weitere Fälle zu verhindern. Die Schnittstelle ist heillos veraltet, würde mich nicht mal wundern, wenn die die 2FA übergangen hat.
Und wie kommt der Zugriff auf die NNID? Man kann natürlich bisher nur spekulieren, aber vllt. wurden die Passwörter aus anderen Datenlecks ausprobiert, Passworttabellen benutzt, Passwörter von Kindern / Jugendlichen damals (zum Erstellungszeitpunkt vor vielen Jahren) wie heute sind nicht gerade die sichersten. Wer sich an das UI der Tastatur auf dem DS / 3DS erinnert, ahnt schon, warum die Passwörter meistens nicht sonderlich komplex waren.
Oder mit der Einführung von Pokemon Home und der Verbindung zur Pokemon Bank auf dem 3DS hat sich eine Lücke aufgetan, wer weiß das schon.
Edit: Eine Nintendo Network ID hatte ich nie (war nie online mit der WiiU), vielleicht bin ich deshalb nicht betroffen.
 
Zuletzt bearbeitet:

0xffffffff

Lt. Commander
Dabei seit
Dez. 2007
Beiträge
1.266
Passwort ändern allein bringt nichts, wie andere User berichten (siehe Kommentare zum Thema auf heise.de).
Was auch relativ einleuchtend ist, in Verbindung mit folgender Aussage:
[...] Nutzer die bereits zuvor das Sicherheitsfeature 2FA in ihrem Account aktiviert hatten, zählen demnach nicht zu den Betroffenen oder gar Geschädigten. [...]
Ich würde fast darauf wetten, dass die betroffenen Personen irgendeine ranzige Malware auf dem Rechner hatten und dass bei denen wo es wiederholt auftrat, die Malware noch immer da ist bzw. die E-Mailkonten ebenfalls kompromittiert sind. Passt wunderbar mit der Aussage zusammen, dass Nutzer mit 2FA nicht betroffen sind.

Bin kein Nintendo-Fanboy, aber aus der Ferne sehe ich ehrlichgesagt aktuell noch keinen Skandal und auch kein Problem bei Nintendo. Da hat irgendwer abgegriffene Zugangsdaten erstanden und geht nun shoppen.
 

P4P800

Lieutenant
Dabei seit
Okt. 2005
Beiträge
833
Wer tut Kindern so etwas an?
 

BorstiNumberOne

Lt. Commander
Dabei seit
Aug. 2007
Beiträge
1.859
Die gleichen, die Ingame Shop Items bei Spielen für Kinder ab sechs implementieren. Der Kaptialismus macht schon nicht vor kleinen Kindern halt, Betrüger dann erst recht nicht. Zudem weiß man ja nicht, ob da nicht selbst noch „Kinder“ dahinterstecken.
 

DaDare

Fleet Admiral
Dabei seit
März 2007
Beiträge
12.636
Die gleichen, die Ingame Shop Items bei Spielen für Kinder ab sechs implementieren. Der Kaptialismus macht schon nicht vor kleinen Kindern halt, Betrüger dann erst recht nicht.
Naja, überall wird optimiert . Nicht ohne Grund gibt es die "Quengelzone" im Super Markt...

Die Nintendo Network IDs stammten noch aus Zeiten der Wii U (Hands-On) und des Nintendo DS3 (Test) und werden nun von den Nintendo-Konten getrennt, wie Nintendo ausführte.
Wer kennt ihn nicht? Den Nintendo Dualshock 3. :-)
 

ChrFr

Lieutenant
Dabei seit
Mai 2009
Beiträge
576
Der Grund war (evtl.) Fortnite auf der Switch, laut anderen Quellen. Link
Es wird geschätzt, dass besonders Leute betroffen sind, die ihren Nintendo-Account mit Fortnite verknüpft haben. Dadurch soll angeblich eine Hintertür genutzt worden sein, um an die Account-Daten zu gelangen, offizielle Informationen hierzu gibt es keine.
Sicher ist es zwar nicht, aber die Vermutungen gehen in die Richtung.
Persönlich habe ich sowohl das Passwort vom Nintendo Account als auch vom Nintendo Network geändert, nur zur Sicherheit. Bezahlen tue ich aber eh nur mit den Prepaid Karten, daher dürfte ich relativ safe sein.
Geldgierige Mistkerle.😡

MfG
Christian
 
Zuletzt bearbeitet:

just_fre@kin

Commodore
Dabei seit
Jan. 2010
Beiträge
4.107
Nintendo empfiehlt Nutzern die Zwei-Faktoren-Authentifizierung zu aktivieren und unterschiedliche Passwörter für Nintendo Network ID und Nintendo-Konto zu nutzen.
Eigentlich sollte so etwas selbstverständlich sein - genauso, dass man seine Kreditkartenabrechnung jeden Monat genau unter die Lupe nimmt. Manche Menschen legen es förmlich darauf an. Entschuldigt aber natürlich nicht die Sicherheitslücke bei Nintendo.
 

Hylou

Commander
Dabei seit
Apr. 2016
Beiträge
2.947
Fortnite kann nicht der Auslöser sein.
Ich hatte einen login aus de USA, zum Glück war keine Zahlunhsart hinterlegt, hatte Fortnite aber noch nie installiert auf meiner switch.

Der 3DS ist seit Homebrew nicht online gewesen. Da muss was anderes passiert sein.
 

TechFA

Cadet 4th Year
Dabei seit
Okt. 2018
Beiträge
67
Ich würde fast darauf wetten, dass die betroffenen Personen irgendeine ranzige Malware auf dem Rechner hatten und dass bei denen wo es wiederholt auftrat, die Malware noch immer da ist bzw. die E-Mailkonten ebenfalls kompromittiert sind. Passt wunderbar mit der Aussage zusammen, dass Nutzer mit 2FA nicht betroffen sind.

Bin kein Nintendo-Fanboy, aber aus der Ferne sehe ich ehrlichgesagt aktuell noch keinen Skandal und auch kein Problem bei Nintendo. Da hat irgendwer abgegriffene Zugangsdaten erstanden und geht nun shoppen.
Es ist nicht immer der Nutzer Schuld, auch wenn dass die einfachste Erklärung ist.
temkin_switch.jpg

Eine pwned Nintendo Switch ...
Die Nintendo Switch hat einen gravierenden Hardware-Bug (Tegra), der unfixbar ist. Brought to you by nVidia!
Die Konsole ist so offen, wie sonst keine Andere und interessieren tut es Niemanden. Stattdessen werden munter hunderttausende Konsolen mit unfixbarem Serienfehler dem ahnungslosen Kunden untergejubelt.

Nintendo weiss das seit jetzt fast genau 2 Jahren (April 2018), nVidia ebenso. Der Tegra hat einen heftigen Bug und ist unpatchbar. Und das reihenweise Konten der Benutzer kompromittiert werden würden, haben die Leute schon damals gesagt.

Die Wahrscheinlichkeit, dass es an den Nutzern liegt, ist ausserordentlich gering, wenn man weiss, dass findige Leute die Verschlüsselungen zum Nintendo-Store aushebeln/umgehen können, weil sie Low-Level-Zugriff auf die Konsole haben …

Ars Technica: The “unpatchable” exploit that makes every current Nintendo Switch hackable
Techspot: Exploit found in Nintendo Switch is impossible to patch, turns it into a hackable platform
The Register: I got 99 secure devices but a Nintendo Switch ain't one: If you're using Nvidia's Tegra boot ROM I feel bad for you, son
arxiv.org: Wissenschaftliches Papier zum Proof of Concept (Methodically Defeating Nintendo Switch Security) als PDF

… weiß TechFA
 

ovanix

Lieutenant
Dabei seit
Juli 2009
Beiträge
703
Hmm ich habe mit meinen beiden Konten Glück gehabt, nun habe ich die zwei Wege Authentifizierung aktiviert.
Denn bei Epic und Origin wurde ich auch von heute auf Morgen gehackt obwohl ich sehr vorsichtig war und die Daten bei jedem Konto einmalig sind und nirgendwo verwendet werden. Trotzdem wurden diese durch irgendeine Sicherheitslücke bei EA und Epic entwendet.
 
Zuletzt bearbeitet:

DaDare

Fleet Admiral
Dabei seit
März 2007
Beiträge
12.636
@X_Clamp,
das ist die Firma, die die Konkurrenz in dem Thema digitaler Verkauf alt aussehen lässt...
Einen noch größeren Erfolg kann Nintendo aber mit Animal Crossing: New Horizons verbuchen. Über 5 Millionen Exemplare des Spiels wurden innerhalb eines Monats digital verkauft. Das ist mehr, als irgendein anderer Konsolen-Titel bisher in der gleichen Zeit verbuchen konnte.
https://www.computerbase.de/2020-04/videospiele-umsatz-maerz-2020/

@TechFA,
man muss die Konsole nach aktuellen Stand physisch im Besitz haben, um den Exploit ausnutzen zu können. Risiko geht hierbei gegen Null...
 

iSight2TheBlind

Admiral
Dabei seit
März 2014
Beiträge
7.222
Verknüpft habe ich Nintendo mit Paypal. Würde da irgendwas laufen, bekomme ich über die Paypal-App sofort ne Benachrichtigung. Alle schimpfen immer über Paypal, aber es hat durchaus seine Vorteile.
Jain!

Das Problem bei PayPal und dem Käuferschutz ist, dass der destruktiv arbeitet.

Wenn hier im diesem Fall etwas über deinem Nintendo-Account via PayPal gekauft wurde und du das via PayPal zurückholen lässt weil du den Kauf nicht selbst getätigt hast, dann zahlt PayPal das Geld nicht an den Verkäufer aus, der aber in dem Fall ja auch geschädigt wird.
Die Konsolenhersteller können das aber gar nicht leiden wenn man ihnen ihr Geld wegnimmt und sperren dann einfach deinen Nutzeraccount! Bis du - und das ist der Witz an der Sache - ihnen das Geld welches du dir gerade via PayPal zurückgeholt hast zurückgibst.
Ab dem Moment ist PayPal auch nicht mehr hilfreich, denn mit deinem Accountban haben sie nichts zu tun, werden Nintendo aber auch das Geld nicht zurückgeben.

D.h. wenn du die Sache nicht direkt mit Nintendo klärst - was wegen des größeren Umfangs der aktuellen Probleme wohl machbar sein sollte - kannst du mit PayPal zwar wieder an dein Geld kommen, verlierst aber deinen Nintendo-Account.

Ist bei 160.000 gehackten Konten wohl möglich, an anderen Tagen, an denen du nur ein Einzelschicksal bist, bist du aber vollkommen in der Hand von Nintendo.

@X_Clamp Die Nintendo Switch, die aktuell enorm erfolgreich ist und sich seit Release schneller verkauft als die Konkurrenz in ihren ersten Jahren.
 

Zock

Commodore
Dabei seit
Mai 2001
Beiträge
4.621
Bei mir wurde gestern aus Russland über einen Pc/Chrome auf mein Nintendo Account zugegriffen habe jetzt gleich alles geändert von Email über Passwort + 2 Stufen Authenticator hoffe jetzt es sicher.
 

leipziger1979

Commodore
Dabei seit
Dez. 2014
Beiträge
4.713
Sicherheitslücke?
Im ganzen Text wird keine erwähnt oder?

Und wenn hier, bei insgesamt 52 Millionen Konten, nur 160.000 betroffen waren, also 0,3%, wie hoch ist die Chance das das Password 12345 bzw. ein Passwort war was, vielleicht woanders abgegriffen wurde, aber doppelt verwendet wurde?
 

Silverangel

Erzengel
Teammitglied
Dabei seit
Sep. 2009
Beiträge
8.394
Ne Switch würde mich ja auch noch reizen. Aber die Preise (vor allem aktuell) sagen ganz klar, dass ich mein Geld lieber anderweitig ausgeben solle.
Das mit den Konten hier is natürlich nicht schön. Aber in der heutigen Zeit, gibts ja fast nix mehr ohne Lücken, gehackten Accounts und gestohlenen Daten. Leider.
 

TechFA

Cadet 4th Year
Dabei seit
Okt. 2018
Beiträge
67
@TechFA,
man muss die Konsole nach aktuellen Stand physisch im Besitz haben, um den Exploit ausnutzen zu können. Risiko geht hierbei gegen Null...
Und wie wahrscheinlich ist es, dass es Hackern gelungen ist, die Art und Weise von (eventuell vorhandenen) Hardware-Hashes für Passwörter zu reproduzieren, wenn sie denn schon seit geschlagenen 2 Jahren die Konsole vollends auseinander nehmen können oder Ähnliches? Dafür hatten die jetzt schon zwei Jahre Zeit.

Sei doch bitte nicht so naiv. Ist doch wie bei Apple; Sobald man drin ist, gehört das Gerät Dir und Du kannst damit anstellen was Du willst. Das damalige #Celebgate mit Nackphotos von Promis (aka #Fabbening) bei Apple's iCloud kam ja nicht davon, weil man Passwörter von halb Hollywood erraten hat, oder? Man hat sie umgangen, weil man wußte, wie die Kiste arbeitet, kommuniziert und so weiter. Eben weil man hinter die Kulissen gucken konnte, nachdem man per Jailbrake drin war.

Die Switch ist offen wie ein Scheunentor und die richtigen Leute werden auch die Nintendo-eigene Software auseinander genommen haben. Die Switch zu knacken, ist nicht mal ein grosser Umstand, das ist Volkssport im Vorbeigehen!

Auf Reddit gibts nicht Umsonst seit Ewigkeiten ganz offiziell Subreddits zum hacken der Switch, seit 2016.
Siehe /r/SwitchHacks/ oder /r/switchroot/, Subreddits mit zum Teil ~70K Mitgliedern (Zum Vergleich, Intel's Subreddit /r/Intel hat 74K Mitglieder ...). Selbst ArsTechnica hat einen Artikel darüber, wie man die Switch zum perfekten Android-Emulator für alte Arcade-Klassiker machen kann.
Ars Technica: Turning the Nintendo Switch into Android’s best gaming hardware

… weiß TechFA
 
Top