NationStates bestätigt Datenleck, schaltet Spieleseite ab!
NationStates, ein browserbasiertes Multiplayer-Spiel, hat einen Datenverstoß bestätigt, nachdem die Website Anfang der Woche offline genommen wurde, um einen Sicherheitsvorfall zu untersuchen.
Status → https://www.nationstates.net/page=dispatch/id=229874
Das von Autor Max Barry entwickelte und lose auf seinem Roman „Jennifer Government“ basierende Regierungssimulationsspiel gab bekannt, dass ein unbefugter Benutzer Zugang zum Produktionsserver erlangt und Benutzerdaten kopiert hat.
„Der Melder der Sicherheitslücke hat eine Grenze überschritten…!“
Am 27. Januar 2026 gegen 22:00 Uhr (UTC) erhielt NationStates einen Bericht von einem Spieler, der eine kritische Sicherheitslücke im Anwendungscode entdeckt hatte.
Beim Testen des Fehlers überschritt der Spieler jedoch die autorisierten Grenzen und erlangte die Fernausführung von Code (RCE) auf dem Hauptproduktionsserver, wodurch er Anwendungscode und Benutzerdaten auf sein eigenes System kopieren konnte.
„Dieser Spieler hat seit 2021, insbesondere in den letzten sechs Monaten, etwa ein Dutzend Fehler- und Sicherheitslückenberichte an NationStates übermittelt. Er ist kein Mitarbeiter und hatte nie die Berechtigung, auf den Server zuzugreifen oder sonstige privilegierte Zugriffsrechte zu besitzen“, schrieb Barry in einer Mitteilung über eine Datenschutzverletzung . am 30. Januar aktualisierten
„Sein Land wurde bereits mit dem Bug Hunter-Abzeichen ausgezeichnet. Dies ist eine Initiative, die Spieler für das Melden von Fehlern und Sicherheitslücken auf der Website belohnt, damit wir diese beheben können.“
Obwohl sich die betreffende Person später entschuldigte und behauptete, die Daten seien gelöscht worden, hat die Website keine Möglichkeit, dies zu überprüfen und behandelt daher sowohl das System als auch die Daten als kompromittiert.
Die Sicherheitslücke entstand durch einen Fehler in einer relativ neuen Funktion namens „Dispatch Search“, die am 2. September 2025 eingeführt wurde. NationStates gab an, dass der Angreifer eine unzureichende Bereinigung der Benutzereingaben mit einem Fehler beim doppelten Parsen kombinierte, was zu einer Remote Code Execution (RCE) führte.
„Dies ist ein kritischer Fehler, der in der Geschichte der Website zum ersten Mal gemeldet wurde. Wir sind dankbar für den Hinweis. Leider hat der Melder nicht nur die Existenz des Fehlers bestätigt, sondern sich anschließend auch noch Zugang zum Server verschafft.“
„Da unbefugter Zugriff auf den Server stattgefunden hat, lässt sich seine Sicherheit nur gewährleisten, indem er komplett gelöscht und neu aufgesetzt wird. Wir müssen außerdem ermitteln, welche Daten abgerufen oder kopiert wurden. Dies wird voraussichtlich mindestens einige Tage dauern“, hatte Barry kurz nach Bekanntwerden des Datenlecks geschrieben.
Zu den offengelegten Daten gehören E-Mail-Adressen und MD5-Passwort-Hashes
Die offengelegten Daten enthielten:
-
E-Mail-Adressen (einschließlich E-Mail-Adressen, die in der Vergangenheit mit dem Konto verknüpft waren)
-
Passwörter: gespeichert als MD5-Hashes, ein altes Protokoll, das nach modernen Standards überholt und unzureichend ist, um die Entschlüsselung in einem Fall wie diesem zu verhindern, in dem ein Angreifer eine Offline-Kopie der Daten besitzen könnte.
-
IP-Adressen, die zum Anmelden verwendet werden
-
Browser-UserAgent-Strings, die zum Anmelden verwendet werden
Telegram-Daten: „Der Angreifer erlangte keinen Zugriff auf den Server, auf dem die Telegram-Daten gespeichert sind, nutzte jedoch einen vorhandenen Zugang aus und versuchte, einen Teil der Daten zu kopieren. Wir halten es für wahrscheinlich, dass einige Inhalte offengelegt wurden“, heißt es weiter in der Mitteilung zum Datenleck.
Im Kontext des Spiels ist ein Telegramm ein internes privates Nachrichtensystem, ähnlich wie E-Mails oder private Nachrichten in Foren.
NationStates gibt an, keine echten Namen, physischen Adressen, Telefonnummern oder Kreditkarteninformationen zu erfassen.
Die Website wird voraussichtlich in zwei bis fünf Tagen wieder online sein. Sobald sie wiederhergestellt ist, können Nutzer ihre Passwörter zurücksetzen und die für ihr Land gespeicherten Daten unter https://www.nationstates.net/page=private_info einsehen.
In der Zwischenzeit hat NationStates den Vorfall den Regierungsbehörden gemeldet und konzentriert sich nun darauf, den Produktionsserver komplett auf neuer Hardware neu aufzubauen, Sicherheitsüberprüfungen und -verbesserungen durchzuführen und die Passwortsicherheit zu erhöhen.