Manchmal helfen auch die ausgeklügeltsten Sicherheitssysteme nichts gegen einen Cyberangriff. Nämlich dann, wenn die eigentliche Schwachstelle gar nicht in der Infrastruktur, sondern dem PC sitzt.

So geschehen bei Roblox, einer Multiplayer-Plattform, die es Teilnehmern ermöglicht, relativ einfach eigene Spiele zu bauen. Dafür wird eine eigene Engine samt grafischen Bausteinen geliefert, die man mit der Skriptsprache Lua konfigurieren kann. Die eigenen Games kann man anderen Teilnehmern kostenlos zur Verfügung stellen oder gegen Mikrotransaktionen anbieten, an denen die Roblox-Entwickler mitverdienen. Populär ist Roblox allerdings vor allem bei Kindern. Laut offiziellen Angaben aus dem vergangenen August hat man über 100 Millionen aktive Nutzer pro Monat.

Zugang zu Kundensupport

Nun wurde bekannt, dass ein Hacker über längere Zeit vollen Zugang zu Nutzerinformationen hatte. So konnte er verschiedene Userdaten einsehen, Spieler rauswerfen und auch Sicherheitseinstellungen manipulieren – etwa durch das Ausschalten der Zwei-Faktor-Authentifizierung und Änderung des Passworts.

Grundlage dafür war allerdings kein unachtsamer Mitarbeiter, der etwa durch das Öffnen eines E-Mail-Anhangs oder Links zu einer verseuchten Website versehentlich die Tore für den Angriff geöffnet hat. Der Angreifer hat zu einem viel simpleren Mittel gegriffen und einen Roblox-Mitarbeiter bestochen, um auf den Administrationsbereichs des Kundensupports zugreifen zu können, berichtet er gegenüber Vice Motherboard.

Soll Bug Bounty-Betrug versucht haben

Ursprünglich hatte er laut eigenen Angaben einen "Insider" bezahlt, um einzelne Abfragen für ihn zu tätigen, ehe er erfolgreich direkt einem Mitarbeiter des Supports Geld geboten hatte. Zum Beleg lieferte er Screenshots der Kundensupport-Oberfläche sowie der Unterhaltungen mit dem Mitarbeiter und Datenauszüge.

In zwei Fällen hat der Angreifer die Passwörter von Kundenkonten geändert und ihre Ingame-Items verkauft. Den Angriff auf Roblox, so sagt er, solle nur die Bestechlichkeit beweisen. Dem entgegen steht allerdings eine Aussage des Roblox-Teams. Demnach versuchte der Hacker eine gar nicht existente Sicherheitslücke für das Bug Bounty-Programm der Plattform zu melden und mittels seines Zugriffs zu "beweisen". Im Rahmen eines Bug Bounty-Programms zahlen Unternehmen für die Meldung noch nicht entdeckter Fehler und Security-Lecks Geld aus.

Man habe die betroffenen Kunden umgehend informiert und den Zugang des Mitarbeiters gesperrt, heißt es Seitens Roblox. Den Angriff bezeichnete man nur vage als Fall von "Social Engineering". Die mutmaßlich bestochene Person ist am Businessnetzwerk Linkedin seit kurzem als ehemaliger Mitarbeiter gelistet. (red, 06.05.2020)