Eine massive Sicherheitslücke beim Spieleherstellergiganten EA hat die Daten von bis zu 700 Millionen Nutzern bedroht. Hacker hätten wohl ohne Probleme durch diese Schwachstelle Zugriff auf persönliche und sensible Informationen der Nutzer zugreifen können.

Electronic Arts (EA), einer der weltweit führenden Videospielhersteller, sah sich kürzlich offenbar mit einer gravierenden Sicherheitslücke konfrontiert, die potenziell den Zugriff auf bis zu 700 Millionen Benutzerkonten ermöglichte. Diese Schwachstelle wurde vom Sicherheitsforscher Sean Kahler entdeckt und öffentlich gemacht.

Schwachstelle erlaubte Zugriff auf 700 Millionen Accounts

Kahler stieß auf fest eingebaute Zugangsdaten in einer Datei eines EA-Spiels, die ihm den Zugriff auf eine interne Entwicklungsumgebung des Unternehmens erlaubte. So konnte er über eine ungeschützte Programmierschnittstelle (API) auf Millionen von Benutzerkonten zugreifen.

Besonders betroffen war offenbar das populäre Spiel „Battlefield 2042“. Die Schwachstelle ermöglichte es ihm, ohne Passwortabfrage oder zusätzliche Authentifizierung die Identität von Spielern zu übernehmen, Accounts zu sperren, Spielstatistiken zu manipulieren und Verbindungen zu anderen Spieleplattformen wie Steam oder Xbox herzustellen.

Rundum abgesichert mit den Datenschutzpaketen von WBS.LEGAL

Jetzt sichern: ✓ Rechtssicherheit ✓ Abmahnschutz ✓ Persönliche Betreuung im Ernstfall


Neu für Unternehmen 🔥

Rundum-Datenschutz im Abo

Vermeiden Sie hohe Datenschutz-Bußgelder & Abmahnungen.
Mit unseren Datenschutz-Paketen ab 711 € mtl.

✓ Rechtssicherheit
✓ Abmahnschutz
✓ Persönliche Betreuung im Ernstfall

Die Anforderungen an den Datenschutz wechseln ständig: Hochautomatisierte Abmahnkanzleien spüren bestehende Datenschutzlücken in Sekunden auf und strafen Sie mit saftigen Bußgeldern ab! Bleiben Sie mit dem wöchentlichen Datenschutz-Update unserer Datenschutzpakete immer einen Schritt voraus. Mit dem Abmahnkostenschutz bieten wir Ihnen nicht nur Sicherheit, sondern auch die Gewissheit, dass Sie im Falle einer Abmahnung nicht allein sind.

Pakete entdecken →

Electronic Arts reagierte „langsam“

Der Sicherheitsforscher meldete die Sicherheitslücke bereits am 16. Juni 2024 an EA. Die Reaktion des Unternehmens erfolgte jedoch erst nach mehreren Wochen. Im Falle eines Datenschutzverstoßes muss jedoch die zuständige Datenschutzbehörde unverzüglich und möglichst innerhalb von 72 Stunden informiert werden. Den betroffenen Personen muss der Vorfall grundsätzlich ebenfalls unverzüglich gemeldet werden, dass heißt ohne schuldhaftes Zögern. Insgesamt waren laut Berichten mindestens fünf Updates erforderlich, um das entdeckte Problem vollständig zu beheben.

Anders als unzählige andere Unternehmen verzichtet EA bislang auf sog. Bug-Bounty-Programme, also das Ausloben von Prämien für das Auffinden von Sicherheitslücken. Das fehlende Anreizsystems hält womöglich Sicherheitsforscher davon ab, Schwachstellen zu melden. Dieser Umstand kommt EA, wie man nun gesehen hat, zumindest nicht zu Gute.

Die Tatsache, dass 700 Millionen EA-Accounts durch eine einzige Schwachstelle gefährdet waren, verdeutlicht einen dringenden Handlungsbedarf. Der Vorfall zeigt deutlich, dass auch moderne Spieleplattformen gefährdet sind. Electronic Arts und andere Branchengrößen sollten ihre Sicherheitsstrategien dringend überdenken und gegebenenfalls modernisieren, um das Vertrauen der Nutzer zu erhalten und zukünftige Sicherheitsvorfälle zu vermeiden. Auch die Gaming-Community darf mit Recht einen verantwortungsvolleren Umgang mit ihren Daten erwarten. Ansonsten droht Unternehmen hier ein Fiasko.

Datenschutzvorfälle sollten Sie ernst nehmen und entsprechend unverzüglich handeln! Die DSGVO (Datenschutzgrundverordnung) sieht nämlich harte Sanktionen und hohe Ordnungsgelder für einen leichtfertigen Umgang mit Datenschutzvorfällen und personenbezogenen Daten vor. Wer nicht unverzüglich und angemessen reagiert, dem drohen zudem womöglich hohe Schadensersatz- und Schmerzensgeldforderungen!

Ist in Ihrem Unternehmen ein Datenleck, eine andere Datenpanne aufgetreten, oder sind sie unsicher, ob sie ausreichend geschützt sind?  Sind Kunden-, oder Mitarbeiter-Daten in die falschen Hände oder gar ungeschützt ins Internet gelangt? Wurden sie abgemahnt oder vom Landesdatenschutzbeauftragten zur Stellungnahme aufgefordert?

Wir von WBS.LEGAL sind jederzeit für Sie da. Kontaktieren Sie uns gerne unter 0221 / 951 563 0 (Beratung bundesweit).