Dies ist das Transkript der siebte Folge des Podcasts „Darknet Diaries auf Deutsch“. Im Englischen Original von Jack Rhysider trägt diese Episode den Namen „Manfred (Part 2)„. Dies ist Teil 2 einer zweiteiligen Serie, Teil 1 findet Ihr hier.

Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint alle zwei Wochen auf allen gängigen Podcast-Plattformen und kann hier abonniert werden.

JACK (Intro): Das allererste Spiel, das ich gehackt habe, war Sim City. Das ist die Mutter aller Städtebau-Spiele. Mein neugieriges Teenager-Ich fand heraus, wo die Speicherstände abgelegt waren, und begann, diese Dateien zu untersuchen. Soweit ich das beurteilen konnte, war es nur Kauderwelsch. Ich beschloss, die Datei in einen Hex-Editor zu laden. Dieser wandelt den Inhalt der Datei in ein hexadezimales Format um. Ich fing an, ein paar Zahlen zu verändern. Ich habe einfach geraten und dann das Spiel neu geladen, um zu sehen, ob sich etwas geändert hatte. Ich wusste, dass ich auf der richtigen Spur war, weil ich Dinge wie das Jahr und den Namen der Stadt ändern konnte. Ich habe immer wieder Werte angepasst und das Spiel neu geladen.

Irgendwann lud ich das Spiel und bin aus allen Wolken gefallen. Ich hatte mir 100 Milliarden In-Game-Dollar gegeben. Das Gefühl, das Spiel zu hacken, war so viel aufregender, als das Spiel selbst zu spielen. Mit dieser Geldmenge baute ich ein paar sehr große Städte. Das Geldsystem in einem Einzelspieler-Spiel zu hacken, ist eine Sache. Aber was wäre, wenn man das Geldsystem in einem Massively-Multiplayer-Online-Game hacken könnte?

Immobiliengeschäfte in Ultima Online

JACK: In dieser Folge machen wir mit Manfred weiter.

MANFRED: Hallo.

JACK: Wie ihr in der letzten Folge gehört habt, hackt er Online-Videospiele, aber in der letzten Folge ging es nur um den Spaß an der Freude. In dieser Folge geht es rein ums Geschäft. Mit dem Hacken von Online-Spielen lässt sich eine Menge Geld verdienen. Drehen wir die Zeit zurück in die späten 90er Jahre, als er anfing, mit dem Hacken von Online-Spielen Geld zu verdienen. Das Spiel, das er damals spielte, war Ultima Online, und es war wie jedes andere MMORPG, in dem man seinen Charakter auflevelt, Gegenstände ausrüstet und Monster tötet. Manfred hatte das Spiel gespielt, war gut darin geworden und langweilte sich dann, also fing er an, herumzubasteln, den Client per Reverse-Engineering zu analysieren und die Datenpakete zu manipulieren. In Ultima Online konnten Spieler Häuser kaufen und auf der Karte platzieren. Das war ein sicherer Ort für den eigenen Charakter, um Dinge zu lagern und sich auszuruhen. Die Häuser nahmen jedoch Platz auf der Karte ein, genau wie Häuser im echten Leben. Die Spieleentwickler fügten also die Funktion hinzu, dass man ein Haus abreißen konnte. Dann fügten sie noch eine weitere Funktion hinzu: Häuser galten als verlassen und stürzten ein, wenn der Besitzer sie eine Weile nicht betrat.

MANFRED: Ich hab erstmal versucht, herauszufinden, wie der Prozess abläuft, wenn man das eigene Haus abreißt. Man konnte das machen und bekam dann die Besitzurkunde zurück. Ich war neugierig, wie das auf Protokollebene funktioniert. Was also der Client an den Server sendete, um das Ereignis des Hausabrisses auszulösen. Ich sah dann, dass das gar nicht mal viel war. Einfach ein Operationscode, der sagt: „Lass uns das Haus löschen“, und dazu die ID des Hauses. Ich dachte mir dann: Wow, echt simpel. Da muss doch eigentlich mehr dahinterstecken, zum Beispiel wie der Server prüft, ob dir das Haus überhaupt gehört.

Ich bin dann zum Haus meines Nachbarn und holte mir die ID des Hauses – einfach indem ich ein wenig damit interagierte und mir die Pakete ansah. Ich schickte dann ein Hausabriss-Ereignis mit dieser Haus-ID. Aber nichts passierte. Ich wunderte mich, warum funktioniert das nicht?

Ich wiederholte es mit meinem eigenen Haus. Öffnete mein Hausmenü und schickte das Löschpaket, und mein Haus wurde gelöscht. Ich hab dann gedacht, okay, vielleicht wird serverseitig geprüft, ob ich der Besitzer des Hauses bin oder eben nicht. Ich versuchte es dann nochmal, nur um sicherzugehen. Ich öffnete mein Hausmenü, um da ein paar Informationen in den Paketen zu überprüfen, und ließ das Menü offen. Dann schickte ich ein Löschpaket mit der Haus-ID meines Nachbarn. Zu meiner Überraschung verschwand dessen Haus dann einfach. Alles, was in dem Haus war, die Möbel, die Ausrüstung, alles, was er oder sie jemals gesammelt hatte, lag einfach auf dem Boden, weil das Haus ja nicht mehr da war. Ich dachte dann: Oh Hoppla, sorry. Das wollte ich wirklich nicht, aber ich konnte es auch nicht rückgängig machen. Ich hob nur die Hände und sagte: Öhh, tut mir leid.

Die Schlussfolgerung daraus war: Der Server prüft nicht, ob du der Besitzer dieses Hauses bist, wenn du das Löschpaket sendest. Die einzige Bedingung ist, dass du ein Hausmenü-Dialogfeld geöffnet hast, während du mit dem Haus interagierst. Solange man also mit einem Haus interagiert, das einem selbst gehört, kann man das Haus eines anderen Spielers kontrollieren und es letztendlich löschen, wenn man das möchte. Ich glaube, anfangs habe ich die Häuser von rivalisierenden Gilden gelöscht, denn es war ein Spiel, das sich um PVP drehte, also Spieler gegen Spieler, und es gab viele Gilden auf dem Server, auf dem ich spielte, die andere Spieler schikanierten und kontrollierten. Ich glaube, ich habe mich ein wenig an ihnen gerächt und angefangen, ihre Gildenhauptquartiere und so weiter zu löschen.

Eine der Gilden hieß „Players of Asia“, und das waren hauptsächlich chinesische Spieler, denen selbst Hacking vorgeworfen wurde. Die GMs mochten speziell diese Gilde und die mit ihr verbundenen nicht besonders. Ich bin mir nicht sicher, ob die Gilde jemals ein Beschwerde-Ticket geschickt hat. Ich denke aber schon, wahrscheinlich haben die GMs es einfach ignoriert. Jedenfalls: Nachdem ich ihr Haus gelöscht hatte, platzierte ich dort ein eigenes Haus.

JACK: Wenn Manfred das Haus eines anderen Spielers löschte, erschien die Besitzurkunde für dieses Haus in seinem Inventar. Er konnte nicht nur alle Gegenstände einsammeln, die in diesem Haus gelagert waren, sondern er übernahm auch im Wesentlichen den Besitz dieses Hauses, da er nun die Urkunde hatte und es an derselben Stelle wieder aufbauen konnte, an der er das Haus gelöscht hatte.

MANFRED: Nach ner Weile, ich hatte etwa ein Dutzend Häuser, hab ich mich gefragt, was ich eigentlich mit all diesen Häusern anfangen will. Und da kam dann eBay ins Spiel. Ich sah dass da Häuser für Hunderte, manchmal Tausende von Dollar verkauft wurden, je nach Größe des Hauses. Die meisten Spieler hatten ein Haus mit nur einem Raum, in dem ein paar wenige Gegenstände gelagert werden konnten. Es gab aber auch eine Burg, die war wirklich riesig, da konnte man eine Gilde und all ihre Gegenstände unterbringen. Und so eine Burg konnte man bei eBay für zweitausend, ja, bis maximal etwa 10.000 Dollar verkaufen.

Da das Ganze für mich zu nem Geschäftsmodell geworden war, brauchte ich immer mehr Häuser, denn alles, was ich bei eBay einstellte, ging tatsächlich ziemlich schnell weg. Mir gingen aber die Gilden oder rivalisierenden Gilden aus, deren Häuser ich abreißen konnte, also fing ich an, nach ungenutzten Häusern zu suchen, die kurz vor dem Einsturz standen.

Normalerweise findet kurz bevor das Haus einstürzt eine Art Einsturzparty statt, bei der viele Spieler zusammenkommen und jeweils versuchen, ihr Haus auf das eben eingestürzte Haus zu setzen. Ich wollte allerdings nicht mit zwanzig anderen Spielern konkurrieren, die versuchen, ein Haus zu platzieren. Ich hab immer nach Häusern gesucht, die kurz vor dem Einsturz standen, wo aber keine anderen Spieler waren. Da konnte ich hin, das Haus einfach löschen und mein Haus darauf setzen, ohne dass jemand etwas mitbekam.

Hat allerdings nicht immer ganz reibungslos geklappt: Einmal war da ein ziemlich großer Turm, rechteckig und ziemlich hoch. Der stand kurz vor dem Einsturz. Ich schaute mich um, niemand war da, dann führte ich den Exploit aus, lass den Turm einstürzen und platzierte drei kleine Häuser an seiner Stelle.

Kurz danach, vielleicht ein paar Minuten später, kommt ein Typ vorbei und ist reichlich verblüfft. Er schaut sich um, rennt hin und her, ich seh ihn noch vor mir könnte sein, dass er denkt, er sei im falschen Teil der Stadt. Ich steh da mit meiner Figur rum und er fragt mich dann: „Hey, war hier nicht ein Turm?“ Ich nur so: „Keine Ahnung.“ Ich war mit einem Neuling-Charakter unterwegs, Level 1. Ich hatte nichts bei mir, nur ein T-Shirt und eine zerrissene Hose, es war also bestimmt ziemlich glaubwürdig als ich sagte: „Ich weiß nicht, was hier los ist.“

Der Typ wartet ein paar Minuten, dann kommen weitere Mitglieder seiner Gilde dazu. Sie sprachen nicht, ich glaube, sie haben sich über einen anderen Kanal, IRC oder so unterhalten, aber es herrschte viel Aufregung. Ich steh da also nur so rum frag mich, wie das wohl ausgeht. In so einer Situation war ich noch nie. Ich hatte ein bisschen Angst davor, dass ein GM auftauchen und sehen würde, dass – ja, ich dachte, vielleicht könnte der GM sehen, dass ich das Haus gelöscht und diese drei an seiner Stelle platziert hatte. Aber ich bin nicht weggegangen, ich dachte mir, dass ich genauso gut hierbleiben und sehen könnte, ob das passiert. Ich würde nebenbei sehen, wie gut die GM-Tools sind und wie gut die Server-Protokollierung bei der Verwaltung von Häusern ist.

Ich war aber schon auch nervös, weil das für mich zu nem ziemlich guten Geschäftsmodell geworden war, und ich hatte halt die Befürchtung, dass das jetzt jeden Moment zu Ende geht. Aber zugleich war ich wirklich neugierig, wie das ausgehen wird, also bin ich da geblieben. Während der ganzen Aufregung tauchte dann tatsächlich ein GM auf. Der allerdings erstmal gar nichts schnallt. Alle schreien ihn im Grunde im Spiel an und wollen ne Erklärung. Der GM tat mir irgendwie auch leid, denn nach ein paar Minuten merkte ich, dass er wirklich keine Ahnung hatte, was hier vor sich ging. Einige Minuten vergingen also und er hatte keine Antwort für die Leute. Die GM-Tools waren auch nicht so ausgereift, dass eine Nachverfolgung möglich war, ob da vorher was anderes stand, wer es gelöscht, und wer die neuen Häuser wann platziert hat.

Zehn Minuten später, immer noch keine Antwort vom GM. Dafür viele wütende Spieler um ihn herum. Nach zwanzig Minuten war es für alle offensichtlich, dass der GM keine Ahnung hatte. Dann fiel ein Satz von einem der Typen: „Entweder waren es Hacker oder Gm’s.“ Sie beschuldigten also den GM, das Haus gelöscht zu haben, oder eben Hacker. Ich wusste, dass ich aus dem Schneider war, was etwa einen Bann im Spiel anging oder die sofortige Behebung des Exploits. Denn es war offensichtlich, dass sie keine Aufzeichnungen darüber hatten, was passiert war. Ich war an diesem Punkt also erleichtert. Und der GM konnte sich nicht sicher sein, ob die Leute hier die Geschichte vielleicht auch komplett erfunden hatten, um den Besitzer der drei Häuser – also mich – an dieser Stelle zu betrügen. Ja, ich muss sagen das war tatsächlich einer meiner Lieblingsmomente in meiner Karriere als Hacker von Online-Games.

JACK: Manfred fand dann einen Fehler, der ihm die Möglichkeit gab, ein Haus unterirdisch zu bauen. Das war interessant, denn wenn jemand über das Haus lief, dachte das Spiel, er sei in seinem Haus, sodass er ihn ohne Konsequenzen töten konnte. Da dieser Fehler für Manfred nicht wichtig war, meldete er ihn dem GM. Der GM meldete ihn den Entwicklern, und die Spielefirma feuerte den GM. Die Firma dachte, die Hacker, die dies gemeldet hatten, müssten eine Art Insider-Informationen vom GM erhalten haben, um diese Exploits zu finden. Also dachte die Firma, der GM arbeite mit den Hackern zusammen, um das Spiel zu hacken. Nicht nur wurde der GM gefeuert, auch Manfred und seine Freunde wurden gebannt.

Manfred hatte nur versucht, den Spieleentwicklern zu helfen, indem er diese Fehler meldete, also war er verärgert, dass sie so reagierten. Also wartete Manfred bis spät in die Sonntagnacht, als GMs und Entwickler schliefen, und erstellte einen neuen Charakter. Er rannte im Spiel herum und löschte jedes Haus, das er finden konnte. Er löschte zwanzig Häuser, fünfzig Häuser, hundert Häuser, wechselte dann zu einem anderen Server und löschte alle Häuser dort. Zweihundert Häuser wurden gelöscht, und er wechselte weiter die Server und löschte noch mehr Häuser. Dreihundert Häuser gelöscht, vierhundert, fünfhundert. Schließlich gingen ihm die Häuser zum Löschen aus, und er verabschiedete sich mit einer letzten Geste vom Spiel und sagte Lebewohl. Er loggte sich zum letzten Mal aus und kehrte nie wieder zurück. An diesem Montagmorgen gab es so viele Beschwerden und ein solches Chaos im Spiel, dass die Entwickler die Server auf einen Speicherpunkt vom Sonntag zurücksetzen mussten, bevor die Häuser gelöscht wurden.

Alle Spieler bekamen ihre Häuser wiederhergestellt. Die Entwickler räumten einen Fehler im Spiel ein und entschuldigten sich bei den Spielern für das Zurücksetzen. Sie deaktivierten sogar die Haus-Funktionen, bis sie den Fehler beheben konnten. Manfreds Goldesel, der Verkauf von Häusern in Ultima Online, war damit gestorben.

Jackpot in Camelot

MANFRED: Das war damals in meiner crazy Studienzeit. Nachdem ich die Auswirkungen sah, die mein Handeln auf die Spieler hatte, bin ich dazu übergegangen, alles, was ich in Online-Spielen tat, noch verdeckter zu tun, als ich’s ohnehin ohnehin schon tat. Das heißt, jeder Exploit, den ich ausführte, war ab da für die Spieler völlig unsichtbar und, was wichtig ist, ebenso für die Spieleentwickler.

JACK: Manfred tauchte ein in die Schatten und wurde unsichtbar. Er fand dann einen erstaunlichen Fehler in einem anderen Spiel.

MANFRED:
Kurz nach der Ultima-Online-Hauslösch-Nummer wechselte ich zu einem Spiel namens „Dark Age of Camelot“. Dort war es die gleiche Geschichte: Ich spielte das Spiel, langweilte mich irgendwann, begann mit dem Reverse-Engineering und erforschte die Datenpakete. Dabei bemerkte ich, dass eines der Pakete es mir erlaubte, mich zweimal einzuloggen. Ich konnte meine Gegenstände und mein Gold an einen anderen Spieler, einen sogenannten Mule-Charakter, weitergeben und mich dann erneut einloggen, ohne mich vom vorherigen Charakter auszuloggen. Auf der Serverseite wurde die Datenbank neu geladen und ich hatte wieder alle meine Gegenstände und mein Gold.

Im Grunde genommen handelt es sich hierbei um einen Dupe-Glitch, einen Doppelgängerfehler, bei dem Gegenstände dupliziert werden, in diesem Fall sogar ganze Charaktere. Wenn man mich im Spiel gesehen hätte, hätte man zwei Kopien desselben Charakters im Spiel stehen sehen, was ziemlich ungewöhnlich war. Ich habe noch nie ein Spiel gesehen, in dem man sich mit zwei Charakteren gleichzeitig anmelden konnte, die zur selben Datenbankinstanz gehörten.

JACK: Ein Duplizierungs-Exploit ist der Jackpot unter den Exploits. Allein die Fähigkeit, In-Game-Gold zu duplizieren, ist ein Volltreffer. Selbst wenn er mit einer Goldmünze angefangen hätte, hätte er nach zwanzig Duplizierungen über eine Million Gold. Er besaß die Fähigkeit, so viel Gold zu generieren, wie er wollte, wann immer er wollte.

MANFRED: Ich habe meinen Charakter erstmal optimiert, mir die besten Gegenstände besorgt und so weiter. Dann habe ich bei eBay gesehen, dass da Leute Dark Age of Camelot-Gegenstände und -Gold verkauften. Davon hatte ich jede Menge! Also habe ich mir einen eBay-Account zugelegt und angefangen, da Dark Age of Camelot-Platin und Gegenstände zu verkaufen. Dieser spezielle Bug, durch den man sich zweimal einloggen und das Inventar des Charakters duplizieren konnte, bestand, glaube ich, bis 2013. Er hielt etwa vierzehn Jahre lang an. Anfangs habe ich wie gesagt auf eBay verkauft. Um 2003 oder 2004 allerdings hat eBay dann den Verkauf von virtuellen Gütern verboten. Dadurch entstand im Internet ein riesiger Schwarzmarkt für virtuelle Güter. Ich hab dann damals direkt an einen chinesischen Anbieter verkauft. Das war ige.com, und das ging über mehrere Jahre.

JACK: Ich möchte hier kurz einhaken und die Situation verdeutlichen: Durch die Nutzung eines Duplizierungsfehlers im Spiel ist Manfred in der Lage, eine unbegrenzte Menge an In-Game-Gold zu erzeugen und dieses Gold dann an Spieler zu verkaufen, die dafür mit echten US-Dollar bezahlen. Mit dem von ihm gefundenen Fehler konnte er im Alleingang die gesamte Marktnachfrage von Leuten bedienen, die bereit waren, für In-Game-Gold zu bezahlen. Wie ihr euch vorstellen könnt, konnte dies zu einem sehr lukrativen Geschäftsmodell werden.

MANFRED: Ja, man hat so viele Dollar, wie der Markt es hergibt.

JACK: Erinnert ihr euch an die lange Liste von Videospielen, die er nach eigenen Angaben gehackt hat?

MANFRED: World of Warcraft war das einzige, wirklich das einzige Spiel, bei dem ich nie einen Weg gefunden habe, das Geldsystem zu hacken.

JACK: Gehen wir noch ein paar weitere Spiele durch, die er gehackt hat. Asheron’s Call 2: Da nutzte er einen Exploit, der es ihm ermöglichte, eine Instanz zum Absturz zu bringen. Also gab er alle seine Gegenstände einem Freund. Dieser Freund loggte sich dann aus. Er brachte die Instanz zum Absturz, und als sie sich beide wieder einloggten, hatten sie beide genau dieselben Gegenstände. Das gab ihm die Fähigkeit, alles zu duplizieren, was er hatte, einschließlich Gold.

MANFRED: Anarchy Online.

JACK: Er fand einen Integer-Überlauffehler, der es ihm ermöglichte, seine Stärke unter null zu subtrahieren, was ihm 65.000 Stärkepunkte einbrachte. Dasselbe tat er für Intelligenz, Geschicklichkeit und Ausdauer.

MANFRED: Lineage II.

JACK: Er fand einen Fehler beim Kauf von Gegenständen von einem Händler. Er konnte die Artikel-ID, die der Händler verkaufte, ändern und jeden beliebigen Gegenstand zu jedem beliebigen Preis kaufen, sogar Gegenstände, die für Spieler nicht erlaubt waren. Das Gegenteil war auch der Fall: Er konnte einem Händler einen Stock verkaufen, aber die Artikel-ID im Paket ändern, und der Händler zahlte, als wäre es ein hochwertiger, teurer Gegenstand.

MANFRED: Final Fantasy Online, das erste.

JACK: Er fand zahlreiche Integer-Überlauf-Exploits in diesem Spiel. Wenn er zum Beispiel versuchte, einem anderen Spieler eine negative Menge von etwas zu geben, bekam dieser Spieler stattdessen die maximalen Menge davon.

MANFRED: Lord of the Rings Online.

JACK: Man konnte einem Händler einen Stein verkaufen, aber sagen, es sei ein Diamant, und der Händler kaufte Steine zu Diamantenpreisen.

MANFRED: RIFT Online.

JACK: Er konnte negatives Platin von der Gildenbank abheben, was zu positivem Platin in seinem Inventar führte, sodass er so viel Geld wie er wollte aus dem Nichts erschaffen konnte.

MANFRED: Final Fantasy XIV.

JACK: Es hatte genau die gleichen Exploits wie das erste Final Fantasy. Einer erlaubte es ihm, Stapel von Gegenständen wie Tränke aufzuteilen und während der Teilung einen Integer-Überlauf durchzuführen, zum Beispiel indem er versuchte, minus einen Trank aus dem Stapel zu nehmen. Das Ergebnis war, dass er zwei Milliarden Tränke bekam.

MANFRED: WildStar Online. Bei diesem Spiel ging es darum, ein Gebot in einem Auktionshaus abzugeben. Konkret bedeutete das, dass ich ein maximales Gebot in Form einer 64-Bit-Ganzzahl abgeben konnte, was etwa 9 Billiarden entsprach – die genaue Zahl lässt sich bei Google nachschlagen. Das Spiel nahm dieses Höchstgebot von neun Billiarden und fügte eine Gebühr von zwanzig Prozent hinzu, wodurch sich der Betrag auf elf Billiarden oder so erhöhte. Am Ende erhielt ich neun Billiarden in Spiel-Platin.

JACK: Wenn man das gesamte WildStar Online-Platin, das Manfred besaß, nehmen und es zum heutigen Marktwert für echtes Geld verkaufen würde, hätte Manfred 397 Billionen US-Dollar. Natürlich gibt es nicht genug Marktnachfrage, um so viel Platin zu verkaufen. Er konnte nur an Leute verkaufen, die bereit waren, In-Game-Platin zu kaufen.

Ethisches Black-Hat-Hacking

MANFRED: Das war mein einziger Job. und ich hab alles in meiner Steuererklärung angegeben. Es war legitimes Einkommen. Ich habe im Grunde die Funktionalität des Spiels erweitert, um Spielern In-App-Käufe zu ermöglichen, bevor es In-App-Käufe überhaupt gab. Ich sehe das als Cyberkriminalität, die okay ist, als ethisches Black-Hat-Hacking, weil ich wirklich eine Dienstleistung angeboten habe, die die Spielefirmen selbst noch nicht bereitgestellt haben.

JACK: Den Begriff habe ich noch nie gehört.

MANFRED: Ethisches Black-Hat-Hacking.

JACK: Ich habe lange mit Manfred darüber gesprochen, um wirklich zu verstehen, was er meint. Um das zu erklären, benutzen wir eine Analogie. Gehen wir zurück in die 1920er Jahre, als Kinos noch kein Popcorn oder Snacks im Saal verkauften. Stellt euch vor, Manfred ist der Typ, der Popcorn vor dem Kino verkauft hat. Die Leute wollen während des Films einen Snack, aber da das Kino keinen verkaufte, wandten sie sich an den Typen, der draußen Popcorn verkaufte, und schmuggelten es hinein. Der Popcornverkäufer konkurriert in keiner Weise mit dem Kino. Aber dann sah das Kino, wie viel der Popcornverkäufer verdiente und man konnte das Popcorn im Kino sowieso nicht mehr verhindern, also beschlossen sie, es selbst zu verkaufen. Jetzt würde der Popcornverkäufer mit dem Kino konkurrieren.

Tatsächlich verdienen Kinos heute mehr Geld mit dem Verkauf von Snacks als mit dem Verkauf von Kinokarten. Manfred verkaufte Gold nur an Spieler für Spiele, die das nicht bereits selbst taten. Er hält es für unethisch, mit Spielefirmen zu konkurrieren, die Spielern Gold verkaufen, da dies deren Einnahmen schmälert. Genauso wie Kinos heute mehr Geld mit Snacks verdienen, verdienen Spielefirmen heute mehr Geld durch In-App-Käufe als durch den eigentlichen Verkauf des Spiels. Einige Spielefirmen verlangen aufgrund der Rentabilität von In-App-Käufen überhaupt kein Geld mehr für ihre Spiele. Während Manfred versucht, beim Hacken ethisch zu bleiben, gibt es viele Hacker, die das nicht tun.

MANFRED: Viele der chinesischen und russischen Hacker, die daran beteiligt sind, und es gibt viele von ihnen, hacken auf eine Weise, die komplett Black-Hat und völlig unethisch ist. Es ist ihnen egal, ob sie Server kompromittieren. Sie schicken Malware an Leute, die das Spiel spielen, nur um einen Keylogger zu installieren und deren Spielezugangsdaten zu stehlen. Sie loggen sich in Hunderte von Konten gleichzeitig ein und plündern im Grunde die Charaktere und Konten, was den Spielern, die dieses Spiel spielen, immens schadet.

Außerdem, ein kleiner Insider-Geheimtipp: Sagen wir, ihr spielt World of Warcraft und geht auf eine World of Warcraft-Fanseite, wo Spieler über das Spiel und kommende Patches sprechen, und vielleicht Datenbanken von Gegenständen im Spiel finden. Es ist eine Community für World of Warcraft-Spieler. Oft werden diese Community-Seiten entweder von Chinesen oder Russen betrieben, und dreimal dürft ihr raten, warum die Chinesen und Russen die Fanseite für Videospieler betreiben. Der Hauptgrund ist, dass die Leute dazu neigen, ihre E-Mail-Adressen und Passwörter wiederzuverwenden. Wenn ihr euch auf einer Fanseite für World of Warcraft anmeldet, stehen die Chancen ziemlich gut, dass derselbe Benutzername und dasselbe Passwort, das ihr für diese Fanseite verwendet, auch für euren World of Warcraft-Account funktionieren.

JACK: Dies ist wahrscheinlich die unethischste Art, an In-Game-Gold zu kommen. Es schadet den Spielern, die das Spiel lieben und spielen, aber diese Art von Hackern hörte da nicht auf.

MANFRED: Sie greifen die Spieleserver von Spielefirmen mit Denial-of-Service-Angriffen an, wodurch sie für legitime Nutzer unzugänglich werden. Sie wühlen sich durch Systeme, um an die Datenbanken zu gelangen, was bei Guild Wars II und wahrscheinlich vielen anderen Spielen passiert ist. Es ist der Wilde Westen, es ist eine Multi-Milliarden-Dollar-Industrie, und es gibt viele Hacker da draußen, denen alles egal ist oder die außerhalb der Reichweite des langen Arms des Gesetzes sind, weil sie in China oder Russland sitzen und es für sie keine Rolle spielt, ob sie US-Gesetze brechen.

JACK: Als kurzer Einschub: 2011 berichtete die New York Times, dass von Nordkorea gesponserte Hacker dabei erwischt wurden, wie sie in die Server des Videospiels Lineage eindrangen. Laut der Geschichte taten sie das, um Geld für Nordkorea zu beschaffen. Dies ist das einzige Mal, dass ich je von einem Staat gehört habe, der einen Hack gegen eine Videospielfirma sponsert. Es ist auch einzigartig, weil die meisten nationalstaatlichen Hacks nicht einfach nur dazu dienen, zusätzliches Geld zu verdienen. Der Artikel besagt, dass nordkoreanische Hacker bei ihren Hacks gegen Lineage-Server sechs Millionen Dollar verdient haben.

Manfred glaubte nicht, dass er mit seinen Taten Gesetze gebrochen hat. Ja, es verstieß gegen die Spielregeln, und wenn er erwischt wurde, wurde er verbannt. Einmal erhielt er sogar eine Unterlassungsaufforderung, aber nie hat eine Spielefirma versucht, ihn mit Hilfe der Strafverfolgungsbehörden zu belangen. Er ist auch stolz darauf, dass er keinen anderen Spielern geschadet und nicht mit dem Geschäftsmodell der Videospielhersteller konkurriert hat. Deshalb nennt er es ethisch, aber er nennt es immer noch Black-Hat-Hacking, da er die Regeln des Spiels und des Clients bricht, um seine Hacks durchzuführen. Die Grenze zwischen Ethik und Gesetz ist hier sicherlich eine Grauzone.

MANFRED:
Die Art und Weise, wie Spielefirmen das Thema Sicherheit betrachten, führt dazu, dass sie es missbilligen, wenn Leute ihre Clients modifizieren, wenn Leute Reverse-Engineering betreiben, aber ich bin der Meinung, dass das ein Fehler ist, sie sollten stattdessne versuchen, mit Hackern in der Community zusammenzuarbeiten, um ihre Spiele sicherer zu machen.

Denn in den letzten zwanzig Jahren hatte jedes einzelne Spiel einen Integer-Überlauf, dass also positive und negative Zahlenwerte im Spiel umschlagen, was zu unerwartetem Verhalten führt und wirklich nicht passieren sollte. Vergleichbar mit SQL-Injection, durch die man unautorisierten Zugriff auf eine Datenbank erhält. Sowas kann schon passieren, aber besser nicht nicht in jeder einzelnen Instanz eines Spiels.

WildStar Online z.B., ich glaube, ihr Budget zur Erstellung des Spiels lag bei über fünfzig Millionen Dollar – und sie hatten extrem einfache Exploits in diesem Spiel. Sie haben offenbar nichtmal einen kleinen Prozentsatz dieses Budgets dafür aufgewendet, auch nur einen Tag lang einige der öffentlich zugänglichen, spielerseitigen Funktionen zu testen, die der Hauptserver bereitstellt.

Ich glaube, die meisten dieser Fehler oder Exploits, insbesondere die Integer-Überläufe, könnten innerhalb einer Woche identifiziert und behoben werden. Es wird Zeit, da einen anderen Ansatz zu wählen, um mit den Hackern zusammenzuarbeiten. Wenn jemand mit einem Hack vortritt, bannt ihn nicht. Seid keine Idioten. Arbeitet einfach mit ihnen zusammen und sagt Danke. Bannt sie nicht und schafft damit noch mehr Probleme.

JACK: Es klingt so, als ob diese Online-Spiele den Leuten keinen Anreiz bieten, die von ihnen gefundenen Exploits zu melden. Viele Unternehmen bieten heute Belohnungen für Leute an, die Fehler finden, aber unter den Spielefirmen tun dies noch nicht sehr viele.

MANFRED: Wie du bereits erwähnt hast, sind die Spielehersteller dazu übergegangen, virtuelle Güter direkt über ihre Spielschnittstellen zu verkaufen. Und genau aus diesem Grund habe ich mich entschieden, aufzuhören. Es würde sich von einer Grauzone hin zu fast illegal bewegen, aber vor allem es wäre unethisch von mir, das In-App-Kauf-Geschäftsmodell eines Unternehmens zu untergraben, deshalb habe ich letztes Jahr das Handtuch geworfen und bin weitergezogen.

Es gab einige interessante Diskussionen im Internet zu meinem Defcon-Vortrag, viele meinten da, dass sie Unternehmen, die In-App-Käufe anbieten, missbilligen. Und sie fragten sich in den Diskussionen, warum ich eigentlich aussteige, wo ich doch gerade jetzt loslegen und das gesamte Geschäftsmodell untergraben sollte, mit dem die Spieler über den Tisch gezogen werden. Mein Hauptargument ist da, dass ich’s als Geschäft betrieben habe, solange ich es für ethisch und legal gehalten habe. Wenn ich jetzt mit dem In-App-Kauf-Geschäftsmodell des Spiels konkurriere, würde mich auf unethischem Terrain bewegen, deshalb hab ich aufgehört.

JACK (Outro): In den letzten zwanzig Jahren konnte Manfred ausschließlich durch das Ausnutzen von Online-Videospielen seinen Lebensunterhalt bestreiten, aber seine epische Reise geht nun zu Ende. Er nutzt keine Spiele mehr aus und verkauft keine virtuellen Gegenstände. Jetzt arbeitet Manfred für eine Firma für Sicherheitsbewertungen und ist komplett zum White-Hat geworden. Deshalb kann er jetzt die Geschichte über das erzählen, was er in den letzten zwanzig Jahren getan hat. Obwohl er es für unethisch hält, mit Unternehmen zu konkurrieren, die In-App-Käufe haben, gibt es immer noch viele andere Hacker, die weiterhin Online-Videospiele ausnutzen. Dies wird wahrscheinlich so lange weitergehen, bis es keine Nachfrage mehr nach virtuellen Gütern gibt. Aber das wird in naher Zukunft nicht passieren.

(igr)

SAP hat zum letzten Patchday des Jahres 14 neue Sicherheitsmitteilungen veröffentlicht. Die behandeln teils kritische Sicherheitslücken in der Business-Software. Admins sollten die bereitstehenden Aktualisierungen zügig anwenden.

Die Übersicht von SAP listet die einzelnen Sicherheitsnotizen und betroffene Produkte auf. Drei als kritisches Risiko eingestufte Sicherheitslecks stechen dabei hervor. Angemeldete Nutzer können aufgrund fehlender Eingabefilterung bösartigen Code beim Aufruf eines Moduls mit aktiviertem Fernzugriff einschleusen. Das ermöglicht die vollständige Übernahme betroffener SAP Solution Manager (CVE-2025-42880, CVSS 9.9, Risiko „kritisch“). Der mitgelieferte Apache-Tomcat-Server in SAP Commercial Cloud enthält zudem mehrere, teils als kritisches Risiko eingestufte Sicherheitslücken (CVE-2025-55754, CVSS 9.6, Risiko „kritisch“, sowie CVE-2025-55752, ohne eigene CVSS-Einstufung). Weiterhin warnt SAP davor, dass Angreifer mit erhöhten Rechten eine Deserialisierungslücke in SAP jConnect missbrauchen können, um beliebigen Schadcode aus der Ferne auszuführen (CVE-2025-42928, CVSS 9.1, Risiko „kritisch“).

Übersicht der Sicherheitsnotizen

IT-Verantwortliche sollten prüfen, ob sie verwundbare Produkte einsetzen und gegebenenfalls die Updates zügig installieren. Die Sicherheitsnotizen im Einzelnen:

• Code Injection vulnerability in SAP Solution Manager (CVE-2025-42880, CVSS 9.9, Risiko „kritisch“)
• Multiple vulnerabilities in Apache Tomcat within SAP Commerce Cloud (CVE-2025-55754, CVSS 9.6, „kritisch“, sowie CVE-2025-55752)
• Deserialization Vulnerability in SAP jConnect – SDK for ASE (CVE-2025-42928, CVSS 9.1, „kritisch“)
• Sensitive Data Exposure in SAP Web Dispatcher and Internet Communication Manager (ICM) (CVE-2025-42878, CVSS 8.2, „hoch“)
• Denial of service (DOS) in SAP NetWeaver (remote service for Xcelsius) (CVE-2025-42874, CVSS 7.9, „hoch“)
• Denial of service (DOS) in SAP Business Objects (CVE-2025-48976, CVSS 7.5, „hoch“)
• Memory Corruption vulnerability in SAP Web Dispatcher, Internet Communication Manager and SAP Content Server (CVE-2025-42877, CVSS 7.5, „hoch“)
• Missing Authorization Check in SAP S/4 HANA Private Cloud (Financials General Ledger) (CVE-2025-42876, CVSS 7.1, „hoch“)
• Missing Authentication check in SAP NetWeaver Internet Communication Framework (CVE-2025-42875, CVSS 6.6, „mittel“)
• Information Disclosure vulnerability in Application Server ABAP (CVE-2025-42904, CVSS 6.5, „mittel“)
• Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal (CVE-2025-42872, CVSS 6.1, „mittel“)
• Denial of Service (DoS) in SAPUI5 framework (Markdown-it component) (CVE-2025-42873, CVSS 5.9, „mittel“)
• Missing Authorization check in SAP Enterprise Search for ABAP (CVE-2025-42891, CVSS 5.5, „mittel“)
• Server-Side Request Forgery (SSRF) in SAP BusinessObjects Business Intelligence Platform (CVE-2025-42896, CVSS 5.4, „mittel“)

Der November-Patchday von SAP brachte IT-Verantwortlichen 18 Sicherheitsmitteilungen und zugehörige Patches zum Schließen der Sicherheitslücken. Davon galten zwei als kritisches Risiko, eine erreichte sogar den Höchstwert von CVSS 10.

(dmk)

Eine Woche, nachdem der größte Onlinehändler Südkoreas einen massiven Datenabgriff öffentlich gemacht hat, hat die Polizei jetzt die Zentrale von Coupang durchsucht. Das berichtet die Nachrichtenagentur Yonhap und erklärt, dass dabei nach Beweisen gesucht wurde, die bei der Rekonstruktion des Angriffs helfen sollen. Man wolle den gesamten Sachverhalt umfassend aufklären, unter anderem auch die Identität der Person, die die Daten weitergegeben hat, zitiert Yonhap eine Mitteilung der Polizei. Auch den Grund für den Datendiebstahl sucht man demnach noch. Laut der Nachrichtenagentur basierten die Ermittlungen bislang ausschließlich auf freiwillig von Coupang herausgegebenen Daten. Der Bericht deutet an, dass zentrale Punkte des Angriffs noch unklar sind.

Zentrale Punkte weiterhin unklar

Coupang hatte vorige Woche öffentlich gemacht, dass ein ehemaliger Angestellter personenbezogene Daten zu mehr als 33 Millionen Kunden beziehungsweise Kundinnen abgegriffen und das Land verlassen haben soll. Zuvor war zwar ein Datenleck eingestanden worden, da war aber nur von 4500 betroffenen Konten die Rede. Stattdessen geht es aber wohl um die Namen, E-Mail- und Lieferadressen sowie teilweise die Kaufhistorie von wahrscheinlich allen Kunden und Kundinnen des Marktführers in Südkorea. In dem Land leben gerade einmal rund 52 Millionen Menschen, der Verantwortliche könnte also Daten zu einer übergroßen Mehrheit der Wohnungen haben. Der Eingriff soll im Juni begonnen haben.

Der Cybersicherheitsvorfall dürfte deshalb der größte in der Geschichte Südkoreas sein. Coupang ist in Südkorea für extrem zügige Lieferungen bekannt, mehr als 99 Prozent der Bestellungen werden innerhalb von 24 Stunden zugestellt. Schon seit Jahren gibt es aber auch Kritik an den Arbeitsbedingungen bei dem Konzern. Laut der Korea Times sind dort seit 2020 mehr als 20 Menschen während der Arbeit verstorben. Der Datenabgriff beschäftigt in dem Land längst auch die Politik, laut der Tageszeitung Hankyoreh gab es vergangene Woche eine Anhörung im Parlament. Dort hätten Vertreter des Konzerns unter anderem angedeutet, dass der Verantwortliche das Land schon Ende 2024 verlassen hat. Auch der genaue zeitliche Ablauf des Datenabgriffs ist also noch unklar.

(mho)