News Hijacking? Unbekannte plündern Diablo-3-Accounts

[Arno Nimus]

@neo-bahamuth:

Danke erstmal für dein Verständnis bzw. Mitgefühl!

Via kostenloser App über Smartphone geht es bei mir nicht, da ich (glaub es oder nicht) keinerlei Handy besitze (schon aus gesundheitlichen Gründen nicht) und mir auch keines dafür zulegen werde. Also bleibt nur das von dir verlinkte Vasco Digipass Go 6, der wohl dem Authenticator entspricht, welcher von Blizzard z.B. bei amazon angeboten wird (für knapp 10 €)

Wenn es damit dann getan ist und der Account damit in Zukunft WIRKLICH absolut sicher ist, sag ich ja nix mehr, aber eigentlich ist das schon ein Unding, dass die Accs überhaupt gehackt werden können und das obwohl keinerlei Infektion durch Trojaner auf meinem System nachweisbar ist und ich somit keine "Schuld" bei mir sehe...

Ich habe jetzt erstmal die e-mail-Adresse und auch das Passwort geändert und warte solange bis mein Authenticator von amazon eingetroffen ist, bis ich wieder weiterspiele. Würde mich nicht wundern, wenn der Acc inzwischen wieder gehackt wird, trotz neuer Loggin-Daten! (ich rechne mit ALLEM!)

Mit dem Fanboytum meinte ich mehr diesen ganzen süffisanten Rechtfertigungen von Leuten, die Bizzard immer kathegorisch in Schutz nehmen und die Schuld nur beim Spieler suchen und sehen, auf den Autheticator hat sich das nicht bezogen! (ich wette, sobald sie selbst mal Opfer von Account-Plünderung werden, ändern sie ganz schnell ihre Meinung!)

Wenn ich den Acc wiederherstellen lasse, würde das bedeuten, dass ich alle Items die geplündert wurden wieder zurückerhalte, inklusive der Sachen im AH-Puffer?

Und was ist mit meiner vom Hijacker getöteten Zauberin? (ich schätze gemäss dem Disclaimer wird die wohl nicht wiederbelebt, denn es dürfte mir schwer fallen, zu beweisen, dass nicht ich sie totgespielt habe!)

Falls ja, wäre das natürlich gut, denn gespielt habe ich die Chars ja seither nicht und werde ich auch nicht (wie auch soll ich mit einem nackigen Barb und einer nackigen Nonne weiterspielen können?!)

 

[Dark_Knight]

Wieso gehst du davon aus, das du keinen Trojaner auf der Platte hast? Der kann da schon seit Monaten liegen, und dementsprechend kann er sich auch vor sämtlichen Programmen verstecken die danach installiert wurden. Ich weiß nicht wie oft du dein System neu aufsetzt. Ich jedenfalls würde nie behaupten ich hätte weder einen Trojaner, noch ein Backdoorprogramm noch einen Keylogger noch sonst ein Schädlingsprogramm nicht auf dem Rechner.
Weiterhin wurden allein in den letzten 12 Monaten doch genügend Seitendatenbanken und Onlinedienstdatenbanken "gehacked". Auch da wurden genügend Daten abgegriffen. Und da nicht jeder User für jede Seite, Spiel, Programm etc. ein anderes PW benutzt, besteht schon allein hier ein riesiges Potential.

Der Auth ist einfach eine zusätzliche Sicherheitsmassnahme, die von Blizzard entweder für Umme oder halt zum Preis von 10€ angeboten wird. Früher hab ich auch gedacht ach brauch ich nicht, bin ja kein DAU. Tja dann hats vor 2-3 Jahren auch mich in WoW erwischt. Danach wurde der Auth beschafft und seitdem hab ich eben mehr Sicherheit. Klar ist, irgendwann kann auch diese Technik umgangen werden. Aber bis dahin ist man eben doch sicherer als ohne.
Diese 10€ sind im Grunde 2 Malboropackungen zu 5€ weniger, jetzt für den Raucher. Oder nen Kasten Bier zu 9,99€ weniger (wenns im Angebot ist ;D ). Ich finde das ist ein guter Tausch, wenn man dafür seinem Hobby mit mehr Sicherheit und weniger Stress/Frust frönnen kann.

Ich finde es gut das Blizzard sowas anbietet. Aber Pflicht ist es nicht. Und jeder darf selber entscheiden:
Mehr Sicherheit für 10€, oder darauf verzichten und hoffen das es einem nie passieren kann.

 

[Arno Nimus]

Wenn der Authentikator...

1.) wirklich soviel mehr Sicherheit bringt und es dadurch (fast) unmöglich wird, einen B-Net 2.0 Account zu hacken und zu plündern und...
2.) Blizzard dadurch weniger Aufwand und somit Kosten hat (das behaupten ja hier im Forum manche) und es somit für sie naheliegend wäre, dass im Sinne der Kundenzufriedenheit und somit letztlich auch des Bewahrens des Images die Leute diese Authentifikatoren benutzen

... dann würden sie ihn in den Packungen aller nicht digitalen Versionen von D3 beilegen und den Leuten dringend raten, ihn auch zu verwenden. Das würde dann ein GANZ anderes Bild vermitteln. Sie liegen aber nichtmal der 90 € teuren Collectors Edition bei, sondern müssen stattdessen gesondert für 10 € erworben werden!

Und was die Trojaner anbelangt: Natürlich kann ich nicht 100%-ig ausschliessen, dass ich nicht eventl. doch einen auf der HDD bzw. SSD habe (obwohl zwei Virenscanner wie gesagt nichts gefunden haben, einer davon wird in einem der grössten und kompetentesten deutschen Anti-Hijacker-Boards immer wieder empfohlen) aber genausowenig kann aus meiner Sicht ausgeschlossen werden, dass das Sicherheitsleck nicht doch bei Blizzard liegt, denn es gab schon mehr als genügend Meldungen von Hacks und Accountplünderungen von Leuten, die gerade erst ein frisches W7 aufgesetzt, einen brandneuen B-Net 2.0 Account eingerichtet und D3 "farbrikneu" installiert hatten und DAS ist dann DOCH schon sehr verdächtig!

 

[Konti]

Das ist ein guter Punkt.
Habe auch nie verstanden, warum die den Authenticator nicht einfach mitliefern.

Trojaner kommen übrigens nicht einfach von selbst auf den Rechner.
In 99,9% der Fälle muss man wirklich als User einen Fehler machen (sich Warez aus unsicheren Quellen laden, dubiose Seiten mit einem veralteten Browser besuchen, Links in offensichtlich verseuchten eMails anklicken, etc.).
Nur in ganz seltenen Fällen gibt's mal wirklich Würmer, die Sicherheitslücken des OS ausnutzen, und nur ganz selten passiert es, daß man eine eigentlich seriöse Seite betritt, die jedoch kurz zuvor gehackt und mit Schadcode beladen wurde (und auch dann bedarf es noch Sicherheitslückem im Browser).

Die Sicherheitslücke liegt mit an Sicherheit grenzender Wahrscheinlichkeit bei Blizzard!
Und auch wenn der Authenticator offensichtlich hilft, sollten die diese Lücke mal schleunigst schließen.

 

[aranax]

Die Sicherheitslücke liegt mit an Sicherheit grenzender Wahrscheinlichkeit bei Blizzard!

Möglichkeiten:
-Trojaner per Trainer, Maphack o.ä
-Trojaner per kompromitierter Fansite
-Phishing (ist z.b. OnlineBanking auch NIEMAND drauf reingefallen)
-gehackte (oder selbst betriebene) Fansite mit gleichen Anmeldedaten (gibt bestimmt sogar Leute, die sich auf Goldseller Seiten mit den gleichen Daten anmelden...)
-und vielleicht noch idiotische Passwörter (glaub ich aber nicht wirklich dran, dass etwas erraten wird)
(- ominöses Sicherheitsleck irgendwie bei Blizzard)

Nur weil nen Account jetzt erst kompromitiert wird, muss der ja auch nicht gerade jetzt erst gehackt worden sein. Die warten auf ne Goldbestellung und dann schnell die Menge zusammensammeln. Dann braucht man auch kein D3 kaufen, dass vermutlich bald gebannt wird. Mit dem kompromitierten Account kann man dann gleich noch Goldwerbung in rumspammen.

Wer Gold kauft, sponsort die Account"hacks".

Blizzard hat im Gegensatz zu allen SupaDupaMega-IT-Sicherheitsexperten™ auch Logfiles in denen wohl nicht nur Unfug drinsteht. Bei ner einfachen Authentifizierung per Email+Passwort muss man da halt höllisch auf seine Zugangsdaten aufpassen.

-aranax

p.s. Kann ja mal jemand ausrechnen, was von den 10€ für den Authentifikator nach Steuern, Händlermarge, Porto und Verpackung usw. noch übrig bleibt. Davon abgesehen dürften 90% der D3 Zielgruppe nen unterstütztes Handy haben. Alternativ könnte man den Authentifikator auch einfach in ner VM laufen lassen.

p.p.s. Wer auf seine Zugangsdaten nicht aufpassen kann, muss halt nen Authentifikator benutzen. Bei 6 Mio+ verkauften Exemplaren dürften die 2€ pro Authentificator verdammt teuer sein (verglichen mit den restlichen Rroduktionskosten für den physischen Teil). und das alles für nen "paar" kompromitierte Accounts.

 

[Doom Squirrel]

...direkt am Tag der News, dass die D3-Acc gehackt wurden, habe ich den Auth. auf meinem WP7-Phone aktiviert und Passwort geändert. Bin bisher verschont geblieben. Oder mein Char ist einfach nur uninteressant. Who knows.

 

[Konti]

Möglichkeiten:
-Trojaner per Trainer, Maphack o.ä
-Trojaner per kompromitierter Fansite
-Phishing (ist z.b. OnlineBanking auch NIEMAND drauf reingefallen)
-gehackte (oder selbst betriebene) Fansite mit gleichen Anmeldedaten (gibt bestimmt sogar Leute, die sich auf Goldseller Seiten mit den gleichen Daten anmelden...)
-und vielleicht noch idiotische Passwörter (glaub ich aber nicht wirklich dran, dass etwas erraten wird)
(- ominöses Sicherheitsleck irgendwie bei Blizzard)

Sag ich ja, man muss schon sehr dämlich sein.
Bei der Menge an Usern (und zum Teil kann man anhand der sonstigen Forenaktivitäten davon ausgehen, daß nicht jeder von denen saudumm ist) ist es ziemlich unwahrscheinlich, daß die ALLE auf Phishing reingefallen sind, oder sich Warez/Trainer/Hacks gesaugt haben.

Es ist -wie ich bereits schrieb- auch unwahrscheinlich, daß es eine Trojaner-Quelle auf einer gehackten Fan-Seite gibt. Erstens ist es unwahrscheinlich, daß das die ganze Zeit niemandem aufgefallen wäre. Zweitens müssten die Hacker dazu einerseits erstmal die Seite übernehmen und dann noch entsprechende Sicherheitslücken in Browsern kennen, die ausgenutzt werden könnten.
Drittens ist es außerdem unwahrscheinlich, daß bis heute noch immer niemand diesen ominösen Trojaner ausfindig machen konnte. Von dem fehlt ja bislang jede Spur.

Da ist es doch deutlich wahrscheinlicher, daß es ein Sicherheitsleck bei Blizzard gibt.

 

[Hans-Uwe]

-Trojaner per Trainer, Maphack o.ä
-Trojaner per kompromitierter Fansite
-Phishing (ist z.b. OnlineBanking auch NIEMAND drauf reingefallen)
-gehackte (oder selbst betriebene) Fansite mit gleichen Anmeldedaten (gibt bestimmt sogar Leute, die sich auf Goldseller Seiten mit den gleichen Daten anmelden...)
-und vielleicht noch idiotische Passwörter (glaub ich aber nicht wirklich dran, dass etwas erraten wird)
(- ominöses Sicherheitsleck irgendwie bei Blizzard)

Kein Hack, keine Fanseiten, kein Trojaner, kein idiotisches Passwort, nicht die Kombination irgendwo anders verwendet, nicht im Forum gepostet und nur paar mal nach dem Release in öffentlichen Spielen gespielt. Aber sicher liegt der Fehler bei mir. In 20 Jahren keinen Virus oder Trojaner, aber meinen lausigen D3-Account mit glatten 3000 Gold hacken sie xD

Ich muss ehrlich sein ich habe von den ersten Meldungen von Hacks nur drauf gewartet das ich mich irgendwann zu einem nacktem Char einlogge.

Anfrage bei Amazon bzgl. Rückgabe läuft.

 

[Arno Nimus]

Wer Gold kauft, sponsort die Account"hacks".

Klar, das stimmt absolut!

Das ganze Übel kommt von jenen, die bereit sind, für Gold und Items echtes Geld zu bezahlen. Durch jene sind die Gold-Farming-Szene und die Itemshops überhaupt erst entstanden und zu dem geworden was sie jetzt mittlerweile sind (von D2 über Wow bis hin zu D3) Ist halt eine Sache von Nachfrage und Angebot! (wenn niemand auf der Welt mehr kokst, gibt es auch keine Kokainfelder mehr, wo arme Bauern gezwungen werden oder sind, Drogen anzubauen!)

Die Echtgeldspieler sind also jene, welche die Spiele zerstören (nicht nur Account-Plünderung, sondern auch Lags, Duping, Maphacking, Botting und Werbespamming gehen auf ihre Kappe!)

Von deiner Möglichkeiten-Liste oben habe ich nichts gemacht (ausser vielleicht unbewusst eine verseuchte Fanpage zu besuchen, da bin ich nicht 100%-ig sicher und will dafür nicht die Hand ins Feuer legen) und Echtgeldzahlungen in Spielen lehne ich aus Prinzip und Überzeugung ab! (ich hasse jede Art von Cheaten und Echtgeldhandel hat in meinem Augen in einem Spiel nichts verloren. Der Grund steht ja einen Absatz weiter oben, mal abgesehen davon, dass man sich damit den Spielspass eh selbst verdirbt, weil man sich der Herausforderung beraubt, die das Spiel bietet, wenn man es richtig spielt, so wie es eigentlich vorgesehen ist!)

Dass die Zugangsdaten schon früher geloggt worden sein könnten (zu SC 2 Zeiten etwa, in der Zeit seit das Spiel erschienen ist) wäre natürlich durchaus möglich. Ich hätte das PW öfters ändern sollen, wahrscheinlich war das mein grösster Fehler!)

 

[DonConto]

Sie (Blizzard) nötigen einem einen Onlinezwang auf, zu dem es keine Alternative mehr gibt und können dann nichtmal die Sicherheit der Accounts gewährleisten! (ebenso wie kontinuierlich stabil + zuverlässig laufende Server!)

Dass die Zugangsdaten schon früher geloggt worden sein könnten (zu SC 2 Zeiten etwa, in der Zeit seit das Spiel erschienen ist) wäre natürlich durchaus möglich. Ich hätte das PW öfters ändern sollen, wahrscheinlich war das mein grösster Fehler!)

Merkst du was? Deine Versäumnisse schiebst du dem Hersteller in die Schuhe. DU bist nicht in der Lage deinen Account sicher zu halten. Dazu gehört nunmal das Ändern des Passworts in regelmässigen Abständen. Da hättest du dir die 3 Seiten Wall of Text sparen können. Kein Authenticator, Passwort seit Ewigkeiten nicht geändert, nicht auszuschliessen, dass in der langen Zeit dein System kompromittiert wurde. Nimm's nicht persönlich, aber man muss sich da einfach mal an die eigene Nase fassen.

Ich bin sicher, dass die Angreifer von allen gehackten Accounts die Logindaten hatten. Wie auch immer das passiert ist. Was glaubst du wieviele Leute z.B. hier im Forum und auf der Battlenet Seite die gleichen Login Daten verwenden? Ich glaube danach würde uns nichts mehr wundern. Das hat dann kaum mehr etwas mit hacken zu tun. Solche Battlenet Account Listen mit Username+Passwort kannst du sicher für ein paar Kröten beim Chinesen um die Ecke kaufen. Dagegen hilft dann nur regelmässig Passwort ändern und Authenticator benutzen (den du ja auch nicht hattest und damit quasi den schwarzen Peter hast).

Der Authenticator ist entweder umsonst oder kostet 10 Euro. Womit Blizzard wahrscheinlich nichtmal einen Gewinn macht. Wieso sollten sie auch? Ich denke sowas kann sich jeder leisten, der einen PC, Internet und original Spiele hat. Ich finde es auch gut, dass der Authenticator nicht jedem Spiel dabei liegt. So hat jeder Käufer die Wahl. Entweder per kostenloser App oder als Token oder eben überhaupt keinen. Als Beilage müssten das Ding alle zahlen. Das ist auch nicht gerecht.

Die Sicherheit deines Accounts steigt durch den Authenticator mehr als deutlich. Er ist damit besser geschützt als mit jedem noch so komplexen Passwort. Aber das wichtigste an der Sache ist: Wenn etwas passiert, hat Blizzard den schwarzen Peter. Und dann haben die ein Problem. Denn solange du keinen Authenticator hast, zeigen sie mit dem Finger auf dich.

1. Kauft / ladet auch den Authenticator
2. Benutzt eine Mailadresse für den Battlenet Account, die ihr NUR und AUSSCHLIESSLICH für das Battlenet benutzt
3. Nehmt ein gutes Passwort (mind. 8 Zeichen, Zahlen und Sonderzeichen), hier gilt auch: NUR und AUSSCHLIESSLICH für das Battlenet benutzen
4. Ändert das Passwort alle 3 Monate.
5. Haltet euer System sauber. Ladet nicht jeden Scheiss aus dem Netz. NoCD Cracks, irgendwelche Sharewares die keiner kennt etc.

My 2 Cents

 

[Doom Squirrel]

Merkst du was? Deine Versäumnisse schiebst du dem Hersteller in die Schuhe. DU bist nicht in der Lage deinen Account sicher zu halten. Dazu gehört nunmal das Ändern des Passworts in regelmässigen Abständen. Da hättest du dir die 3 Seiten Wall of Text sparen können. Kein Authenticator, Passwort seit Ewigkeiten nicht geändert, nicht auszuschliessen, dass in der langen Zeit dein System kompromittiert wurde. Nimm's nicht persönlich, aber man muss sich da einfach mal an die eigene Nase fassen.
[...]

Umsonst schriebst Du deine Zeilen, denn "er" und seine "Vasallen" haben sich längst auf Blizzard eingeschossen.

Ich habe einen frischen Battle.NET-Acc, denn zuvor hatte ich keins, weder für WoW noch anderes Blizzard-Game. Nach Bekanntwerden der News, dass die Accounts gehackt sind, habe ich sofort den Auth. aktiviert. Ich bin gespannt, wann es mich erwischt. Nein, ob's mich überhaupt erwischt.

 

[::1]

3. Nehmt ein gutes Passwort (8 Zeichen, Zahlen und Sonderzeichen), hier gilt auch: NUR und AUSSCHLIESSLICH für das Battlenet benutzen

warum nur 8 zeichen? das bnet unterstützt afaik 16 stellen... lieber eins ohne sonderzeichen/zahlen, dafür eins mit allen 16 möglichen stellen!

 

[hrafnagaldr]

Der erste Fehler ist ohnehin schon, die genaue Anzahl der Stellen seines Passwortes zu nennen *g*

 

[fluffy13]

Gibt es hier eigentlich nun jemanden der definitiv vorm Hack ein Authenticator benutzt hat?

 

[Dark_Knight]

Warum sollte Blizzard jedem Spiel das sie rausbringen einen Auth beilegen? Immerhin schützt 1 Auth. ja den kompletten B.net Account und somit alle Spiele die man in diesem registriert hat. Was bei mir dann: Diablo2+Add-on Warcraft 3, Starcraft 2, WoW+ alle Add-ons, Diablo3 sind. Wenn Blizzard jetzt bei jedem dieser Spiele nen Auth beigelegt hätte, wären das allein für WoW schon 4 Auths.

Nen bisschen Nachdenken wäre nicht schlecht bevor man unpraktische Sachen fordert.

 

[::1]

Der erste Fehler ist ohnehin schon, die genaue Anzahl der Stellen seines Passwortes zu nennen *g*

nö... da jeder die 16 stellen nutzen KANN muss ich diese eh voll berechnen lassen... dass ich deine 8 stellen vor meinen 16 stellen knacke sollte jedem klar sein

 

[svenie25]

Activison macht mit jedem verkauften Authenticator also Nasse? Ich dachte, es sei ein gewinnorientiertes Unternehmen, wie immer so gern behauptet wird. (Man schaue auch in den Thread bzgl. der Razzia in Korea)
Vllt sollten sie sich erstmal drum kümmern, dass die Passwörter für das Battlenet auch case sensitive sind.

Momentan seh ich ehr die Probleme auf seitens Activision.

 

[::1]

und was bringen casesensitive passwörter? so gut wie nichts!

 

[Doom Squirrel]

[...]

Momentan seh ich ehr die Probleme auf seitens Activision.

Natürlich. Es sind immer die anderen schuld. Immer!

 

[fluffy13]

Also solange hier keiner definitiv schreibt dass sein Account inkl. Nutzung des Authenticators gehackt wurde, muss ich annehmen, dass diese Accounts durch Eigenverschulden komprimitiert wurden. Das geht schon bei Passwörtern los, die zb. auch woanders genutzt werden, Passwörter wie Name+Geburtstag,
Nutzung von Cracks, nicht geupdatete System, usw.
Ich habe soeben Java 7 installiert und 6 deinstalliert. Es gibt Berichte, dass komprimitierte Systeme oft noch Java 6 benutzen (evtl. unentdeckte Sicherheitslücke?). Achja, ich nutze den Authenticator nun bei jedem Login, kann man in den Einstellungen so einstellen im Battenet.
Das sollte meinen Account absichern.
All diese Fakten würde ich überdenken, wenn mein Account nun trotzdem Opfer eines Zugriffs würde.