News Hijacking? Unbekannte plündern Diablo-3-Accounts

[Suito]

Mir kamm grade eine Idee die dafür verantwortlich sein könnte, bzw der ich als erstes nachgehen würde.

Öffentliches Spiel erstellen, einen Char beim eintritt Scannen, dann die SessionID kapern und damit ein neues Spiel aufmachen. Vermutlich hat man dann genau den Char der dem Öffentlichen Spiel gejoint ist. Dann lockt sich ein Kumpel ein, zieht alles auf seinen Char, Gold und Items. Alles wird zu Gold gemacht und dann via AH für überteuerte Aktionen gewaschen.

Klingt so einfach das es wahrscheinlich sogar so Funktioniert...

Müsst man nur Rausfinden ob betroffene Personen was gemeinsam haben (Chat, Freundschaftsanfrage, öffentliches Spiel) dann sollte sich die Ursache eingrenzen lassen.

 

[Cool Master]

Ich werfe mal den Blizzard Authenticator in die Runde

Als Smartphone App Kostenlos, als Hardware glaube ich 5 € oder so einmalig + Versand. Ich habe ihn mir geholt für mein Account selbst wenn ein Hacker mein Accountname und PW kennt kommt er nicht in mein Account rein

 

[Xetoxyc]

Wieviele von den leuten mit Auth. haben auch einen Diablo III guide auf ihrem Smartphone ?
vermutlich 90% der "gehackten"

Es sind immer die gleichen "dummys" die gehackt werden

 

[Suito]

Und wir stellen fest das Cool Master den Beitrag nicht gelesen oder verstanden hat, in dem Falle bringt dir der Authenticator nicht wirklich viel ;-)

 

[Xetoxyc]

@Baio da bin ich mir immernoch nicht sicher... ob da ein Auth. wirklich ncihts bringt...
du kannst auch auf deinem Handy Trojaner haben ... die "einfach" deinen deinen Auth. öffnen und crawlen

und wer nen guide aufm handy hat hat in warsch. auch aufm PC
bin mir fast 100% sicher das es Fische/Trojaner sind

 

[davidzo]

Blizzard = noobs


Seit wann gibt es Public key Infrastruktur, wieso muss man noch auf Enigma-technik zurückgreifen wenn eine eindeutig bessere Lösung existiert? Bei dem wenigen traffic eines games wäre es ein leichtes den Traffic auch voll zu verschlüsseln mit einem modernen multicorerechner, vermutlich will man sich aber die serverhardware auf der gegenseite sparen. - Looser

mit PKI wäre zumindest sichergestellt das Sender und Empfänger echt sind, da kommt niemand über einen Seitenweg rein und da braucht man keine Sessionid!

Und selbst um den Router disconnect zu übergehen könnte man einen aktiven handshake einführen (der user stellt die uhrzeit des disconnects selber ein).

 

[Suito]

Wieviele von den leuten mit Auth. haben auch einen Diablo III guide auf ihrem Smartphone ?
vermutlich 90% der "gehackten"

Es sind immer die gleichen "dummys" die gehackt werden

Kann ausgeschlossen werden, da Apps nicht auf Apps zugreifen dürfen, auser das Telefon ist gerootet bzw. gejailbreakt, und wer das macht sollte auch so schlau sein nicht jeder App alle Berechtigungen zu geben ;-)

Edit: Ich vermute 2 Sachen, entweder ein Trojaner welcher die Session ID mitsnifft, oder es gibt wirklich ein Chat/öffentliches Game leak wo man an benötigte daten kommt. Ich vermute immer noch 1. schliesse aber aus meiner Online Erfahrung zweiteres auch nicht aus

 

[exuser0815]

@Baio da bin ich mir immernoch nicht sicher... ob da ein Auth. wirklich ncihts bringt...
du kannst auch auf deinem Handy Trojaner haben ... die "einfach" deinen deinen Auth. öffnen und crawlen

und wer nen guide aufm handy hat hat in warsch. auch aufm PC
bin mir fast 100% sicher das es Fische/Trojaner sind

dann waere aber der gesamte account leer, und nicht nur der zuletzt gespielte char

 

[Xetoxyc]

Es gibt fälle mit einem Char was auf Session ID deutet da würd ein Trojaner am PC ausreichen

was ich so mitbekommen hab sind die mit Auth. komplett leer

 

[xFumanchu]

@XFumanchu: Wie lässt sich das so schnell sicher ausschließen. Als Blizzard Support würde ich diese Vermutung auch erstmal unter Vorbehalt äußern, um Druck aus der Debatte zu nehmen. Dazu die Anmerkung "aber wie überprüfen ob es eine Solche Lücke doch geben könnte". Quelle?

Bisher gibt es einfach keine Beweise und Fakten zu dieser angeblichen Lücke.

Verstehe deswegen die Aufregung nicht? Das CB ein Artikel postet der auf Spekulationen und Gerüchten beruht, ist schade.

 

[TnTDynamite]

90% wohl nicht, aber dass sicher welche darunter waren, wirft, wie schon mehrfach geschrieben, den Authentificator um. Wurde aber schon oft genug geschrieben, auch im Artikel selbst, warum der hier nicht hilft.

@Xetoxyc: 1. Sollte nicht, ist es aber in einigen Regionen Deutschland leider immer noch so. Das ist aber eher ein Problem der deutschen Regierung, nicht das von Blizzard.
2. Bringt es die von mir genannten Nachteile mit sich. Ich habe ja aber selbst geschrieben, warum ich Blizzards Entscheidung verstehe.

Dass CB ein Artikel um ein weit verbreitetes Gerücht bringt, ist ja wohl eher die Regel als die Ausnahme. Hat wie auch die Online-Zwang-Geschichte um DIII, nahelegende wirtschaftliche Gründe. Jede DIII News bringt wohl 10 mal so viele Leser, wie Fakten über nen neuen WLAN-Standard. Was man für sich davon hält, ist ne andere Frage, aber wir schreiben beide schließlich auch in diesem Thread


Edit: Ich will aber keinesfalls behaupten, dass ich es nicht für gut möglich halte, dass die Sicherheitslücke doch der schlampige Umgang der Spieler mit ihren Accountdaten ist. Bei sehr vielen wird das so oder so der Fall sein, unabhängig davon, ob es eine Lücke gibt, gegen man auch bei ordentlicher Handhabung nix machen kann.

 

[m4teria]

@m4teria
woher weist du denn das er online ist hast du ihn nicht von der FL gelöscht ?

Es gibt Freunde und es gibt Leute mit denen man gespielt hat. Als Freund hab ich ihn selbstverständlich gelöscht. Er wird mir aber immer noch aufgelistet unter Leuten mit denen ich gespeilt habe.

Blizzard sagte zu mir am Telefon bereits, das sie einen Fremdzugriff auf meinen Account gesehen haben und ich meldete diesen Spieler mehrfach. Was muss man noch tun?

Hätt jetzt Zeit zum spielen und will mich einlogggen, einfach weil ich Angst habe wieder gehijacked zu werden :/

 

[Aza*]

pcgames:
"Möglich ist, dass die gestrige Downtime der EU-Server von Diablo 3 mit den Hacker-Attacken in Verbindung stehen. Es könnte allerdings ebenso sein, dass Blizzard mit einem aus World of Warcraft bekannten Problem zu kämpfen hat, den sogenannten Kalenderinvites. Möglich, dass dies in Diablo 3 als Battletag-Invite bekannt wird. Hier solltet ihr die Augen nach Freundschaftsanfragen Unbekannter offen halten und diese nicht annehmen."

Im zweiten Fall hätte das Ganze nix mit Viren oder Trojanern zu tun. Also im Moment ist auch ein Versagen von Blizzard drin.

 

[Suito]

Hätt jetzt Zeit zum spielen und will mich einlogggen, einfach weil ich Angst habe wieder gehijacked zu werden :/

Da du ja betroffen bist, kannst du uns Informationen geben?

öffentlichen Chat benutzt?
öffentliches Game gejoint?
fremde Freundesanfrage bekommen?
ect.

 

[Xetoxyc]

Auth. benutz ?
Guides genutz?
Darker/Shadower benutz?

Und bitte ehrlich antworten

 

[Nehmtsie_Hopps]

Mir ist hier einfach viel zu viel Spekulation dabei.
Keine Ahnung, wie man das mit der Session ID machen kann, ansatzweise erklären tut es keiner.
Würde mal gerne wissen, woher diese Annahme kommt?

 

[Aza*]

denke das war eine der ersten Seiten:
http://www.eurogamer.net/articles/2012-05-21-diablo-3-accounts-hacked-gold-and-items-stolen

Ansonsten kam viel von den Foren.

 

[Jirko]

Artikel-Update: Blizzard hat inzwischen in einem Post in Battlenet-Forum Stellung zu den Meldungen bezogen. Dabei geht der Diablo-Entwickler allerdings nicht auf die angeblich leichte Auslesbarkeit der Session-ID ein, sondern verweist auf die Sicherheitsfeatures, mit denen man seinen Account schützen kann. Die augenscheinlich so zahlreichen Meldungen der vergangenen Tage seien zu erwarten gewesen, so Blizzard, und würden bei jedem Release eines neuen Blizzard-Produktes verstärkt auftreten.

Vielen Dank an unseren Leser Lagerhaus_Jonny für den Hinweis zu diesem Update!

 

[rana datra]

Was wollt ihr alle mit eurem Singleplayer Offline... bei WoW beschwert ihr euch doch auch nicht dass wenn ihr solo unterwegs seid online sein müsst

Es gibt einen fundamentalen Unterschied zwischen Spielen, deren Spielmechanik einen Server zwingend vorraussetzt und solchen, denen dieser aufgeflanscht wurde.

Ob Diablo 3 nun in erstere Kategorie gehört, sei hier Interpretationsfrage. Nur soviel: Diablo 2 brauchte ihn nicht und Torchlight 2 wird in auch nicht brauchen.

 

[spamarama]

Tjoa, war doch klar. In dem Moment wo ich den Itemhandel für Echtgeld legalisiere wird jeder Spieler zu einem wirklich attraktiven Ziel. Und je länger man spielt desto "spannender" wirds.
Mal sehn was für lustige Dinge noch so kommen werden, schöne neue DRM Welt.