NERDMANRec Room verriet 100.000 Telefonnummern an Angreifer
Jemand hat die Freundefinder-Funktion von Rec Room missbraucht — und systematisch Telefonnummern mit Nutzernamen verknüpft. Hunderttausende Spieler betroffen, die Plattform schließt am 1. Juni sowieso.
Was passiert ist
Ein Angreifer hat per Brute-Force-Attacke die Telefonnummern von Hunderttausenden Rec-Room-Nutzern ihren Online-Identitäten zugeordnet. Die Freundefinder-Funktion sollte eigentlich helfen, Kontakte aus dem Telefonbuch auf der Plattform zu finden. Stattdessen wurde sie zur Datenbank-Maschine umgebaut.
Die Methode
Kein komplizierter Hack. Kein Zero-Day-Exploit. Einfach massenhaft Telefonnummern an die API geschickt und geschaut, welcher Nutzername zurückkommt. Rate-Limiting? Offenbar Fehlanzeige.
Zahlenbox
- 100.000+** — betroffene Nutzer (mindestens)
- 1. Juni 2026** — Rec Room macht dicht
- 0** — bisherige öffentliche Meldungen über den Angriff
Warum das übel ist
Telefonnummer + Online-Identität = echte Zuordnung. Wer auf Rec Room unter Pseudonym unterwegs war — oft Kinder und Jugendliche — ist jetzt mit seiner echten Nummer verknüpft. Das ist ein Doxxing-Katalog auf dem Silbertablett.
💡 Was das bedeutet
Jede App mit einer „Finde deine Freunde"-Funktion hat dasselbe Problem, wenn sie keine Brute-Force-Schutzmaßnahmen einbaut. Rec Room ist kein Einzelfall — es ist ein Symptom. Besonders bitter: Die Plattform hat den Vorfall nie öffentlich gemeldet.
✅ Pro
- Feature war gut gemeint — Freunde finden erleichtert Onboarding
- Rec Room hat den Angriff intern erkannt
❌ Con
- Kein Rate-Limiting auf einer API, die Telefonnummern verarbeitet
- Nie öffentlich kommuniziert
- Plattform schließt — betroffene Nutzer werden nie gewarnt
- Besonders vulnerable Zielgruppe (junge Spieler)