Razer onderzoekt mogelijke cyberaanval op Razer Gold

Razer onderzoekt een mogelijk datalek als gevolg van een cyberaanval op het digitale valutaplatform Razer Gold. Een hacker biedt op een forum naar eigen zeggen 'broncode, encryptiesleutels, databases en backend inloggegevens' van Razer Gold aan voor 100.000 dollar.

Het bedrijf zegt in een statement tegenover Polygon: "We werden op 9 juli ingelicht over een potentiële hack gericht op Razer Gold. Hierna hebben we direct een grondig onderzoek gestart naar Razers website. Razer is nog steeds bezig met dat onderzoek. (...) Wanneer ons onderzoek volbracht is, verwachten we dat we de resultaten zullen melden aan de relevante autoriteiten."

Vooralsnog is dus niet duidelijk of de vermeende cybercrimineel inderdaad toegang heeft gekregen tot Razer Gold-gegevens en eventueel gebruikersgegevens. Het feit dat Razer zegt te verwachten dat er informatie aan relevante autoriteiten wordt overgedragen, suggereert wel dat er inderdaad een cyberaanval heeft plaatsgevonden.

Razer Gold is een digitaal valuta- en walletsysteem waarmee gebruikers games en in-game content kunnen aanschaffen. Er zijn ruim tweehonderd individuele games en platformen bij het initiatief van Razer aangesloten.

In 2020 kwam Razer voor het laatst in het nieuws vanwege een groot datalek waarbij bepaalde gegevens van 100.000 klanten toegankelijk waren. Het datalek zou de schuld zijn van een extern IT-bedrijf. Op basis van een rechtszaak behandeld in Singapore lijkt Razer daar inderdaad niet voor verantwoordelijk te zijn geweest, al ging het IT-bedrijf deze week in beroep tegen die zaak, aldus ChannelNewsAsia.

We have been made aware of a potential breach and are currently investigating.
— R Λ Z Ξ R (@Razer) 10 juli 2023

Reacties (16)

DragonForge_pc 11 juli 2023 12:50

ik vraag me af hoe dit dan niet eerder is opgemerkt door razer en door iemand anders wordt ingelicht

Hatsjoe @DragonForge_pc • 11 juli 2023 13:24

Dat is vrij simpel: zaakjes niet in orde. Bij een data exfiltratie van deze grootte hadden er wel ergens alarmbellen mogen afgaan of in ieder geval verder onderzoek plaats mogen vinden.

Het feit dat dit niet gebeurt is betekent dus dat Razer niet in controle is van deze cruciale systemen en geen goede inzichten heeft wat er allemaal gebeurt. Erg amateuristisch.

Zer0 @Hatsjoe • 11 juli 2023 13:41

Bij een data exfiltratie van deze grootte

Waar haal je vandaan dat het een grote exfiltratie was? Afhankelijk van welke broncode en databases hoeft het absoluut niet over een grote hoeveelheid data te gaan.

Hatsjoe @Zer0 • 11 juli 2023 13:47

Grootte slaat niet altijd op gigabytes, maar ook op hoeveel verschillende databronnen aangesproken worden. Het feit dat de hackers zeggen dat ze de broncode, encryptiesleutels, databases en inloggegevens hebben buitgemaakt betekent dat ze in ten minste 4 systemen zijn geweest. Dat is in een normale omgeving absoluut geen normaal gedrag dat verwacht mag worden. Dat had dus zeker wat alarmbellen moeten laten afgaan. Het kan natuurlijk ook dat deze 4 databronnen op 1 server stonden, maar dat zou nog erger en slechter zijn dan het simpelweg niet detecteren.

Hoe dan ook, dit is geen goed gezicht voor Razer.

Zer0 @Hatsjoe • 11 juli 2023 14:06

Of de hacker heeft één werkstation van een ontwikkelaar onder controle gekregen, en is "vermomd" als die ontwikkelaar in de systemen gekomen.

Dat is in een normale omgeving absoluut geen normaal gedrag dat verwacht mag worden.

Zoals ik hierboven al noem, voor een ontwikkelaar kan dit heel normaal gedrag zijn.

En om nu het benaderen van 4 databronnen in de orde "groot" te scharen... imo is dat peanuts, ik benader er dagelijks veel meer.
Het is weer makkelijk roepen vanaf de zijlijn....

Hatsjoe @Zer0 • 11 juli 2023 14:14

Of de hacker heeft één werkstation van een ontwikkelaar onder controle gekregen, en is "vermomd" als die ontwikkelaar in de systemen gekomen.

In dat geval is er dus geen sprake van MFA, ook geen goed gezicht.

Zoals ik hierboven al noem, voor een ontwikkelaar kan dit heel normaal gedrag zijn.

Leesrechten op productiesystemen die dusdanig ruim zijn dat een enkele developer bij de databases, encryptiesleutels en inloggegevens kan komen? Broncode snap ik, maar een developer heeft niks te zoeken bij die data op productie. In ieder geval niet zonder gebruik te maken van een "break glass policy". Dat zijn basis principes binnen security, "least privilege", wat hier dus niet toegepast is.

En om nu het benaderen van 4 databronnen in de orde "groot" te scharen... imo is dat peanuts, ik benader er dagelijks veel meer.
Het is weer makkelijk roepen vanaf de zijlijn....

Ik hoop dat jij in ieder geval dan niet die databronnen op productiesystemen moet benaderen. Zo wel, uit oprechte nieuwsgierigheid, voor wat voor werkzaamheden heb je deze diepgaande toegang nodig (databases, encryptiesleutels en inloggegevens)?

En natuurlijk is het makkelijk roepen vanaf de zijlijn, maar ik maak te vaak mee dat of het bedrijf geen flikker geeft om security, of de developers er geen flikker om geven, of zelfs beide. Dat is onacceptabel en ik hoop hoe vaker we schande spreken van dit soort fouten en hacks, het toch blijft hangen in het onderbewuste van mensen en iets meer focus gaan leggen op security.

Zer0 @Hatsjoe • 11 juli 2023 14:26

Leesrechten op productiesystemen die dusdanig ruim zijn dat een enkele developer bij de databases, encryptiesleutels en inloggegevens kan komen?

Waar haal je vandaan dat het om gegevens van productiesystem gaat?

Zo wel, uit oprechte nieuwsgierigheid, voor wat voor werkzaamheden heb je deze diepgaande toegang nodig (databases, encryptiesleutels en inloggegevens)?

Ik heb geen toegang tot alle productiedatabases, maar wel tot de inlog en encryptie-sleutels (en dus als ik wil wel toegang tot de productiedatabases).... iemand moet die toch beheren

maar ik maak te vaak mee dat of het bedrijf geen flikker geeft om security, of de developers er geen flikker om geven

Dus neem je maar aan dat dat hier ook het geval is. Daar berust je hele oordeel op, aannames, geen enkele kennis van de daadwerkelijke feiten. (Die kennis heb ik ook niet, maar ik vel ook geen oordeel)

[Reactie gewijzigd door Zer0 op 25 juli 2024 13:52]

Hatsjoe @Zer0 • 11 juli 2023 14:31

Waar haal je vandaan dat het om gegevens van productiesystem gaat?

Waarom zouden hackers acceptatie/test databases, encryptiesleutels en inloggegevens verkopen die nutteloos zijn omdat ze of geanonimiseerd zijn of nep zijn? Daaruit maak ik de aanname dat het wel om productiegegevens gaat. Anders zou je enkel de broncode te koop zien staan en niet wat data dat voor testen gebruikt wordt.

Ik heb geen toegang tot alle productiedatabases, maar wel tot de inlog en encryptie-sleutels (en dus als ik wil wel toegang tot de productiedatabases).... iemand moet die toch beheren

Maar zit deze toegang dan niet achter een "break glass procedure" of in ieder geval zo ingericht dat wanneer jij gebruik maakt van deze toegang, er direct een melding uit gaat naar de CISO? Verregaande toegang als beheerder is natuurlijk niet te voorkomen, maar je kan wel redelijk eenvoudig het proces zo inrichten dat ongeautoriseerde toegang direct gezien wordt. Dan hoef je niet te wachten tot je data eens een keer op het dark web verkocht wordt voordat je weet dat je gehackt bent.

Zer0 @Hatsjoe • 11 juli 2023 14:35

Daaruit maak ik de aanname dat het wel om productiegegevens gaat.

Ik niet, gezien het relatief lage bedrag dat gevraagd wordt.

Hatsjoe @Zer0 • 11 juli 2023 14:46

$100K vind ik niet echt een klein bedrag. Als je kijkt wat data op het dark web kost, zowel voor losse en kleinere datasets, als voor datasets van lekken zoals dit, dan ligt dat toch vaak onder de $100K. Zo was de LinkedIn hack waarbij 500 miljoen gebruikersgegevens zijn buitgemaakt te koop voor minder dan $100K, en ik denk dat die data toch wat meer waard is dan Razer Gold en waar het voor gebruikt wordt.

Viper_Core @Hatsjoe • 11 juli 2023 23:46

Kamp Hatsjoe in deze discussie.

Annihlator @DragonForge_pc • 11 juli 2023 13:26

Waar ga jij vanuit hoe dit is verkregen?
Het kan momenteel net-zogoed via bijv een derde partij of verloren apparaat ontstaan zijn; het bericht geeft daar niets over aan.
Misschien weet Razer dat wel al (of heeft miss vooral een vermoeden), maar ik snap dat ze daar niet te veel over willen zeggen voordat ze meer weten.

Hatsjoe @Annihlator • 11 juli 2023 13:49

Als een derde partij de broncode, encryptiesleutels, databases en inloggegevens in bezit heeft, of deze gegevens op een extern apparaat zouden staan (zonder encryptie), dan is dat een nog grotere blunder dan een hack. Hoop dus niet dat dat het geval zou zijn.

Polderviking

@Hatsjoe • 11 juli 2023 14:32

Je roept als cloud consultant dat het een blunder is dat je je data bij een derde partij stalt?

Hatsjoe @Polderviking • 11 juli 2023 14:38

Al die extreem gevoelige data bij een derde partij, waarbij die derde partij ook nog eens plain text toegang heeft tot deze data, en jij als "eigenaar" van die data niet hele strenge eisen stelt aan die derde partij, dat noem ik een blunder ja. Uitgaande dat deze data bij een derde partij vandaan komt.

Ik, als cloud consultant, zorg er voor dat wanneer wij data stallen bij een derde partij (AWS in dit geval) dat alle data classificaties kloppen en de juiste voorzorgsmaatregelen genomen zijn om ongeautoriseerde toegang te voorkomen. AWS medewerkers kunnen niet bij mijn extreem gevoelige data in plain text. Dat is allemaal "encrypted in transit" en "encrypted at rest".

Diezelfde eisen kan (en hoor je te stellen) aan alle andere leveranciers in de keten die iets met die data doen.

ilaurensnl 11 juli 2023 13:39

"Het feit dat Razer zegt te verwachten dat er informatie aan relevante autoriteiten wordt overgedragen, suggereert wel dat er inderdaad een cyberaanval heeft plaatsgevonden."

Is dat inderdaad dat het suggereert naar een cyberaanval? want ik kan me voorstellen zelfs al is er geen cyberaanval gevonden, en degene heeft geen source code dat hij wel vervolgd dient te worden.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (16)

Sorteer op:

Weergave: