NVIDIA hat eine GeForce NOW-Datenpanne bestätigt, die seinen armenischen Regionalpartner GFN.am betrifft: Ein Angreifer, der vermutlich ein ShinyHunters-Imitator ist, hat gestohlene Nutzerdaten in einem Hackerforum veröffentlicht. Von der Panne sind Nutzerdaten betroffen, die vor dem 9. März 2026 registriert wurden. Die Kompromittierung beschränkt sich vollständig auf die Infrastruktur eines Drittanbieters. NVIDIA betont, dass das eigene globale Unternehmensnetzwerk nicht beeinträchtigt wurde.
Was geschah beim GeForce NOW-Datenleck?
Zwischen dem 20. und 26. März 2026 drangen Cyberkriminelle in die internen Systeme von GFN.am ein - dem regionalen Betreiber von NVIDIAs Cloud-Gaming-Dienst GeForce NOW in Armenien. Der Angreifer veröffentlichte unter dem Pseudonym ShinyHunters die angeblich gestohlenen Millionen von Nutzerdatensätzen und bot die vollständige Datenbank für 100.000 US-Dollar in Bitcoin oder Monero zum Kauf an. Unabhängige Sicherheitsforscher vermuten, dass es sich um einen Imitator handelt, der sich als das bekannte ShinyHunters-Kollektiv ausgab.
NVIDIA reagierte mit einer offiziellen Stellungnahme gegenüber BleepingComputer:
Der ursprüngliche Beitrag im Hackerforum wurde inzwischen entfernt. Ob die Datenbank verkauft, vom Verkäufer gelöscht oder von den Forumsadministratoren entfernt wurde, ist weiterhin unklar.
Welche Nutzerdaten wurden kompromittiert?
Die GFN.am-Geschäftsführung hat offiziell bestätigt, dass folgende personenbezogene Daten offengelegt wurden:
- Vollständiger Name - wenn das Gaming-Konto mit einem Google-Konto verknüpft war
- E-Mail-Adresse - für alle betroffenen registrierten Nutzer
- Telefonnummer - für Nutzer, die sich über einen Mobilfunkanbieter registriert haben
- Geburtsdatum
- Benutzername
- Mitgliedschaftsstatus und 2FA/TOTP-Sicherheitsstatus
Wer ist vom GFN.am-Angriff betroffen?
Die bestätigten Auswirkungen beschränken sich auf Armenien. NVIDIAs offizielle Hilfsdokumentation zeigt jedoch, dass GFN.am auch als GeForce NOW Alliance-Betreiber für Aserbaidschan, Georgien, Kasachstan, Moldawien, die Ukraine und Usbekistan fungiert. NVIDIA hat noch nicht klargestellt, ob Nutzerdaten aus diesen Nachbarländern auf den kompromittierten armenischen Servern gespeichert waren. Wer sich vor dem 9. März 2026 bei GFN.am registriert hat, sollte seine Kontodaten als potenziell kompromittiert betrachten, bis er eine offizielle Benachrichtigung erhält.
Supply-Chain-Angriffe: Ein wachsendes Risiko für Cloud-Gaming
Dieser Vorfall verdeutlicht ein systemisches Risikomuster bei Cloud-Gaming-Plattformen und globalen Tech-Diensten. Regionale Alliance-Partner betreiben in der Regel unabhängige Authentifizierungssysteme, verwalten lokale Kundendatenbanken und pflegen eine lokalisierte Serverinfrastruktur. Diese Drittanbieter-Umgebungen entsprechen häufig nicht den strengen Sicherheitsstandards des Mutterunternehmens.
Ein erfolgreicher Angriff auf einen Regionalpartner erfordert keinen komplexen Einbruch in NVIDIAs hochgesichertes globales Netzwerk - Angreifer müssen lediglich ein einziges schwaches Glied in der Lieferkette finden. Das Alliance-Geschäftsmodell, das den täglichen Betrieb an lokale IT-Dienstleister auf Wachstumsmärkten delegiert, schafft genau diese Art von isolierten, schlecht überwachten Angriffsflächen.
Ähnliche Datenpannen über Drittanbieter gab es auch bei anderen großen Plattformen: der Europa.eu-Hack, die ADT-Datenpanne (5,5 Millionen Betroffene) und der Vimeo/Anodot-Vorfall folgten alle demselben Muster - ein Partner wird kompromittiert, die Kernmarke bleibt unberührt, aber echte Nutzer sind von einer echten Datenoffenlegung betroffen.
Aktionsplan: Was betroffene Nutzer jetzt tun sollten
Auch wenn Passwörter nicht kompromittiert wurden, ist die gestohlene Kombination aus vollständigem Namen, E-Mail, Telefonnummer und Geburtsdatum für Identitätsdiebe äußerst wertvoll. Kriminelle nutzen genau diese Kombination für gezielte Phishing- und Social-Engineering-Angriffe. Ergreifen Sie sofort folgende Schutzmaßnahmen:
- Achten Sie auf gezielte Phishing-E-Mails: Angreifer kennen Ihren Namen und Ihre E-Mail - rechnen Sie mit überzeugend wirkenden Nachrichten, die vorgeben, vom NVIDIA-Kundendienst, GFN.am oder Ihrem Geldinstitut zu stammen.
- Aktivieren Sie überall 2FA: Richten Sie die Zwei-Faktor-Authentifizierung (über eine Authenticator-App, nicht per SMS) in Ihrem GFN.am-Konto und in allen Konten ein, die dieselbe E-Mail-Adresse verwenden.
- Überwachen Sie Kontoübernahmeversuche: Achten Sie auf unerwartete Kennwortrücksetzanfragen, verdächtige Anmeldewarnungen oder unbekannte Geräteanmeldungen.
- Seien Sie wachsam bei Ihrem Mobilgerät: Mit Ihrer gestohlenen Telefonnummer drohen SIM-Swap-Betrug und verdächtige SMS-Links von unbekannten Absendern.
- Verwenden Sie ein einzigartiges, starkes Passwort: Aktualisieren Sie Ihr GFN.am-Passwort sofort für den Fall, dass weitere Datenbankanalysen zusätzlich kompromittierte Daten aufdecken.
- Prüfen Sie HaveIBeenPwned: Überwachen Sie regelmäßig haveibeenpwned.com, um zu erfahren, ob Ihre E-Mail-Adresse in zukünftigen Datenbankdumps im Zusammenhang mit dieser Datenpanne auftaucht.
Warum dies für VPN-Nutzer und Online-Privatsphäre relevant ist
Die GeForce NOW-Datenpanne erinnert uns eindringlich daran, dass selbst datenschutzbewusste Nutzer mit guten Sicherheitsgewohnheiten gefährdet bleiben, wenn ein Regionalpartner keinen ausreichenden Datenschutz gewährleistet. Die gestohlenen Informationen sind genau das, was Cyberkriminelle benötigen, um Sicherheitsfragen zu umgehen oder Sie gegenüber Diensten zu imitieren.
Zwar schützt ein VPN nicht vor serverseitigen Datenpannen wie dieser, bleibt aber eine wichtige Schutzschicht. Ein seriöses VPN ohne Protokollierung hilft, den digitalen Fußabdruck zu minimieren, die echte IP-Adresse vor Regionalbetreibern zu verbergen und zu verhindern, dass der Internetanbieter Ihre Gaming-Gewohnheiten verfolgt. Indem Sie die an Drittdienste übermittelten Metadaten reduzieren, begrenzen Sie den Schaden, wenn diese Dienste kompromittiert werden.
