Zugriffe auf Nutzer-Accounts: Nintendo rät zur Zwei-Faktor-Authentifizierung

Derzeit berichten Besitzer von Nintendo-Nutzeraccounts aus Europa und den USA vermehrt von unbefugten, meist mehrfachen erfolgreichen Logins durch Unbekannte. Nintendo hat gegenüber heise Security bestätigt, von den Berichten Kenntnis zu haben, sich jedoch weder zu deren Richtigkeit geäußert noch weitere Details genannt. Das Unternehmen rät zur Aktivierung der Zwei-Faktor-Authentifizierung und, im Falle eines erfolgten Zugriffs, zu weiteren Maßnahmen wie Passwortänderungen und der Löschung von Kreditkarten- und PayPal-Informationen aus kompromittierten Accounts.

Wiederholte Zugriffe trotz Passwortänderung

Aufmerksam wurden die Betroffenen auf die unbefugten Zugriffe offenbar in erster Linie dadurch, dass sie via E-Mail von Nintendo automatisch informiert wurden. So berichtete unter anderem ein Betroffener gegenüber heise Security von mehreren Hinweisen zu Anmeldungen mit einem ihm unbekannten Gerät aus Russland. Er habe sein Passwort daraufhin durch ein (noch) stärkeres ersetzt, was aber wohl nichts änderte: Auch im Anschluss habe er von Nintendo weitere Benachrichtigungen zu Zugriffen aus Russland, den USA und Indien erhalten.

Zusätzlich kursieren unbestätigte Erfahrungsberichte von Nutzern, denen zufolge die Angreifer auch finanzielle Schäden angerichtet hätten. So berichtet etwa nintendo-connect.de in einem Artikel von Spielern, deren Zahlungsdetails ihren eigenen Angaben zufolge zum Kauf digitaler Artikel im Nintendo eShop verwendet wurde. Mehrere Spieler erwähnten in diesem Zusammenhang via Twitter speziell Käufe von "Fortnite"-Inhalten. Teilweise sollen diese schon vor über zwei Wochen erfolgt sein haben, was – sollte tatsächlich ein Zusammenhang bestehen – auf ein bereits seit längerer Zeit bestehendes Problem hindeuten würde.

Nintendo rät zu 2FA-Aktivierung und weiteren Maßnahmen

Auf Anfrage von heise Security hat Nintendo bestätigt, dass dem Unternehmen Berichte über unautorisierte Zugriffe auf Nintendo-Accounts bekannt seien. Was dahintersteckt, ist aber offenbar noch unklar: "Wir prüfen derzeit die Situation".

In der Zwischenzeit empfiehlt das Unternehmen, die Zwei-Faktor-Authentifizierung (2FA), bei Nintendo auch "Zweistufen-Bestätigung" genannt, einzurichten. Wie das geht, erläutert ein Beitrag zur 2FA im Kundenservice-Bereich. Sofern bereits unbefugte Zugriffe erfolgt sind, rät Nintendo dringend dazu, die Schritte zu befolgen, die in einem zweiten Support-Beitrag erläutert werden. Sie umfassen

• eine Änderung des Passworts und eine anschließende Ab- und Wiederanmeldung auf sämtlichen Geräten,
• die 2FA-Aktivierung,
• die vorsorgliche Löschung aller Informationen zu Kreditkarten oder PayPal-Konten aus dem Account sowie
• die vorsorgliche Änderung von Facebook-, Google- oder Twitter-Passwörtern im Falle einer bestehen Verknüpfung mit dem Nintendo-Account.

Update 21.04.20, 19:38: Irreführende Überschrift geändert. Nintendo sind zwar die Nutzerberichte zu den Zugriffen bekannt; bestätigt hat das Unternehmen die Zugriffe allerdings nicht. (ovw)