• Mitspieler gesucht? Du willst dich locker mit der Community austauschen? Schau gerne auf unserem ComputerBase Discord vorbei!

News Hijacking? Unbekannte plündern Diablo-3-Accounts

Mich hats heute auch erwischt.
Logge mich voller Vofreude mit meinem Dämonenjäger Stufe 51 ein und musste mich Erschrecken feststellen, dass all mein Hab und Gut samt Gold weg ist. Schöne Scheiße, für heute hats mir definitiv die Lust geraubt.... -.-
 
Bei mir war es gestern auch soweit. Es wurde aber nur ein Lowlevel Char sowie die Truhe geplündert. Schon komisch. Ich hatte plötzlich einen Acc in der Friendlist den ich ausdrücklich nicht bestätigt habe. Der hat dann wahrscheinlich den zuletzt gespielten Char leergeräumt.

Nach ein wenig Recherche: Das ganze soll durch einen Exploit in der alten Java Version 6 (direkt auf dem System und als Firefox Plugin/ Addon) möglich sein bzw verursacht werden. Nach einem Scan hatte ich dann auch zwei Meldungen in temporär abgelegten Javadatein im Firefox Chache. Der D3 Launcher ist übrigens in Java gecodet. Ein Schelm wer einen Zusammenhang vermutet.

Wie genau die belasteten Dateien auf meinen Rechner kamen weiß ich nicht. Ich nutze Microsoft Security Essentials, keinen Authenticator und hatte zu dem Zeitpunkt kein Item im Auktionshaus. Ich wüßte auch nicht welche Website ich besucht haben sollte die fehlerhafte Java Dateien verteilt.

Gruß,
ig0r
 
Rain schrieb:
Ich und mein Kumpel haben keinen Authenticator. Ich habe leider kein internetfähiges Handy und 10€ für Sicherheit zu bezahlen (für ein schon bezahltes Produkt) grenzt für mich an Verhöhnung. Ich frage mich echt, warum man nicht mal ne, sorry, beschissene E-Mail senden kann, um einen Rechner zu authentifizieren der noch nicht "Safe" ist... ne, lieber Authentificator und noch ma Geld dalassen.

Zudem das Drecksding wohl auch bloß nicht viel bringt:

http://us.battle.net/d3/en/forum/top...9008932?page=1


Hi all,

Just got hacked with an authenticator. Blizz told me they haven't detected any suspicious activity. All my items and gold are gone. Diablo = 0/10.



Sry für Schimpfwörter, nervt einfach nur, zudem ich über Nacht beten kann, dass meine Items morgen noch da sind.. -.-

Dann aber bitte auch das Ende des Threads posten... wurde von einem CM geschlossen mit den Worten
Hi Turtle. According to your account records an authenticator was not attached to the account until after the compromise. If you'd like to discuss further, or have any questions, please contact our customer service department: https://us.battle.net/support/en/ticket/submit
 
Zuletzt bearbeitet:
tja, wem glaubt man jetzt mehr.. dem der sagt, er hat einen auth. und wurde gehackt oder einem blizzardmitarbeiter, der versucht den wind aus den segeln zu nehmen? mir geht es vorrangig darum, ob ich 10€ für etwas investiere, was sich am ende eh nicht lohnt, weil man damit trotzdem gehackt werden kann. und jede "ich wurde trotz auth. gehackt"-meldung/-thread hilft mir bei meiner entscheidung.
 
Und jede "Ich bin ohne Seil vom Eifelturm gesprungen und habe überlebt"-Meldung gibt dir mehr Mut vom Eifelturm zu springen? Es gibt Apps für Android, iOS und WP. Entweder du nutzt diese falls möglich oder wenn du mehr Sicherheit haben willst, musst du die 10 € investieren.

Alles andere wurde ja schon gesagt...
 
In Zeiten in denen "Handy Orgasmus" auf Platz 19 der kostenlosen Apps ist, würde ich nicht davon ausgehen, dass der Mobile Authenticator bei bestimmten Usern eine so gute Idee ist. Will sagen: Die Leute installieren sich jeden noch so großen Scheiß ohne auch nur eine Sekunde über die Sicherheit ihrer Geräte nachzudenken. Und wenn dann was passiert sind die anderen Schuld. Jaja, ist klar.
 
Hm,

es hat mich scheinbar auch erwischt, da ich nicht auf den europäischen Server kam probierte ich den amerikanischen aus, da kam eine nette Meldung von wegen Zugriff von Fremden. Habe dann den Account entsperrt und PW geändert, prüfen was passiert ist kann ich wegen der Serverprobleme aber nicht :(
 
Yuuri schrieb:
Entweder du nutzt diese falls möglich oder wenn du mehr Sicherheit haben willst, musst du die 10 € investieren.

Einer Firma die es nicht mal hinbekommt das Passwörter casesensitiv sind noch 10€ in den Rachen zu werfen für "zusätzliche Sicherheit" ist schon sehr Grenzwertig...

Sorry... aber wenn ich sowas in meinem Job abliefern würde hätte ich ne Menge Ärger an der Backe...
 
Jesterfox schrieb:
Einer Firma die es nicht mal hinbekommt das Passwörter casesensitiv sind noch 10€ in den Rachen zu werfen für "zusätzliche Sicherheit" ist schon sehr Grenzwertig...
Bleiben immer noch mindestens 79 unterschiedliche Zeichen übrig und 16 Stellen gesamt.
 
Die Frage ist doch weshalb die so nen Scheiß treiben? Ich mein... das passiert ja nicht zufällig... und wenn doch arbeiten bei denen derart unfähige Idioten das man sich über nichts wundern darf...
Ergänzung ()

PS: und falls die Antwort "Verhinderung von SQL-Injection" oder so ist gilt Erstgenanntes ebenfalls...
 
Jesterfox schrieb:
Einer Firma die es nicht mal hinbekommt das Passwörter casesensitiv sind noch 10€ in den Rachen zu werfen für "zusätzliche Sicherheit" ist schon sehr Grenzwertig...

Als ob das irgendnen Unterschied macht, wenn der User sich phishen lässt oder gar nen Keylogger einfängt...

Ich vermute einfach mal, dass case-sensitive Passwörter zu erhöhtem Supportaufwand führen, da zig Idioten CapsLock anmachen und das Passwort plötzlich falsch ist... Beim Online-Banking genügt ne 4-stellige (Zahlen)PIN für mindestens Leserechte...

-aranax
 
aranax schrieb:
Als ob das irgendnen Unterschied macht, wenn der User sich phishen lässt oder gar nen Keylogger einfängt...

Du musst das so sehen. Wenn man nichts mehr findet, sucht man sich eben solche schwachen Argumente um anderen klar zu machen, wie inkompetent die Firma ist.

aranax schrieb:
Beim Online-Banking genügt ne 4-stellige (Zahlen)PIN für mindestens Leserechte...

Bei meiner Bank nicht ;-) Die hätte gern zwei 6-stellige Pins. Eine, die du über die Tastatur eingibst und eine, die du mit der Maus zusammenklickst.
 
@aranax: Dafuer reicht es, ein fettes rotes Popup zu bringen, wenn Capslock bei der Passworteingabe aktiv ist. Aber nicht die Passwoerter Caseinsensitiv zu machen! Wie kann man das nur als Feature sehen????
 
besorgt euch den authenticator, dann könnt ihr auch ein einstelliges passwort haben :)
 
Ich glaube niemand hat es als Feature bezeichnen aber manche Leute suchen nach wirklich jedem Strohhalm um Blizzard-Bashing zu betreiben.
 
Ich scheine Glück gehabt zu haben, entweder kamen die nicht rein oder mein Barbar Stufe 38 zu dem Zeitpunkt war zu schlecht.:D

Zum Authenticator ist zu sagen das ich es nicht einsehe zusätzlich zu den Spielen Geld auszugeben damit Blizzard einen sicheren Zugang erstellt, der übrigens nicht so sicher ist wie die meisten denken. ;)

Mich würde interessieren wie die Leute es schaffen den Account zu stehlen, ich habe mir kein Tool für Diablo 3 installiert und wäre damit auch nicht wirklich anfällig.
 
@hatecore
den authenticator gibts auch kostenlos (für android, ios, windows mobile, ...)
 
Was ich gehoert habe ist der Authenticator ja nutzlos. Dank Sicherheitsluecke wird doch immer der zuletzt gespielte Char ausgeraeumt. Haetten die den ganzen Account gehackt, wurden sie nicht nur einen Lowlevelchar ausraeumen, sondern auch die 3 anderen 60er Chars.
 
du meinst die sicherheitslücke die für das session hijacking verantwortlich ist und auf java6 setzt?
 
Ulukay schrieb:
Dank Sicherheitsluecke wird doch immer der zuletzt gespielte Char ausgeraeumt. Haetten die den ganzen Account gehackt, wurden sie nicht nur einen Lowlevelchar ausraeumen, sondern auch die 3 anderen 60er Chars.
Warum gibts dann aber auch Passwortänderungen?
Ulukay schrieb:
Was ich gehoert habe ist der Authenticator ja nutzlos.
Es gibt bis dato keinen Fall, wo der Authenticator vorher registriert war und der Account/Char weg war.
 
Zurück
Oben