Denuvo: Fehlkonfigurierter Server gibt Interna der Sicherheitsfirma preis

Der Hersteller des Software-Sicherungssystems Denuovo hat es dieser Tage nicht leicht: Erst knackt eine Crackergruppe das Denuvo-geschützte Spiel "Resident Evil 7" binnen 5 Tagen. Und jetzt haben Nutzer auch noch eine Lücke im Web-Server der österreichischen Firma entdeckt und Dokumente kopiert, wie die Webseite Torrentfreak meldet.

Die Lücke wurde am Sonntag bekannt, als Nutzer ihre Funde auf Reddit diskutierten. Demnach konnten sie zumindet einige Stunden lang auf das Verzeichnis "www.denuvo.com/fileadmin/" zugreifen, indem sie schlicht die URL in ihrem Browser eintippten. Dort fanden sie neben diversen Zugriffs-Logs auch eine 11 MByte großes Textdatei namens "Ajax.log". In dieser waren Kontaktanfragen aus dem Jahr 2014 gespeichert, unter anderem von Mitarbeitern von Capcom, TaleWorlds, Dontnod, Microsoft und Google. Zu finden waren aber auch diverse Hass-Mails erboster Spieler, die sich über Denuvos (zumindest damals noch) allzu sicheren Schutzmechanismus aufregten.

Neben den Kontaktanfragen entdeckten die Besucher auch eine als geheim eingestufte Powerpoint-Präsentation vom Oktober 2016, in der sich Denuvo als Sicherheitsfirma bei potentiellen Kunden vorstellt. Das Dokument erläutert die enge Beziehung von Denuvo zu Sony DADC und die mögliche Kombination mit dem SecuROM-Kopierschutz. Denuvos Anti-Tamper-Schutz habe 272 Tage lang verhindert, dass das Spiel "Lords of the Fallen" in Tauschbörsen landete. Für Filme bietet das Unternehmen den sogenannten Screen-Pass-Schutz, der bislang illegale Kopien von Videofilmen wie der Twilight-Serie und "The Hunger Games" verhindert habe und ständig erneuert werde, um Filmpiraten das Leben schwer zu machen.

Dem ersten Eindruck nach scheinen den Findern außer ein paar Mailadressen von interessierten Kunden aber keine allzu sensiblen Daten in die Finger gefallen zu sein. Inzwischen hat Denuvo die offenbar durch eine Fehlkonfiguration entstandene Lücke geschlossen. (hag)