Update 13:30 Uhr:
Im amerikanischen Diablo 3-Forum gibt es einen aktualisierten Post zur Accountsicherheit von Community Manager Lylirra, der mittlerweile auch komplett in deutsch zur Verfügung steht:
Die Veröffentlichung eines neuen Spiels - zum Beispiel eine Erweiterung von World of Warcraft - bringt immer eine erhöhte Anzahl von Berichten über kompromittierte Accounts mit sich, und genau das erleben wir jetzt auch mit Diablo 3. [...]
Wir möchten euch auch versichern, dass der Battle.net-Authenticator und der mobile Battle.net-Authenticator weiterhin zu den effektivsten Maßnahmen gegen einen Accountmißbrauch gehören, und wir möchten alle Spieler ermutigen, davon Gebrauch zu machen. Zusätzlich haben wir kürzlich mit den "Mobilen Benachrichtigungen" einen neuen Dienst eingerichtet ... [News auf GG]. Damit lassen sich auf Wunsch Textnachrichten an euer Mobiltelefon schicken, falls ungewöhnliche Aktivitäten auf eurem Account festgestellt werden, so dass ihr über wichtige (und eventuell ungewollte) Accountänderungen auf dem Laufenden seid.
Darüber hinaus gäbe es weitere im Battle.net implementierte Mechanismen, die zum Beispiel ungewöhnliches Loginverhalten feststellen. Falls ihr euch nicht von eurem üblichen Standort einloggt, müsst ihr eventuell zusätzliche Informationen wie die Antworten zu euren Sicherheitsfragen eingeben und/oder euer Passwort über die Battle.net-Seite zurücksetzen. Bislang gibt es noch keinen offiziellen Kommentar zum unten beschriebenen möglichen Exploit. Im deutschen Forum wurde aber darauf hingewiesen, dass bisher kein Vorfall bestätigt werden konnte, "in dem auf einen Account nicht auf die "traditionelle" Art und Weise zugegriffen wurde; sprich mit dem Passwort des betroffenen Nutzers."
Ursprüngliche Meldung:
Blizzards aktueller Top-Seller Diablo 3 schreibt leider nicht nur positive Schlagzeilen. Schon der stotternde Start mit massiven Loginproblemen aufgrund Serverüberlastungen am Veröffentlichungstag (wir berichteten) und weitere mehrstündige Wartungsarbeiten am letzten Sonntag (wir berichteten) sorgten bei vielen Spielern für Unmut. Diskussionen um Sinn und Zweck des "Always-On"-Modus häufen sich und wurden von Blizzard unter anderem mit der damit verbundenen erhöhten Sicherheit begründet und verteidigt. Gerade aber die Account-Sicherheit scheint in den letzten Tagen für viele Spieler nicht gewährleistet gewesen zu sein, da sich in den amerikanischen und deutschen Foren und auf mehreren einschlägigen Webseiten Meldungen zu gehackten und geplünderten Accounts häufen, bei denen sämtliches Gold und sämtliche Items gestohlen wurden.
Neben klassischen Angriffen mittels Phishing-Mails, Keyloggern oder Trojanern häufen sich - bis jetzt unbestätigte - Gerüchte über einen möglichen Exploit, durch den es aufgrund von Sicherheitslücken möglich sei, in einem kooperativen Spiel die ID der aktuellen Spielsession eines Mitglieds auszulesen und diese zu "übernehmen". Der betreffende Spieler werde vom Server getrennt und der Hacker bekomme mit der ID Zugriff auf dessen Account, wobei sogar ein Authenticator-Schutz ausgehebelt werden könne. Wer auf Nummer sicher gehen will, sollte öffentliche Spiele meiden und auch nicht auf Einladungen von Unbekannten reagieren.
Blizzard hat mittlerweile bestätigt, dass man sich der gehäuften Meldungen über gehackte Accounts bewusst sei und will bald ein weiteres Statement abgeben:
Wir sind uns dieser Berichte sehr bewusst und nehmen sie sehr ernst. Bitte behaltet das Forum "Allgemeines" im Auge, wo Community-Mitglieder bald weitere Informationen veröffentlichen werden [...] Falls euer Account gehackt worden ist, wendet euch bitte so schnell wie möglich an den Kundendienst. Außerdem kann die Verwendung eines Authenticators euren Account noch sicherer machen.
In diesem Zusammenhang lohnt sich auch ein Blick auf Blizzards offizielles FAQ für den Fall eines Accounthacks. Wer einen Hack vermutet, sollte wie beschrieben sofort ein Ticket eröffnen, nach dessen Bearbeitung ihr eine Mail vom Blizzard Kundendienst erhaltet. Die Account-Wiederherstellung in Diablo 3 läuft mit Hilfe automatischer Speicherpunkte, auf die eure Charaktere zurückgesetzt werden. Außerdem werden nicht von euch eingestellte Auktionen abgebrochen und aus dem Auktionshaus entfernt. Jeglicher Spielfortschritt zwischen Kompromittierung und Wiederherstellung geht verloren. Beachtet, dass maximal zwei Account-Wiederherstellungen aufgrund von Kompromittierungen durch den Kundendienst möglich sind. Nach der zweiten Wiederherstellung darf ein Jahr lang keine Manipulation von Daten vorliegen, bevor der Kundensupport weiteren Verdachtsfällen nachgehen kann. Außerdem wird nachdem ein Battle.net-Account das erste Mal kompromittiert wurde der Zugang zum Echtgeld-Auktionshaus gesperrt, bis dem Account ein Authentikator hinzugefügt wurde. Bei einer zweiten Kompromittierung wird dieser Zugang permanent gesperrt.
135 Kudos
Unabhängig. Meinungsstark.
Einen Kollegen von mir hat es auch erwischt. Char wurde geplündert, aber auch wohl das Passwort geändert… Über das Anfordern eines neuen Passwortes kam er dann wieder rein. Ärgerlich.
Jo daher extra für Diablo 3 eigene Email erstellen > Schlau
Seinen bisherigen Account nutzen > ++ Unschlau
Wer das Wort "unschlau*" benutzt (was es nicht gibt) ist dumm...(*unschlau)
Ob Minitrue & Miniluv dir da zustimmen? Doppelplusungute Einstellung Kamerad.
Unwissenheit ist Stärke !
++Gut!
Leugne nicht die Revolution!
Sprache lebt. :)
mach ich auch gern, aber verstößt das eig nicht gegen die Nutzungsbedingungen?
Wer weiss das schon^^
Wenn es gegen die Nutzungsbedingungen verstößt, dann ist das garantiert nicht mit dem deutschen Recht vereinbar.
Was bringt dich zu dieser Annahme?
Die Annahme dass das deutsche Recht im Sachen Verbraucherschutz, nicht so lückenhaft ist, wie in anderen Ländern. Wir sind ja auch das einzige Land auf der Welt, dass dem Kauf einer digitale Ware innerhalb von 14 Tagen widersprechen darf und sein Geld zurückbekommt.
Dennoch sind Nutzungsbedingungen oder auch AGB in Deutschland nicht fremd. Und so fern diese nicht gegen geltendes Recht verstößt sind diese auch gültig. Wobei dann hier wieder die Frage aufgeworfen wird in wie weit sie vorher bekannt sein müßen.
Ansonsten ja Deutschland is schon relativ Verbraucherfreundlich und da ist auch nix verkehrt dran.
Und das mit dem 14 Tage Rückgaberecht gibts ja schon lange Stichwort Fernabsatzgeschäft und das dies auch auf sowas angewendet wird ist nur richtig.
Ziemlich beunruhigend das ganze, wenn sogar der Authenticator Schutz ausgehebelt werden kann.
Mal davon abgesehen was man vom Ingame-AH hält, Zugangssperren sind schon eine heftiger Einschnitt.
Tja, hat wohl doch nicht alles so funktioniert, wie Blizzard sich das gedacht hat. Vielleicht kommt ja jetzt doch noch mal ein Umdenken bzgl. Always-On. Ja, ich weiß, es wird Wunschdenken bleiben. Demnach wird wohl D3 an mir vorrübergehen. *seufz*
Was hat Account Sicherheit mit Always on zu tun? Ja ok ein Offline Spiel ist zu 100% vor einem Hack sicher aber jemand der sowieso nur Solo spielen will kann auch sein Spiel privat machen so das niemand joinen kann. Dann holt er sich einen Authenticator (gibts auch GRATIS fürs Smartphone als App) und ist genauso zu 100% sicher.
Das eine hat für mich wenig mit dem anderen zu tun.
Das ich nunmal in einer Mail nicht irgendwelche Links anklicke wenn ich nicht genau weiß woher die kommt ist doch klar. Selbst wenn Blizzard drin steht und angeblich der Account gesperrt wurde und man sich bitte hinter diesem Link neu anmelden soll, dann gehe ich manuell auf die Battle.net Seite und schaue nach dem Problem.
Das hat insofern miteinander zu tun, als Blizzard ja als eine Hauptbegründung für den Always-On-Zwang den Schutz vor Hacks anführt, da ja Charakter und Gegenstände auf ihren Servern gespeichert werden.
Wie schon in der News steht, muss man ja evtl. gar nicht auf Links in dubiosen E-Mails klicken. Falls dieser beschriebene Exploit besteht, kannst du als Spieler dich völlig richtig verhalten und trotzdem gehackt werden und das ist natürlich dann mal wieder ein absolutes Armutszeugnis für Blizzard.
Ja das mit der Mail war auch nur ein Beispiel. Klar kann es auch leider anders passieren (unbekannte im Game?). Letzten endes ist ja aber das Argument von Blizzard valide wenn mans genau nimmt: Denn dein Account ist ja gespeichert auf den Blizzard Servern d.h. Wiederherstellung ist möglich. Das einzige was ich nicht verstehe ist das es nur zwei mal pro Jahr geht. Warum sollte man das so arg beschränken.
Klar ist das valide, für Multiplayer-Spiele, aber auch nur dann, wenn Blizzard in der Lage ist die Server sicher und oben zu halten. Bei beidem machen sie anscheinend bisher einen miserablen Job.
Und warum in der Zeit nicht wenigstens mit Offline-Charakteren offline gespielt werden kann, ist und bleibt schleierhaft, es sei denn man nimmt die andere Begründung für Always-On her: Schutz vor Kopien.
Was für ein Widerspruch! Aber natürlich hat das eine mit dem anderen mehr zu tun als du wahrhaben willst, wenn man - wie du ja selbst sagst - andernfalls "zu 100% vor einem Hack sicher ist".
"100% sicher" gibts höchstens in der Werbung
Wenn ich kein Smartphone hab (btw.: ich hab kein Smartphone) hab ich entsprechend nichtmal die Möglichkeit ein GRATIS Authentificator-App zu kriegen.
Davon abgesehen das mit lag im Singleplayer nach wie vor stört.
Ich hatte jetzt zwei Mal morgens beim Bäcker den
Betrag nicht passend. Jetzt habe ich ein Jahr Hausverbot.
Blizzard, Ihr spinnt!
Es ist eher so:
Jemand anderes hat ohne dein Einverständnis 2 mal mit deiner EC-Karte bezahlt, jetzt darf deine EC-Karte dort nicht mehr einkaufen.
Oh wow.. gehackte Accounts durch einen eigentlich offline-SP..
genau das wurde unter anderem in der Forumsdiskussion als Grund gegen Always-On Zwang genannt.. Schon nach einer Woche bewahrheitet sich die unnötige Sicherheitslücke..
Nicht ganz, da dies nur in öffentlichen Spielen möglich war..
Gibt wohl Beispiele, die dagegen sprechen.
"es gibt wohl" ... klingt wie hörensagen und wenig glaubwürdig. Zeige uns die Beispiele, dann kann man drüber reden. ;)
Ein Bruder von dessen Freund der Onkel hat von seiner Nichte gehört das deren Freundin ihr Bruder voll das Problem hatte.
Den kenn ich auch! It's true! :-)
Ja dann muss das wohl stimmen! Ok ich verkaufe alle meine 500.000 Apple Aktien, wenn ihr das so sagt glaube ich euch. Ihr wirkt einfach so vertrauenswürdig. :)
In den Foren beschweren sich auch, die von sich selbst behaupten nie öffentliche Spiele gespielt zu haben. Bei den X Threads und mittlerweile tausenden Posts im Blizzardforum, wird sich kaum einer die Mühe machen da zu suchen.
Eventuell geht es sogar bei geschlossenen Spielen.
Da steht dann trotzdem ein Unbekannter auf der Freundesliste und die Session wurde übernommen.
Entweder wie bei diesem einen komischen Ding, das bei WoW lief, irgendwas mit Kalender im Namen glaube ich.
Oder es könnte auch möglich sein über die Friendslist der Accounts zu gehen. Auf jeden Fall scheinen einige Gehackte andere Gehackte und einen (auch für die anderen) Unbekannten neu auf der Freundesliste zu haben. Spricht fast schon für das selbe Spiel, das auch mal in WoW lief.
Am schlimmsten wäre es jedoch, wenn man nicht nur durch Beitreten in ein Spiel an die ID kommen würde sondern eventuell sogar die IDs schön aus einem Randomgenerator bekommen könnte und dadurch noch nicht beendete Sessions übernehmen könnte.
Am Besten derzeit ist es wohl sich auszuloggen, vorher selbst die Truhe zu leeren und sich dann mit einem Lvl1 Twink wieder einzuloggen, da die Session eventuell beim Ausloggen nicht beendet wird. Auch wenn die ID nicht weiter mit der IP verbunden wird, so scheint sie doch mit dem Char verbunden. Dann ist nur das Gold weg.
Insgesammt scheint die Sicherheit bei Blizz allerdings nicht sehr hoch zu sein. Bei den Passwörtern scheint ja Groß und Kleinschreibung auch egal zu sein. Was auch schon ein starkes Stück ist.
Btw, hab selbst kein D3, interessiere mich aber durchaus für solche Fälle. Ich finde es immer wieder interesant, auf welche Ideen die Hacker kommen. Und wie doof sich oft die IT anstellt oder anstellen muss, da die BWLer keinen Plan haben.
"Bei den Passwörtern scheint ja Groß und Kleinschreibung auch egal zu sein. Was auch schon ein starkes Stück ist."
Häh? Wieso schreibst du so dummes Zeug?
Probier es aus. Habe schon mehrere Berichte gelesen, bei denen Leute es einfach ausprobiert haben. Ich denke nicht, dass " und 2 gleich behandelt werden (wenn " überhaupt akzeptiert wird) aber ob du A oder a schreibst scheint wohl beim Login egal zu sein.
Und ein starkes Stück ist es, weil du damit die zu prüfenden Zeichen bei einer Bruteforce massiv reduzierst. Bei einem Rainbow auf ungesalzene Hashes wirds dadurch auch einfacher.
Und falls du das jetzt nicht verstanden hast, lass gut sein ;).
Zahlen werden schon unterschieden, also keine 2 = ", ansonsten ganz richtig. Ebenso wenig nachvollziehbar war die Änderung der Accountnamen von selbst-erzeugten alphanumerischen namen zu Mail-Adressen.
Groß- und Kleinschreibung wird in der Tat nicht berücksichtigt.
Bitte sachlich bleiben und keine persönlichen Angriffe!
Außerdem hat er recht, habe es eben selbst probiert und bin ehrlich gesagt schockiert das es egal ist in welcher Kombination man sein PW schreibt: case sensitiv spielt keine Rolle. Sonderzeichen allerdings schon. Das wusste ich auch noch nicht und das ist echt ein Armutszeugnis.
Oh Mann, ernsthaft? Wer kommt denn heutzutage bitte noch auf die vollkommen schwachsinnige Idee, Passwörter nicht case-sensitiv abzufragen? Wie schon oben geschrieben wurde, verringert das die benötigte Zeit für einen erfolgreichen Bruteforce-Angriff massiv. Blizzard, Blizzard, was seid ihr nur für Stümper geworden.
Ja echt bisschen heftig, ich verstehe auch wenig wieso das so ist. Es ist ja nun wirklich kein ernsthafter Aufwand dahinter case sensitive abzufragen.
Ja aber ein Brutforce nutzt ja wenig wenn du einen Authenticator verknüpft hast.
Aber wirklich nur dann. Ganz ehrlich, wenn meine alte WOW-Gilde nicht einen Authenticator verlangt hätte würde ich immer noch keinen besitzen. Bisher dachte ich nämlich dass ich ein recht sicheres Passwort verwende (lang, case-sensitive, mit Sonderzeichen und Zahlen, das volle Programm eben), aber wenn wirklich keine Abfrage der Groß-/Kleinschreibung stattfindet wird das komplexeste Passwort um ein vielfaches leichter zu knacken. So gesehen... danke an meine alte Gilde. :)
Ich frage mich, was sich die Admins bei Blizz dabei gedacht haben. Machen die das absichtlich um ihren Support beschäftigt zu halten? Oder frei nach dem Motto jede News sind gute News? Ich bin selbst Admin in einem KMU, und solche Passwortrichtlinien sind eigentlich schon grob fahrlässig. Andererseits habe ich Blizzard bisher genug vertraut um gar nicht erst zu vermuten dass so eine Lücke existieren könnte. Das Vertrauen haben sie nun verloren, die verlassen sich zu sehr auf ihren Authenticator und werfen die User ohne dieses Teil einfach dem Netz zum Fraß vor.
Ich meine mich zu erinnern das bei meinem 30 Tage Test WoW-Account das Passwort auch nicht case-sensitive war.
Bitte korrigieren falls ich mich irre.
könnte mir vorstellen, dass der Grund ganz einfach der ist, dass 30% der Supportanfragen "ich komm nicht an meinen Account" mit "Haste CapsLock gedrückt" beantwortet und gelöst werden können, und die das Problem so umschiffen wollen.
Ist zumindest die einzige sinnvolle Erklärung die mir so einfällt.
da weiß selbst der windows7 login-screen inzwischen abhilfe und warnt einen unübersehbar, dass man caps-lock an hat. ist ganz einfach, das abzufragen und so eine warnung zu implementieren. 2 zeilen zusätzlicher code (und vielleicht doch vereinzelte supportabfragen, von leuten, die eine gewisse iq-grenze unterschreiten) vs. sehr viel unsichere passwörter, weil groß- und kleinschreibung egal ist....da sollte die entscheidung eigentlich nicht so schwer fallen, wenn man mal kurz drüber nachdenkt.
Uff, die Anfragen kenne ich aus der Arbeit auch zu genüge. Aber wie der Anonyme über mir schon geschrieben hat, so schwer wäre das ja eigentlich nicht abzufangen. Aber selbst da gibt es Leute die den Hinweis ignorieren, die armen Personen müssen dann doch zum Support.
Das schockiert mich jetzt auch ein wenig...Sicher ist anders.
Wenn sie schon da so rumfrickeln (anders kann man sowas heute nicht mehr nennen), dann wird sicherlich auch der Netcode solche netten Dinge enthalten. Sessionhijacking würde da durchaus in Frage kommen.
Was? Du kennst die oberste direktive von Blizzard noch nicht? Die da lautet: "Hauptsache billig, nur nicht intelligent!"
Das scheint aber dann D3-Spezifisch zu sein. Kann ich mit meinem Bettel.net Account nicht bestätigen.
Ich habe es nicht bei Diablo 3 ausprobiert sondern direkt auf der eu.Battle.net Seite von Blizzard und da ging es, egal in welcher Groß-Klein Konstellation.
Ach du Schande! Das geht tatsächlich! Sind die bescheuert?
Ach du Scheiße, habs selbst probiert und es macht tatsächlich keinen Unterschied... mein neues Passwort wurde grad um den Faktor 100 unsicherer óÒ
Das bringt mich zu der Frage:
SIND DIE DENN BESCHEUERT?
Und dem Verein hab ich meine Kreditkartendaten mal anvertraut?
Kommt sogar noch besser!
Antwort von Blizzard: "Working as intended!" -.-
Das ist in der Tat ausgesprochen bedenklich. Unter dem Gesichtspunkt dann auch nicht fair, dass Blizzard die Leute bestraft, wenn sie mehrmals gehackt werden.
Ich halte die Meldungen über irgendwelche Möglichkeiten die angebliche "Session-ID" zu übernehmen für ausgemachten Schwachsinn. Ich konnte dazu keinen einzigen auch nur annähernd geeigneten Beleg finden, weder für D3, noch für WoW (wo das angeblich mit Kalender-Invites zusammengebracht wurde).
Es spricht in meinen Augen sogar alles dagegen, dass das überhaupt funktionieren kann. Vor ein paar Jahren (allerdings noch bevor es den Battle.net-Login für WoW gab), habe ich mir explizit mal den Quellcode für Mangos (WoW-Server-Emulator) angeschaut. Die Login-Passwortprüfung erfolgte mittels SRP-6 und der dabei erzeugte Session-Key wurde anschließend genutzt, um die ersten Bytes jedes übertragenen Paketes zu verschlüsseln und damit zu authentisieren. Der Schlüssel ist ausschließlich dem Server und dem Client bekannt, wird nur für diese eine Verbindung verwendet und wird nicht an andere übertragen. Eine Session kapern zu wollen klappt also nicht, weil ein Dritter nicht in Besitz dieses Schlüssels kommen kann (ohne einen Trojaner bei einer der beiden beteiligten Parteien zu installieren).
Das ist jetzt zwar schon ein paar Jahre her, ich kann mir aber kaum vorstellen, dass Blizzard im Rahmen der Battle.net-Umstellung von WoW bzw. jetzt im Rahmen von D3 dieses Verfahren geschwächt hat.
Ich halte einen Trojaner bei den Opfern für die wesentlich wahrscheinlichere Ursache derartiger Probleme. Der liest Benutzername / Passwort und ggf. den aktuellen Authenticator-Code aus, blockiert anschließend die Verbindung des Opfers zum Spiel und überträgt die ausgelesenen Daten zum Angreifer, der sie unverzüglich für einen eigenen Login-Versuch verwendet. Bei vielen scheint halt noch nicht angekommen zu sein, dass auch der Authenticator keinen Schutz gegenüber Trojanern bieten kann (und dass auf Blizzard-Logins Massen an Trojanern angesetzt sind, ist ja nun keine Neuigkeit).
Ich würde deshalb vermuten, dass die Tatsache, dass der Account einiger Leute trotz Authenticator kompromittiert wurde, die Quelle für eingangs genannte Gerüchte ist. Denn offenbar ist bei vielen nicht angekommen, dass eine Kompromittierung trotz Authenticators durchaus geht und eigentlich sehr einfach ist - der Authenticator also keine wesentliche Hürde gegen Angriffe mittels Trojanern darstellt.
Mangos ist ja aber auch was komplett andres, als die richtigen wow- bzw d3-server, oder nicht? hab zwar keine ahnung, aber ich vermute mal, dass der Mangos-server komplett selbst geschrieben ist und da keine einzige zeile code von blizzard beigesteuert wurde. kann mir gut vorstellen, dass leute, die so motiviert und fähig sind und quasi als fan-projekt den kompletten server nachprogrammieren, auch bei der sicherheit weniger abstriche machen, als blizzard es vielleicht getan hat. hab ich natürlich keinerlei belege für...aber aus dem mangos-sourcecode, der sicherlich komplett anders aussieht, als der von blizzard, auf die sicherheit auf den offiziellen servern schließen zu wollen, halte ich doch eher für gewagt :)
Oh mein Gott, wie das jetzt wieder durch die Presse geht. Und wie niemand erwähnt, dass sowas zu 99% immer die Schuld des (dummen) Nutzers ist, unglaublich.
Sorry, dafür sinds mitlerweile zu viele Betroffene. Und ist nicht das erste Mal, das sowas in einem Blizzardspiel läuft.
Sollte sich der Exploit bewahrheiten ist das definitiv nicht die Schuld des dummen Nutzers.
News nicht gelesen?
http://eu.battle.net/d3/de/forum/topic/4210122893?page=12#237
" Allen Theorien zum Trotz konnten wir jedoch bisher keinen Vorfall bestätigen, in dem auf einen Account nicht auf die "traditionelle" Art und Weise zugegriffen wurde; sprich mit dem Passwort des betroffenen Nutzers."
Alos sitz das problem nicht bei blizzard sondern wie in allen fällen 30cm vorm Bildschirm.35000 Spieler haben sie einen Diablo3Maphack runtergeladen der sich als Trojaner herausstellte.
Ich glaube da auch eher an die Malware Theorie, bis Blizzard ein Session-Hijacking bestätigt.
Selbst wenn's eines gab, werden sie das niemals bestätigen. Sie werden es versuchen zu fixen und fertig. Aber zugeben, dass sie so massive Fehler machen, werden sie niemals.
Ich würde sogar noch weiter gehen.
Sie werden so lange versuchen zu erklären, dass es Malware war, bis man ihnen das Gegenteil beweisen kann. Wenn es wirklich so eine massive Lücke geben sollte (und sorry, jemand joint, ich fliege und der Acc ist leer ist was anderes als Passwortphishing), dann werden sie einen Teufel tun und das zugeben, da damit gleichzeitig die Sicherheit aller ihrer Onlineaktivitäten in Frage stehen würde.
Da ist es besser die Schuld auf die User zu schieben und heimlich zu fixen. Oder besser, so gut es geht zu fixen und sonst heimlich still und leise "kulant" zu sein, so wie die Banken beim Onlinebanking.
Wenn Blizzard für 2 Dinge bisher nicht bekannt war, dann war das guter Kundensupport (besonders wenn es brenzlig ist) und die Karten auf den Tisch legen.
Ich freue mich allerdings schon auf den nächsten Monat. Dann ist das Echtgeldauktionshaus endlich da.
Eigentlich wäre das ja die perfekte Aktion für Anonymous. Beweisen das es tatsächlich diese Lücke gab oder noch gibt wäre echt mal ein fetter Coup.
Fetter als der von gestern?
Bei Rift hätten sie wohl auch nie zugegeben, dass einen Exploit gab um ohne Passwort und sogar ohne Benutzerneame einzuloggen. Erst als ein User das in einem Forum öffentlich machte, passierte was.
Sollte man normalerweise meinen. Aber nach all den Bugs in D3 traue ich es dem großen geldgeilen Haufen von ActivisionBlizzard durchaus zu, das sie hier Mist gebaut haben. Siehe z.B. auch das man case-sensitive Passwörter im Battle.net auch NICHT case-sensitive eingeben kann!!! Das erhöht die Anzahl möglicher Passwörter. Anstatt eines hat man plötzich um einige mehr! Was BruteForce-Angriffe ja deutlich vereinfacht! Oh! Es geht ja um Passwörter! Ein Schelm wer böses denkt ;P
Wieso überlebt eine SessionID den Umzug auf eine andere
IP-Adresse - wozu soll das gut sein?
Ich frage mich eher wie die IP, von der die Session ID erstellt wurde durch eine "neue" IP, die auf einmal die Session ID verwendet gekickt werden kann. Meine IP ändert sich zwar mit jeder Einwahl ins Netz und sicherlich auch, wenn ich nen Proxi verwende.
Aber doch nicht mitten in der Session eines Spieles.
Wieso nicht? Fast alle Provider verwenden hier doch eine dynamische IP, die sich alle 24h ändert, da die Verbindung kurz getrennt wird. Wenn das gerade zu einem Zeitpunkt passiert, während du spielst, ändert sich deine IP mitten in der Session eines Spiels.
Wenn du bei einem Allways On Spiel die Verbindung verlierst, dann fliegst du raus.
Du musst dich dann komplett neu ins Netz einwählen. Und die ganze Zeit soll das Spiel weiterlaufen?
Ist das bei D3 so? Ich spiele das ja nicht, kann das deswegen nicht wissen. Technisch zwangsläufig ist es nicht, einen kurzen Disconnect könnte der Always-On-Zwang auch tolerieren.
Du fliegst sowohl bei WoW als auch bei Diablo 3 aus dem Spiel wenn du einen 24h-Disconnect hast. Habe ich selbst schon die Erfahrung mit gemacht. Im Gegensatz zu Teamspeak, bei dem du einfach eine kurze Zeit nichts hörst und danach wieder normal reden kannst.
na macht es das denn in d3? bei teamspeak z.b. läuft die sitzung auch weiter nach nem kurzen 24h disconnect.
was ich nur nicht verstehe, selbst wenn ich gekickt werde, müsste ich doch den anderen wiederrum kicken, wenn ich erneut einlogge aber nein das geht dann dann nicht wegen error x. sind mir zuviele mögliche fehler im system, als das man dem glauben schenken kann.
Insgesammt überzeugt mich weder Blizzards Aussage noch die Hijackingtheorie vollständig. Und das ist auch so eine der Fragen, die mich wundert.
Aber es ist ja nicht so, dass da ein Spieler mit der selben SessionID gekickt wird, weil ein anderer sich einlogt. Das Verhalten da den einloggenden zu kicken ist schon richtig (eigentlich).
Die Theorie ist ja, dass die Session währen der Session gekapert wird und irgendwie (vielleicht nen kurzen DDos, wer weiß) der "alte" Sessionbesitzer rausgekickt wird. Dann ist nurnoch einer mit der Session drin und kein 2. kann sich einloggen.
Es steht ja nirgens, dass die Spieler wegen einem internen Sicherungssystem gegen 2 gleiche IDs fliegen, sondern das sie nur so fliegen. Wenn alle Teilnehmer eines Spieles die Kommunikation der Spieler mit den Errungenschaftensystemservern (k.A. wie ich die anders nennen soll), mit Netzwerksniffern mitschneiden können (was ja teilweise behauptet wird) und darin dann die SessioID drin steht (was auch behauptet wird) und natürlich die IP des entsprechenden Spielers (was die logische Schlussfolgerung wäre). Tja, dann hätte man ID zum Kapern und IP zum DDosen.
Wäre jetzt so mein Gedankengang, was so möglich wäre. Dazu müßte die Client - Serverkommunikation aber schon sträflich vernachlässigt worden sein, um sowas einzubauen...
Blöd nur, die Theorie hat mehr Substanz als Blizzards "Benutzt die (teilweise kostenpflichtigen) Authentdinger" und "Bisher haben wir nix gefunden".
Und schon Sony hat gezeigt, große Firma und großes Netzwerk schützen vor blöden Fehlern nicht.
Btw, "Mittlerweile" ist auch gut geschrieben.
Post ist 15 Stunden alt.
Nachdem ich mich am Sonntag (nach dem anstrengenden Reinigen meines Balkons) auf eine Partie D3 gefreut hatte und ich bis abends nicht spielen konnte wegen der Server-Probleme, ärgert mich diese News noch ein Stück mehr.
Dieser Online-Zwang ist sehr sehr ärgerlich, zumal ich sowieso lieber Singleplayer-Partien spiele. Ich hoffe, dass dies ein abschreckendes Beispiel ist, bezweifle es aber, da es sich um Diablo 3 handelt und demnach 99% aller Spieler alle Probleme/Risiken in Kauf nehmen, um D3 zu spielen.
Ei ei ei. Tja Blizzard irgendwie auch selber Schuld. Wenn man schon extreme Maßnahmen durchführt wie Always-on dann muss man eben dafür sorgen das alles andere klappt. Ein Spieler der keine Probleme hat, macht auch keine Probleme.
Seh ich genauso. Im Prinzip sollte Blizzard sich dafür verantworten wenn Sie ein Produkt verkaufen, always-on fordern und dann die Server nicht am Laufen halten. Genauso ärgerlich sind Lags. Ich leide jetzt schon mit dem armen Kerlen die HC spielen wollen und dann am ersten Blauen wegen eines Lags scheitern. Ich bin im normalen Modus schon mehrfach wegen Lags gestorben. Das ist schon bitter.
Wie war das mit always-on macht alles sicherer?
Hat ja wohl nicht ganz so hingehauen. Ich hab sicherheitshalber mal (wieder) mein Passwort geändert und spiele nur noch mit Leuten auf der f-list.
Vorausgesetzt ich komm auf den Server.
War zu befürchten. Hoffentlich wird das bald geregelt. Absolut abschaffen kann man solche Probleme online niemals - aber man kann schnell handeln. Und das sollte Blizzard tun.
Tja 35000 Diablo 3 spieler saugen sich im Netz einen D3Maphack herunter ,der in Wirklichkeit ein Trojaner ist.
Und wundern sich dann warum sie "gehackt" wurden.
Jetzt wird es aber peinlich. Bei all dem Zamba der letzten Tage, schön langsam hab ich die Schnauze voll, leider. Schade um Blizzard und die Marke.
Das ist eine Ente!
Blizzard hat mittlerweile bestätigt, dass verstärkt Accounts geknackt wurden, dies sein aber nach dem Veröffentlichen eines neuen Produktes normal. Bislang ist denen kein Fall bekannt, wo dem Hacker nicht das Passwort bekannt war.
Die Story mit der Session ID hat sich jemand aus dem Battle.net Forum ausgedacht und macht nun heute als Fakt und völlig verselbständigt auf den Newsseiten die Runde. Hier fehlt, wie z.B. bei Winfuture nur die Info, dass auch die Wartungsarbeiten am Sonntag mit dieser ominösen Lücke zusammenhängen sollen...
Viel wahrscheinlicher ist es, dass diese Accountdaten bereits in den letzten Wochen/Monaten durch Phishing, Keylogger und Trojaner erbeutet wurden und nun eingesetzt wurden um die Spieler abzuernten...
35000 Diablo3Maphack-Trojaner;)
Wäre ein ungewöhnlicher Angriff.
Nur der letzte aktive Char wird ausgeräumt und das, worauf alle Chars zugriff haben.
Spieler werden aus dem laufenden Spiel gekickt und du kannst wohl sogar mit Netzwersniffingtools (Whireshark wäre eine Beispiel) die übertragene SessionID rausfinden, wenn jemand eine Meldung eines erungenen Erfolges erhält. Weil das vorbei an allen Sicherheitsbarrieren geht.
Und die Übernehmen geht dann wohl irgendwie.
War da nicht auch irgendwie was, dass die Erfolge nicht funktionierten?
Trojaner würde für mich bedeuten:
D3 Account komplett leermachen
WoW Account (falls vorhanden) komplett leermachen.
Auch würde mich ein so hartnäckiger Trojaner wundern. Da schreiben doch welche, dass sie den Rechner komplett neu aufgesetzt haben und nicht viel mehr als D3 und Windows drauf war.
MRB oder gar Biostrojaner oder von was soll man da ausgehen?
biostrojaner, nur um an den d3-account zu kommen? :D das wär natürlich krass...aber relativ unwahrscheinlich ;) mir fielen da auf jeden fall sehr viel bessere, lukrativere und unauffälligere dinge ein, die ich tun würde, wenn ichs geschäfft hätte, sowas so weit zu verbreiten ^^
Da halte ich die fehlende Überprüfung auf Groß-/Kleinschreibung beim überprüfen von Passwörtern dagegen!
Wer sagt dass das ne Ente ist? Blizzard?
Ist ja so als würde die BILD von sich behaupten, ernstzunehmende Artikel zu schreiben.
Zerstöre nicht die Vorstellung von - gefühlt - 40 Millionen Deutschen mit so einer Aussage! :P
Doof auch, dass man nun selbst als Singleplayer-Spieler um seine Items fürchten muss, ist ja jetzt alles potentiell Geld wert. In Diablo 2 konnte man offline und im Open Battlenet noch sorglos drauflos spielen. Ausserdem wars manchmal auch ganz lustig sich im Open Battlenet die ganzen ercheateten Sets mal anzuschauen und auszuprobieren. ^^ Mit dem Echtgeld-AH wird mir das alles viel zu ernst, ist ja schlimmer als in WoW.
"Gerüchte über einen möglichen Exploit, durch den es aufgrund von Sicherheitslücken möglich sei, in einem kooperativen Spiel die ID der aktuellen Spielsession eines Mitglieds auszulesen und diese zu "übernehmen". Der betreffende Spieler werde vom Server getrennt und der Hacker bekomme mit der ID Zugriff auf dessen Account, wobei sogar ein Authenticator-Schutz ausgehebelt werden könne. Wer auf Nummer sicher gehen will, sollte öffentliche Spiele meiden und auch nicht auf Einladungen von Unbekannten reagieren. "
Ein gerücht ohne Bewiese,warum wird in der News nicht erwähnt das es einen Trojaner gibt der "Diablo3Maphack" heisst und das ihn schon 35000 spieler heruntergeladen haben?
http://eu.battle.net/d3/de/forum/topic/4210122893?page=12#237
" Allen Theorien zum Trotz konnten wir jedoch bisher keinen Vorfall bestätigen, in dem auf einen Account nicht auf die "traditionelle" Art und Weise zugegriffen wurde; sprich mit dem Passwort des betroffenen Nutzers."
Auch im US-Battlenet wird diesen "gerücht" wiedersprochen
http://us.battle.net/d3/en/forum/topic/5149619846?page=29#571
"We've been taking the situation extremely seriously from the start, and have done everything possible to verify how and in what circumstances these compromises are occurring. Despite the claims and theories being made, we have yet to find any situations in which a person's account was not compromised through traditional means of someone else logging into their account through the use of their password. While the authenticator isn't a 100% guarantee of account security, we have yet to investigate a compromise report in which an authenticator was attached beforehand."
"Blizzard hat mittlerweile bestätigt, dass man sich der Probleme bewusst sei und will bald ein weiteres Statement abgeben:"
Bezieht sich das auch auf das "Gerücht" oder nur um die "hacks"?
http://eu.battle.net/d3/de/forum/topic/4210122893?page=13
Hier schreibt einer das in der "Freundesliste" ein Gewisser "qweqwe3" auftaucht,aber bei der erstellung kann man beim namen keine zahlen angeben.
Das zweite Statement ist schon da und auch oben verlinkt:
us.battle.net/d3/en/forum/topic/5149619846
Gäbe es eine Lücke würde es alle Accounts betreffen und nicht nur ein paar hundert bzw. tausend ,allein durch den Jahrepass wären es 1,2Millonen.
Dass der Expolit ein unbestätigtes Gerücht ist (auf der Basis von Meldungen von heute vormittag zum Zeitpunkt der News-Erstellung) denke ich ist klar formuliert. Der Bezug bei "der Probleme bewusst sei" war nicht eindeutig und resultierte aus einem Umstellen zweier Absätze, ich habs geändert.
Die weiteren Neuigkeiten habe ich vorhin gerade aktualisiert als du kommentiert hast. Bezüglich des "Diablo3Maphack" hatte ich noch nix gelesen, aber wer Fremd-Software von undurchsichtigen Quellen installiert, die zudem auch noch MapHacks verspricht, sollte sich solcher Konsequenzen bewusst sein.
Noch was zum oben einfügen:
http://eu.battle.net/d3/de/forum/topic/4309702733#1
Dank dir, hab ich ergänzt. Hätte mir das Übersetzen sparen können ;)
Ich werde täglich glücklicher, dass ich mir das Spiel NOCH nicht gekauft habe.
Sicher reiner Zufall?
Pünktlich zu den Meldungen über die gehackten Accounts, began das gespamme der Goldseller im Ingame Chat.
Natürlich nicht, die haben ja nun etwas zu verkaufen...
Hacker, Phisher, Goldseller UND Leute, die Gold oder Items bei denen kaufen gehen Hand in Hand...
haha, oh wow. da hat es sich ja richtig gelohnt, das open bnet abzuschaffen.
is gleich alles viel sicherer geworden.
Da werden sicher auch bald auf Facebook Phishing Aktionen auftauchen. Wegen dem blöden Auktionshaus sind die Accounts der Spieler echtes Geld wert. An die Story mit den Session-IDs glaub ich nicht so recht, aber natürlich möglich, dass irgendwann Hacker das Battle.Net angreifen werden.
Kann mir als Unwissendem jemand das Prinzip dieses Authenticators erklären? Ist das ein Gerät oder ein Programm? Muss man dafür was zahlen? Wenn ja, wie viel muss man dafür zahlen?
Man kann ein Gerät kaufen, kann aber auch eine kostenlose Smartphone-App benutzen.
Im Prinzip holt man sich darüber einen einmaligen, nur kurz nach der Anforderung gültigen Zahlencode vom Server, den man zusätzlich zum Passwort eingibt.
Wenn ich mich als externer Mitarbeiter unseres Kunden auf meinen Arbeitsplatz in der Bank einloggen will, muß ich auch so ein Teil benutzen um überhaupt reinzukommen. Das ist also nichts ungewöhnliches.
Danke. Wobei ich das ziemlich dämlich finde, dass man da als Nicht-Smartphone-Nutzer nochmal geschröpft wird...
Sehe ich etwas anders. Schließlich ist das Teil optional und eine kostenlose Version -eben die für Smartphones- erhältlich. Für die Sicherheit auf der Client-Seite (Pc) hat der Nutzer selbst zu sorgen, und da kann man nicht erwarten, dass der Hersteller jedem Exemplar noch kostenlos so ein Teil beilegt. Eine Alternative wäre vielleicht noch das Ausweichen auf ein anderes System, etwa so wie es Steam macht.
wie willst du sowas denn sonst regeln? dass sie den authenticator als kostenlose smartphone app anbieten, ist schonmal mehr, als man zB bei pokeranbietern u.ä. bekommt. da musste dir das teil kaufen. man könnte natürlich auch so ne art sms-TAN system anbieten...aber man muss es ja jetzt auch nicht übertreiben :) und so unglaublich teuer wird son authenticator in hardware sicherlich nicht sein.
Authenticator kostet 10 Euro + Versand.
http://eu.blizzard.com/store/details.xml?id=221004517
Ist nicht wenig finde ich aber wie oben schon geschrieben: Man kann ja nicht erwarten das sowas für Lau produziert wird und verschenkt. Da ist die Gratis App wirklich schon ein guter Service.
SMS-TAN wie beim Online-Banking würde ich mir da vorstellen, ja. Das funktioniert völlig unkompliziert. Klar, da müsste Blizzard dann eine Infrastruktur dafür schaffen, und kosten würde das dann vermutlich auch was. Aber zumindest eine weitere nicht-Hardware-Alternative neben der Smartphone-App fände ich da schon angemessen.
Weitere Informationen zum Authenticator findet ihr unter:
http://eu.battle.net/support/de/article/battle-net-authenticator-faq
Weitere Informationen zum Battle.net Mobile Authenticator findet ihr unter: http://eu.battle.net/support/de/article/battle-net-mobile-authenticator-faq
Die kostenlose mobile Variante nutze ich problemlos seit 2 Jahren, läuft neben iPhone übrigens auch auf iPod touch.
"läuft neben iPhone übrigens auch auf iPod touch.... "
... und Android. :)
Das Ding hat aber auch einen Nachteil:
Kann ich meinen Mobile Authenticator für mehr als einen Account benutzen?
Ein Battle.net Authenticator kann nur mit einem einzigen Battle.net-Account verknüpft werden.
Wenn man mehrere Accounts hat muß man sich mehrere iPhones kaufen. Beim normalen Authenticator kann ich das ja noch nachvollziehen. Aber bei einer reinen Softwarelösung?!?!?!
Schlimm genug EIN iPhone zu kaufen :o
Die archetypische iPerson kauft sich eh jedes jahr das neueste iPhone, von daher sollten da überall mindestens 4 Geräte rumliegen. Dazu noch iPod touch und iPad dann gehen sich schon 8 bis 10 accounts aus :D
Hab ich wiederum vergessen. Gute Erinnerung, stimmt ja :)
weil es zu unsicher wär und es sowieso (zumindest mir) unverständlich ist, warum man mehrere battle net accounts besitzen sollte.
Schon mal an Familien gedacht?
Die über genau ein Handy verfügen? In meiner Umgebung ist es mittlerweile eher so, dass jedes Familienmitglied auch ein eigenes Handy hat... ;)
Jedes Familienmitglied ein SMARTphone?
Selbst kleine Stöpsel bekommen ein Überwachungshandy inne Hand gedrückt.
Eher traurig sowas.
Stimmt, hätte ich lesen können. Aber ich dachte mir es geht schneller, wenn ich einfach hier nachfrage ^^ Was ja auch in der Tat so war.
Lächerlich! Alle wollen sie unsere Daten haben, gleichzeitig sind sie aber nicht in der Lage diese zu schützen. Groß und breit wird in den AGBs immer beschrieben, was ein Spieler darf und was nicht. Wenn ich als Spieler dagegen verstoßen, dann werde ich verbannt oder schlimmsten Falls wird mein Account für immer gesperrt. Ich würde gerne mal eine Firma verbannen, wenn sie mit meinen Daten Unfug zulässt! Aber das bleibt wohl ein Traum...
Du könntest eine Firma ziemlich leicht "verbannen"... denk mal nach.
"Aber es ist - Diablo"
Oder Warcraft
Oder Starcraft
...
warum blizzard nicht wie valve mit steamguard einen kostenlosen und extrem sicheren schutz anbietet muss man wohl nicht verstehen. extra cash einsacken wollen für sicherheit, die eigentlich frei haus kommen müsste bei einem unternehmen...
Zum Glück spiel ich bisher nur alleine und privat. Und ich habe einen Authenticator.
Der hat nicht allen Glück gebracht.
eu.battle.net/d3/de/forum/topic/4309702733?page=6#107 Nr.1
eu.battle.net/d3/de/forum/topic/4309702733?page=6#104 Nr.2
eu.battle.net/d3/de/forum/topic/4210122893?page=11#213 Nr.3 (Post 218)
Und nicht öffentlich Spielen scheint auch nicht zu helfen
eu.battle.net/d3/de/forum/topic/4309702733?page=7#129
Da es aber nur die zuletzt gespielten Chars zu betreffen scheint, log dich immer noch mal mit einem Lvl 1 Twink ein. Wird aber nichts nützen, wenn das mit dem Sessionklau und kicken wirklich so sein sollte.
ohje
Schon eine ziemlich harte Strafe für die Käufer solcher Software.
Ach ne, die kann garnicht hart genug sein. Hehe :>
Hey, lass uns in Ruhe!
Ich tu doch niemanden was. Da pinkelt Blizzard seinen Anhängern mehr ans Bein, von dem was man so liest. :D
Stimmt, Blizzard macht einen extrem guten Job, den Kritikern von Always-On-Zwang und Blizzards Verhalten ihren Kunden gegenüber in allen Punkten und noch darüber hinaus Recht zu geben. Selbst wenn sie wollten, könnten sie das gar nicht besser machen :).
Wo es Logins gibt, da gibt es auch immer Hammer-Dulis, die ihr Passwort "verraten" (sei es durch Phishing, Trojaner, keylogger, usw.). Und natürlich schwören die meisten, dass sie "nichts" gemacht haben. Insofern ist es kein Blizzard-typisches Problem.
Die Anzahl solcher Leute ist Proportional zur Anzahl der verkauften Kopien.
Momentan scheint jede Mücke bei D3 ein Elefant zu sein.
Momentan scheint einfach nur genau das zu passieren wovor gewarnt wurde. Da wird nichtmal sonderlich übertriebenes Aufsehen veranstaltet, es kommt nur was logisch war, wenn nicht weniger als zu erwarten war. Verständlich da den betroffenen vielleicht ein wenig peinlich.
Puh, bisher wollte ich Diablo 3 nur wegen des langweiligen Spielprinzips nicht spielen. Jetzt gibt es ja immer noch mehr Gründe dafür. :P
Aber ich sollte nicht so das Maul aufreißen. Wenn Heart of the Swarm rauskommt und den gleichen Käse veranstaltet, bin ich wahrscheinlich mittendrin. :/
Ok, nicht ganz. Ich muss nicht immer sofort am Erstverkaufstag loslegen und mich dann über überlastete Server ärgern. Da warte ich halt eine Woche, dann sind solche Kinderkrankheiten auch gefixt.
Also die Woche ist ja schonmal rum ;).
Du würdest wirklich Heart of the Swarm kaufen, wenn Blizzard auch da Always-On-Zwang einbaut?
Es sind die Zerg, wie soll man da widerstehen? :/
Ganz einfach: Widerstehen!
Im ersten Satz sollte kein "leider" stehen - für mich ist das ein klarer Fall von "Gott sei Dank". Single-Player-Spiel, Account-Hack, was soll man da noch sagen?
Jaaaa, das ist wirklich ne denkwürdige Zeit. Nämlich der Schnittpunkt wo AAA SINGLEplayer Games nun Accountechnisch so funktionieren wie ein MMO´s.
nun ja ... also von mir aus kann Blizz und die Hacker machen was sie wollen ... mir wurde das Game schon ab Alptraum wirklich dröge nur gut das ich nix dafür bezahlt habe ...hätte mich dann sicher noch mehr geärget ---- Die Bosse und deren "Fähigkeiten" sind in jedem Schwierigkeitsgrad ein Witz ... da ist jeder "elite-Traspack" um welten schwieriger .
Wer spielt denn auch Diablo 3, wenn Torchlight 2 vor der Tür steht? :)
Wenn bei Teil 2 genauso schlecht kopiert wird, bleibe ich lieber weiterhin beim Original. ;)
Also ich spiele die Beta und erfreue mich tierisch darüber, dass es eben nicht wie Diablo III, sondern eher wie ein verbessertes Diablo II ist. :)
statt sich immer nur über die firmen aufzuregen, sollte man sichsich auch mal über die penner aufregen die das ganze doch verursachen. die scheiss chinafarmer die damit ihr geld machen wollen! verurteilt diese menschen mal. die machen schließlich damit die spiele im arsch! jedes unternehmen kann gehackt werden, da kann es noch so "sicher" sein! auch steam und co wurden schonmal gehackt.
also tut doch jetzt nicht so als ob blizzard das nur passiert...
google mal china gefängnis goldfarmer du verwöhnter erstewelt schösel.
und genau das muss man verhindern. die verantwortlichen die dahinter stecken.
und dann gibt es noch die leute die das ganze unterstützen, in dem sie die klamotten kaufen die angeboten werden. dadurch das es so viele spinner gibt die solche angebote kaufen wird sowas gefördert.
die verantwortlichen kriegst du aber nicht indem du die gefängnisinsassen die geschlagen werden wenn sie nicht genug farmen demonisierst. oder chinesische bauern die damit hin und wieder mal nicht hungrig schlafen gehen. denen solltest du es gönnen!
du spielst in einem spiel mit marktplatz. kaufst du das spiel kaufst du damit auch die bedingung, das leute damit geld verdienen. ohne onlinezwang hättest du diese probleme nicht. die verantwortlichen sind also nicht die chinesischen opfer, sondern die raffgierigen ceos, und die käufer die sowas mit geld unterstützen und für alle weiteren spiele durchboxen.
Die Verantwortlichen kriegst du, wenn du die Spieler mit nem Bann versiehst, die sich auf irgendwelchen grauen "Marktplätzen" Gold und weiß der Teufel was für Geld kaufen.
Aber das würde Blizz nie machen, weil das die Idioten sind, die sich auch X mal WoW neu kaufen wenn sie wegen schlecher Umgangsformen gebannt werden.
Statt dessen bauen sie selbst den Marktplatz ein um Provision dran zu verdienen.
Die Schlussfolgerung verstehe ich nicht. Nur weil die CEOs bzw. die Unternehmen (wie Blizz) jetzt ein Auktionshaus mit Online Funktion bereitgestellt haben ist diese Firma dran Schuld das arme Chinesen Gold farmen müssen!? Oder sollen sie daran Schuld sein das durch oben genannte Funktionen gewisse Kriminelle Menschen einfach einige Chinesen zwingen Gold zu farmen?!
Wenn du einem Waffenhersteller unterstellst das mit seinen Produkten Leid hervorgerufen wird, dann könnt ichs verstehen. Der Marktplatz (das AH) wurde als Feature für die normalen Kunden entwickelt. Das das ausgenutzt wird ist sehr schade, aber dann soll man doch bitte die URSACHE des Problems bekämpfen (also diejenigen die die Chinesen in Gefängnissen zwingen zu farmen!) und nicht die Augen zumachen und nur Blizzard oder CEOs anschnauzen weil das ja viel leichter ist.
Das Problem ist deutlich komplexer als einfach nur "Blizzard Bashing".
So viel dazu. Hab nie online gezockt, keine Maphacks oder sonstigen scheiß runtergeladen, plötzlich irgend nen typen in der friendlist den ich net kenn und mein ganzer account wurde leer geräumt. Mein passwort war sicher!!! Kann mir das jetzt mal einer erklären??? Ist das so schwer sicherheitslücken zu schließen? Wie komm ich jetzt wieder an meine Items? Neu anfangen? Danke Blizzard, und danke an die spasten die sowas machen. Nur einmal will ich so einen Treffen und ihm stellvertretend für alle anderen alle knochen in seinem scheiß körper brechen -.-
du kannst blizzard anschreiben die stellen den char vonner letzten account sicherung wieder her
genau das will ich vorerst nicht machen! Wenn das Problem bei Blizzard liegt (was ich schwer vermute) was bringt mir dann die Wiederherstellung? Einen erneuten Hack, mehr nicht...
dank real-ID gibts auch keine trennung mehr zwischen account und zahlungsinformationen die früher absolut davon getrennt waren. die daten sind damit auch in zwielichtigen händen.
Das kann übrigens gar nicht sein, wie dir Blizzard und die Blizzard-Fanboys versichern werden. Du MUSST diesen Maphack heruntergeladen haben oder in einer Phishing-E-Mail auf einen dubiosen Link geklickt haben oder ähnliches, denn Blizzard selbst KANN gar nicht Schuld daran sein. Erzählen sie dir und jedem anderen auch.
:) hehe, bei Rift waren wir auch alle selbst schuld, jaha..
Ist man automatisch ein Fanboy, wenn man die hochkochenden "Fachdiskussionen" in den Battle.net Foren die sich mal eben eine Übernahme der Session ID ohne jeden Beleg ausgedacht haben nicht unbedingt für bare Münze und die Realität nimmt?
Natürlich! Schließlich ist es doch in einer Diskussion viel leichter das Gegenüber als Fanboy abzustempeln als sich wirklich mit der Sache und der Unterhaltung auseinander zu setzen. :)
Nein, man ist Fanboy, wenn man alles, was Blizzard von sich gibt, für bare Münze nimmt.
Wir sind uns aber alle noch im Klaren, dass wir über irgendwelchen virtuellen Kram in einem Videospiel sprechen, oder? Nicht, dass ich hacken bagatellisieren will, aber deine geäusserten Gewaltfantasien kommen bei mir eher bei Menschen auf, die anderen einen wirklichen, körperlichen oder seelischen Schaden zufügen als beim entwenden irgendwelcher virtuellen, faktisch wertlosen Güter aus einem Computerspiel.
Mach dir keine Sorgen, er kann ihm nicht alle Knochen brechen .Weil so ein hinterhältiges Ar.....ch der anderen den Account ausräumt ,hat kein Rückrad
Stimm ich dir natürlich zu. Nichtsdestrotz ist und bleibt es Diebstahl. Hier sicherlich noch relativ harmlos, sobald allerdings das Echtgeld-AH losgeht, wars das mit Harmlos.
Von daher wär der Knochenbruch eine Präventivmaßnahme. Muss man nicht verstehen, ist einfach meine Meinung. Hat mit übermäßiger Gewaltbereitschaft rein garnichts zu tun. Mir gehts ums Prinzip.
Auch wenn dus mir nicht glaubst: Ich hab mich in meinem ganzen Leben nie geprügelt, bin jetzt 28 und stolz drauf. Man kommt mit Reden immer weiter. Auch meine Meinung. Aber in diesem Fall wärs mir einfach zu blöd
Da bin ich aber froh, dass ich mir Dialbo 3 noch nicht gekauft hab. Ich glaube ich warte noch etwas mehr ab. ;)
Ich hätte mal mit dem kauf warten sollen , zumindest bis das Spiel Beta status erreicht het
ick freu mir :-) kein diablo3, kein problem
Freuen wir uns doch einfach auf ein entspanntes Torchlight 2, das all diese Probleme nicht haben wird. Hurra!
Auch wenn ich Diablo 3 nicht sonderlich mag und Torchlight 2 für mich wesentlich interessanter klingt, so wünsche ich das hier Beschriebene keinem an den Hals geschweige denn, dass ich mich darüber freuen könnte. Wer so einen Unsinn macht, ist es nicht einmal wert, verachtet zu werden.
Nein, ich finde, man kann sich auf jeden Fall darüber freuen. Alle Käufer wussten um das Problem mit Always-On. Alle kannten die Probleme bei Ubi-Doof. Battlefield 3...ick hör dir trapsen. Was muss den noch passieren, damit die Leute ihr Geld nicht im Rachen dieser Idioten versenkt? Scheinbar gibt es genügend Unbelehrbare, die nach 2 Wochen jegliche Problemdiskussionen vergessen haben, die meinen, daß man doch die jeweils beste aller Firmen nicht kritisieren darf und das Alles gut wird.
Ich freue mir so einen Ast, daß sich die Vorhersagen immer und immer wieder erfüllen :-) Steter Tropfen höhlt den Stein....hoffe ich zumindest ^^
Du kannst den "kleinen" Teil der Käufer die sich vorher informieren und/oder später in Foren Rabatz machen, nicht mit "Alle" gleichsetzen.
Die Masse ließt, wenn überhaupt, ComputerBild oder Amazon Sternewertung :D Auf Computer bezogen gilt bei der Masse noch immer, denn sie wissen nicht was sie tun.
Ich bin mir relativ sicher dass ich keinerlei Trojaner und ähnliches aufm Rechner habe (Virencheck mit Avast läuft aber noch^^), da ich meine Surferei im wesentlichen mit meinem Linux Notebook mache.
Dennoch wurde seit gestern Abend mein Account übernommen und mein großer Char is komplett nackig in Akt1 (War vorher in Akt2 Nightmare) und hat Leute auf der Recently Played Liste mit denen ich nicht zusammengespielt hab (weil ich ausschließlich mit Leuten vonner Friendlist spiele die ich persönlich und das bisher auch nur 2x). Von daher scheinen die entweder mein PW geknackt zu haben (hässliche Vorstellung, aber möglich) oder aber es gibt noch Möglichkeiten reinzukommen ohne dass man offene Spiele kapert...
Hab jetzt erstmal n Ticket eröffnet und hab auch schon Antwort und werd dann wenn mein Virencheck durch is die Rücksetzung durchführen lassen. (Wird bestimmt Spaßig, weil die dafür meinen Realnamen vom Bnet Acc wollen und das isn Spaßname, weil mir der Realnamenzwang fürn Spielenetzwerk als totaler Humbug erschien und ich damals bei SC2 keinen stress damit hatte)
Ich wurde vorgestern morgen gehackt, während ich gespielt habe. Wurde rausgeworfen mit dem Infotext das sich jemand Anderes mit meinem Account eingeloggt hat. Habe mich sofort wieder eingeloggt, ausgetabbt und das Pw geändert. Als ich wieder zurück getabbt habe, bin ich auf ausloggen und neu einloggen gegangen. Mainchar gelöscht, Truhe leer. Twinks nicht angerührt. Habe ingame dann den Mainchar wieder hergestellt und festgestellt, dass er komplett geplündert wurden. Ticket geschrieben und 6 Std später wurde der Account wieder hergestellt auf 5 Min vor dem "Hack". Blizzard gewährt einem bei D3 zwei Accountwiederherstellungen.
Hatte bis dahin keinen Authenticator genutzt. Wohl selbst schuld. Habe ihn nun so eingestellt, dass ich bei jedem einloggen den Code eingeben muss.
Natürlich ist man als fast 30-Jähriger mit langer, sogenannter, Onlineerfahrung erstmal der Meinung, dass man nie und nimmer auf traditionellem Wege gehackt wurde. Ich schütze mein Sys mit Kaspersky 2012 und hab mich bisher immer recht sicher gefühlt. Ein Sicherheitsexperte bin ich naturlich nicht. Allerdings öffne ich logischerweise keine Mails von mir unbekannten Leuten und selbst wenn ich Anhänge von Freunden bekomme, schau ich 2x nach was es ist (Kommt aber eh nie vor). Ich habe ganz sicher keinen D3 Maphack oder sonstigen Schrott runtergeladen. Eigentlich habe ich zuletzt D3 runtergeladen und davor auch nur Sachen von langjährig besuchten, vertrauenswürdigen Seiten. Naja... Im Netz surf ich eben nur 5 Seiten ab und das ist n-tv.de, spiegel.de, gamersglobal.de, pcgames.de und chip.de. Ich weiss auch nicht...ich bin sicherlich kein Sicherheitsfanatiker aber ich dachte schon ( auch weil nie was passiert ist in all den Jahren), dass ich mich im Netz zu bewegen wüsste.
Dementsprechend hielt ich auch die exploitversion im Forum für wahrscheinlich, weil ich ja von mir denke, nichts falsch zu machen. Naja, ich hab mein System von Kaspersky komplett durchchecken lassen und es wurde nichts festgestellt... Aber irgendwie denke ich schon an die Möglichkeit mir was eingefangen zu haben was ich nicht finden kann....und das beunruhigt mich ehrlich gesagt ganz schön...
Andererseits gibts wieder Spieler im Forum, die angeben auf einem frisch aufgesetztem, nur mit OS und Treibern versorgtem System gespielt zu haben und auch gehackt wurden...ich weiss nicht was ich von all dem halten soll.
Deine Beschreibung passt aber zu dem was momentan unter dem Begriff SessionID-Hack durch die Presse geht. Da kann man nen noch so trojanerfreien Rechner haben und es kann einen dennoch ereilen...
Wenn es diese Möglichkeit zu exploiten gibt, sollte Blizzard das m.M.n. auch zugeben. ich schieb mords Panik, dass mein Rechner nicht mehr save ist...
Also, "Hi-Jacken von Session-IDs" klingt natürlich wirklich klasse und jeder redet davon... ohne jedoch mal genauer zu erklären, wie dies ünerhaupt konkret funktionieren soll.
Nach welchem Schema sind diese Session-IDs aufgebaut? Wie kriege ich sie raus? Könnte ich nicht einfach eine raten und Lotto-like auf den grossen Gewinn hoffen?
Wie konnektiere ich in diese Session ohne mich zu authentifizieren? Bin ich dann, schwupps, im Spiel diesesn anderen Accounts auch wenn dieser gar nicht eingeloggt ist?
Klingt für mich alles rechtg schwammig, höre mir aber gerne eine nachvollziehbare Erklärung an ;)
Ich möchts nur nochmal Anmerken das die gesamte Welle die gerade durchs Netz rollt aus 3 Threads, 2 im DE Forum (die auf dem US basierten) und einem US Thread basieren.
Es sind NUR Leute die es behaupten. Es gibt NULL Beweise und es ist einfach schwachsinnig sowas als Fakt anzusehen, weil es Leute behaupten die nach ihren eigenen Angaben ("Mein PC ist 100% sicher, da passiert NIEMALS etwas!!!") keine Ahnung von PCs haben.
Urban Legend unso
Ich versuchs mal.
Während des Spielens kommt es zu unterschiedlichen Ereignissen zu einer Kommunikation zwischen Client (Spiel) und Server. In diesem Fall wohl wenn z.B. Archivments erlangt werden.
Dabei kommuniziert der Client vorbei an allen Autentifizierungseinrichtungen der Server mit den Servern (ganz grob, gibt einen für Auten, einen für Login, einen für Archivments usw.).
Und dabei können wohl andere, die in der selben Spielinstanz sind, diese Kommunikation einsehen. Wohl sogar mit Netzwerksniffern wie sie z.B. legal bei Chip runtergeladen werden können (der wollte den Namen nicht nennen, ich tippe mal auf Whireshark).
Mir ist nicht ganz klar, warum die Komm zwischen einem Client und Server von einem anderen Client in der selben Instanz eingesehen werden kann, möglich ist es aber. Wäre aber schon mal selten dumme Netcodeprogrammierung.
Nur ist in diesen Datenpaketen wohl die SessionID. Keine Ahnung ob plain Text oder etwas verschlüsselt oder in einem Datenpaket. Man bedenke, die Hacker hatten seit der Beta Zeit Datenpakete zu durchforsten. Aber sie ist da.
Jetzt hast du die SessionID. Und jetzt fehlt dir nurnoch ein kleines Script, dass irgendwie die Server davon überzeugt, dass nicht der orginale Besitzer der ID jemand Falsches ist. Keine Ahnung wie das bei Blizzard implimentiert ist. Scheinbar geht es aber. Und da die SessionID eventuell nicht mal mit der IP und MAC abgeglichen wird, wird es noch einfacher. Wobei sich beides auch fälschen läßt. Theoretisch würde sogar ein DDos gehen. Der andere fliegt einfach wegen einer zusammenbrechenden Verbindung. IP solltest du ja auch von den anderen Datenpaketen haben.
Nun hast du die SessionID und die Server bei Blizzard denken, dass du der Bist, dem du grade die Session geklaut hast.
Die Frage ist ja, wie sie dannach weiterverfahren.
Es wäre möglich die Session per Script an einen 3. weiter zu reichen, der mit einem modifizierten Client nur drauf wartet und der dann gleich in die Schuhe des gekickten schlüpft. Sprich Session geht von Nr. 1 auf Nr. 2 für den Kick und dann auf Nr. 3 oder sie geht direkt von Nr.1 auf Nr.3 und der Kick erfolgt zwischendrin.
Da die meisten Berichten (die sagen wo sie den Char gefunden haben), dass der Char im 1. Akt des niedrigsten Schwierigkeitsgrades steht und nur der zuletzt aktive Char ausgeräumt wurde, kommt der 3. eventuell nicht wirklich ins Hauptmenü oder sonstiges sondern übernimmt eventuell direkt den Charakter.
Dazu kommt, dass es wohl wie bei WoW unter Umständen nicht möglich ist "Freunde" abzulehnen. Dann könnte selbst bei einem geschlossenen Spiel die ID abgefangen werden. Ich weiß nicht ob auch "Freunde" errungene Archivments von "Freunden" angezeigt bekommen. Oder sonstwas.
Das auch andere gehackt wurden. Es muss ja nicht ein einheitlicher Hack sein. Bei so einem Spiel sitzen sicherlich einige Gruppen dran. Was auch möglich wäre (und was der Oberhammer wäre) ist, dass die Sessions nicht direkt nach dem Beenden geschlossen werden. Da würde es sogar ausreichen, wenn du eine IP der Region fakest (Serverregion Europa, IP aus Mitteleuropa und fertig) und von einem Zufallsgenerator ausgespuckte SessionIDs ausprobierst. Kommt ganz drauf an wie die Server arbeiten.
Etwas ähnliches wurde bei Rift durchgeführt. Mal unübersetzt aus dem D3 Forum (google sei dank, die beste Erklärung
"RIFT's hack was due to the login information being on the patcher and not in game itself. If there is a hack going on, it's not going to be quite the same as the game itself authenticates you. RIFT's was because the authentication was being transferred from the patcher to the game with an ID#. That ID# could be used by an outside source coupled with an E-Mail address (login) to spoof the game client into thinking you were the original person logging in."
us.battle.net/d3/en/forum/topic/5149149764
Da Passwörter und der Autentifikator laut einiger Aussagen nichts bringen. Unmöglich ist es nicht.
[quote]
Mir ist nicht ganz klar, warum die Komm zwischen einem Client und Server von einem anderen Client in der selben Instanz eingesehen werden kann, möglich ist es aber. Wäre aber schon mal selten dumme Netcodeprogrammierung.
[/quote]
Richtig. Das ist so niemanden klar. Und bislang fehlen genau dafür *Beweise*. Aussagen wie "Woah, ich habe es mit einem Programm, dessen Namen ich nicht nennen möchte, überprüft" ist kein Beweis.
Go on. Wenn es so einfach ist wie in den Session-ID-Hack-Diskussionen gesagt, dann sollte es ja kein Probelm sein, echte und nachprüfbare Beweise zu veröffentlichen.
Veröffentlicht Logs! Beweist es! Nicht sage, sondern zeigt der Welt schwarz auf weiß, daß die Session-ID-Theorie keine Theorie, sondern wahrheit ist.
Aber redet nicht über eine Theorie als wenn es Fakt wäre, nur weil sie sich so schön anhört - und man es nicht beweisen kann.
MfG
"Im Netz surf ich eben nur 5 Seiten ab und das ist n-tv.de, spiegel.de, gamersglobal.de, pcgames.de und chip.de"
http://www.gamersglobal.de/news/52323/hackerangriff-bei-computec-media
Der Trojaner wurde drei Tage lang von fast keinem Antivirenprogramm erkannt.
"Andererseits gibts wieder Spieler im Forum, die angeben auf einem frisch aufgesetztem, nur mit OS und Treibern versorgtem System gespielt zu haben und auch gehackt wurden...ich weiss nicht was ich von all dem halten soll."
Mit einen frisch aufgesetzten OS ins Internet zu gehen ist auch nicht so schlau bzw. ohne ein Serviespack ;)Was wäre wenn gerade der Treiber verseucht ist,da kann ich das System immer wieder frisch aussetzen ohne das es sich was bessert.
Du hast vollkommen recht..nur mich schockierts halt. Wenn ich mir schon auf solchen Seiten Sorgen machen muss... Andererseits schließe ich auch Sicherheitslücken bei Blizz nicht aus... Bei Sony gings ja auch
Du musst dir nur sorgen machen, wenn du auf solchen Seiten Javascript und Flash aktiviert hast und vor allem, wenn du Werbung aus Drittquellen anzeigen läßt.
Sorry GG, aber Werbetreibende hatten schon zu oft verseuchte Scripte, die sie fröhlich verteilten. JPEG und GIF oder garnich.
letztens gab es auf reddit nen sehr schönen thread von nem botnetzbetreiber und malware-coder (www. reddit.com/r/IAmA/comments/sq7cy/iama_a_malware_coder_and_botnet_operator_ama/ leerzeichen entfernen ^^). lohnt sich auf jeden fall, das mal zu lesen. ich war danach kurz davor, meinen virenscanner einfach zu deinstallieren, weil sich solche menschen, die malware basteln und ein wenig ahnung vond em haben, was sie tun, anscheinend keinerlei angst vor kaspersky, avg, avast oder antivir haben :D da gibts wohl jede menge mittel und wege, um solche software auszutricksen und nur die ganz bekannten, bzw faul programmierten (aka einfach das exploit-kit irgendwo kaufen und unverändert versuchen, das leuten anzdrehen) werden erkannt. in dem thread gibts auch ein paar tipps dazu, was für tools man benutzen sollte, wenn man wirklich mal den eigenen windows-rechner durchchecken möchte.
Gegenfrage: Hijackthis? GMER? Bei aktivem WoW oder D3? Bnet SMS aktiviert? Kaspersky - reiner Virenscanner oder eine Suite, die auch weitere Angriffsformen abdeckt?
MfG
Was fürn Aufstand wegen einer Handvoll gehackter Accounts! Die Wahrscheinlichkeit vom Auto überfahren zu werden ist wohl 100x größer.
SORRY!!!!!
Es gehört nicht ganz hierher, aber das ist die am weitesten oben platzierte Diablo 3 News ;)
Hat wer von Euch, die das Spiel spielen, bereits etwas mit Erfolg im Auktionshaus verkauft und sich den Goldbetrag an seine Beutekiste schicken lassen?
Ich frage deshalb, da ich seit einer Weile auf die Goldsendung warte.
Items sind innerhalb Sekunden in der Truhe, aber das Gold ist bisher nicht hinzu addiert worden.
Hat jemand ähnliche Erfahrung gemacht, oder weiß was dahinter steckt?
LG und sorry für deplatzierten Post, nur spuckt Google nichts zu dem Thema aus...
Es gibt ein eigenes Diablo 3-Unterforum hier. Vielleicht solltest Du es da einmal versuchen.
Danke Dir, ist erledigt :=)
Hätte ich ja auch drauf kommen können ;)
Soweit ich weis mußt du nach erfolgreicher Auktion im Auktionshaus auf den Reiter abgeschlossene Auktionen gehen da sieht du dann was du alles verkauft hast und da hast du auch ein Feld/Buton um das Gold in die Beutetruhe zu senden.
Hab ich gemacht, Items die ich erworben hab waren sofort da, Gold was ich durch einen Verkauf bekommen hab nicht!!! :(
Ging bei mir bisher immer ohne Probleme und ohne Verzögerung.
Also bei mir gabs bisher auch keine Probleme.
Ist das Gold dann in der Truhe? Also als anklickbares Item, welches dann das Gold im Inventar erhöht? Oder beim Einloggen gleich hinzuaddiert?
Ist total ärgerlich, aber er hat es definitiv NICHT gewertet bei mir...
Schade, weil Käufe gingen immer...
War mein erster Verkauf, der es natürlich gleich mal nicht gebracht hat ;(
Nein dein Gold erhöht sich sofort. Siehst du gleich an deinem Goldstand der auch im Auktionshaus angezeigt wird wen du es Transferierst.
Danke für die Infos, komisch das alles...
Ansonsten mal an den Support wenden vielleicht können die dir ja helfen.
Um es eventuell etwas zusammenzufassen.
1) Derzeit werden extrem viele D3 Accounts kompromitiert.
2) Das hängt nach gegenwärtigen Aussagen nicht mit einer Sicherheitslücke in D3 zusammen, sondern mit den Klassischen Methoden wie Keylogger und Phishing-Seiten.
3) Nur weil jemand nie auf XXX Seiten surft, heißt das nicht, daß man nicht sich Malware herunterladen kann - unbeabsichtigt. Stichwort Curse-Client für WoW (überflüssig zu erwähnen, daß es eine große Schnittmenge zwischen WoW und D3 Spielern gibt), Buffed.de Hack, Adope Flash Hack etc. Einfach in Google ein wenig die letzten Virenwarnungen der letzten Moante durchforsten und erschütttert sein, wie leicht man sich in welchen Größenordnungen infizieren kann - selbst wenn man nur 10 Minuten im Internet ist.
4) Nur weil jemand einen Virenscanner hat, heißt das nicht, daß das System bombenfest ist. Es ist bestenfalls etwas windgeschützt.
5) Blizzard stellt eindeutig fest, daß *derzeit* die Session-Id-Hack-Theorie komplett unhaltbar ist. Wie man ja selber auch sieht, melden sich Spieler, welche nur im Open Mode unterwegs waren als auch Spieler, welche nur im Privatmodus untterwegs waren.
5) Im gleichen Atemzug liest man auch im Forum, daß sich über 35 000 Leute einen D3 Maphack heruntergeladen haben, nur um festzustellen, daß dieser nicht funzte. Was offenbar laut diesen Berichten im *tusch* Internet *tusch* funktioniere, war der darin enthaltene Keylogger.
6) Blizzard stellt *derzeit* eindeutig fest, daß derzeit Accounts mit Authenticator nicht gehackt wurden - mit Ausnahme extrem aufwendiger Man in the Middle Attack (mit Gruß aus WoW.
7) Gehackte Accounts, sofern ein Hack nachvollzogen werden kann, werden durch einen Rollback wiederhergestellt - 2x maximal. Das ist eine Rückstufung auf einen Zeitpunkt vor dem Hack. Diese Methode ist offenbar nicht perfekt, wenn man sich das Feedbac
8) Wer im Jahre 2012 ohne umfassende und qualitativ *hochwertige* Computersicherheitssoftware herumläuft (also nicht die 1.90 CD vom Kiosk, sondern in der Tat zertifizierte und überprüfte Schutzsoftware, welche in bestimmten Fällen sogar kostenlos ist) und im Falle von Blizzard ohne kostenlosen Authenticator (oder einen Authenticator im Werte von 2 Bieren für Leute ohne Handy) ist ungefähr genauso schlau wie jemand, der ungeschützten Geschlechtsverkehr hat. Es kann gut gehen, aber es kann auch verdammt beschissene Folgen haben.
9) Sicherheit fängt im eigenen Haus an. Und erst da geht es die Linie über den Provider bis zum Serverbetreiber. Wer sich aber behaarlich weigert, erstmal bei sich zu putzen, wird ständig gehackt werden und darf sich dann ständig über andere beklagen.
MfG
Zu 8.
So ein Ding, das selbständig Passwörter generiert und mit dem Server austauscht ist so nützlich wie ein Kropf.
Das schützt genau vor einem Szenario. Dem Phishing.
Wenn Spyware mit Keylogger auf dem System ist, dann kann jede Datei auf dem Rechner nach dem PWD abgesucht werden, dann kann jeder Tastenanschlag aufgezeichnet werden und dann kann die Zwischenablage kontrolliert werden. Und natürlich kann auch jedes Datenpaket abgefangen werden, dass von irgendeinem Stück Hardware versendet wird.
Einziger "Vorteil". Es kommt keiner in deinen Account so lange du nicht versuchst dich einzuloggen. Sonst fängt der Trojaner die Daten ab, spuckt dir eine Fehlermeldung aus und leitet brav die ganze Kommunikation zwischen Hardware und Server zu seinem Meister um.
Und wenn es die Smartphonevarriante sein darf, siehe unter Tastendruck + Trojaner.
Gleichzeitig aber auf Groß und Kleinschreibung bei den Passwörtern scheißen. Ja ganz groß.
Blizzard stellt das ebendso wenig fest wie die Leute von Rift. Wenn ich das richtig gelesen habe, dann haben Leute wirklich schon die SessionIDs von anderen auslesen können. Bisher haben sie noch etwas respekt vor dem Bannhammer. Warte noch ne Woche.
Und schön, das Blizz meint, dass niemand mit dem Authmist gehackt wurde. Schau mal etwas weiter oben. Da sind schon mal Links zu 3 Personen die im offiziellen Forum angegeben haben TROTZ dem Teil gehackt geworden zu sein. Daher gebe ich auch viel auf die Aussage von Blizzard, dass sie bisher nichts feststellen konnten.
Erinnere dich, bei Sony war erstmal auch alles in Ordnung.
Nichts, aber auch gar nichts von deinem langen Text liefert irgendwas Neues. Du kaust einfach nur Blizzard-Aussagen nach. Die kann man genauso gut glauben oder nicht glauben wie die vielen Berichte von Spielern. Genau wie Blizzard unterstellst du allen betroffenen Spielern schlicht Dummheit. Und bei allen trifft das sicher nicht zu, obwohl, wenn ich's mir recht überlege... hätten sie ja Diablo 3 gar nicht gekauft, wenn sie wenigstens ein bisschen weitsichtig wären ;).
[quote]Nichts, aber auch gar nichts von deinem langen Text liefert irgendwas Neues
Das ist richtig, Man beachte bitte meinen ersten Satz: "Um es eventuell etwas zusammenzufassen." ;-)
MfG
Schon, aber deine "Zusammenfassung" ist ja eine sehr einseitige.
So ein Ding, welches selbstständig PWs generiert? Du meinst einen Authenticator? Das Ding, welches entweder ein externes Gerät ist - oder auf einem externen Handy ist? Also was nicht auf dem verseuchten Rechner ist und dessen 30 Sekunden Passwörter deswegen nicht vom Keylogger abgefangen werden könenn? Meinst du das?
MfG
Ah, die Session ID -Theorie. Verfolge mal deren Berichte zurück und gucke Dir die Webseite an, wo das Gerücht das erste Mal gestreut wurde. Die Theorie zum gegenwärtigen Zeitpunkt ist ein perfektes Beispiel dafür, wie schnell Gerüchte und Berichte ohne technische Grundlage als "Fakt" dargestellt werden.
Und nein, warum soll ich eine Woche warten? Die Leute werden *jetzt* kompromitiert. Nicht erst in einer Woche von Leuten, die Angst vor dem Bannhammer haben. *schmunzelt*
Wie ich schon sagte: die eigene Account- und Computersicherheit fängt bei Dir zu Hause auf Deinem Rechner an. Und geht von da über mehrere Stellen an Schneesturm, welche ebenfalls ihren Teil tragen muß.
MfG
Und nochmal zum Authenticator. Die einzigen zwei Möglichkeiten, wie man derzeit den Blizzard Authenticator (egal ob per Handy oder als Token) umgehen kann, sind die Man in the Middle Attacks oder die Removal Attacks.
MitM:
- Der Rechner des Spielers ist verseucht.
- Der Spieler loggt sich ein und gibt Email, Passwort und die neu generierte Authenticator-Nummerfolge ein.
- Die Malware schickt diese 3 Daten an den Rechner des "Hackers" und schickt eine falsche Datenfolge an den Blizzard Server.
- Der Server schickt an den Spielerrechner eine "Nicht korrekt" Meldung zurück, während der Hacker sich mit den Daten einloggt. Zeitrahmen dafür wenige Sekunden.
Removal Attack:
- Der Rechner des Spieler ist verseucht.
- Der Spieler loggt sich ein und gibt Email, Passwort und die neu generierte Authenticator-Nummerfolge ein.
- Die Malware unterbricht das Abschicken an den Server und der Server schickt ein "nicht korrekt" zurück.
- Dies passiert solange, bis der Spieler genervt den Authenticator herunternimmt.
MfG
Och, die Theorie kam zuerst im Blizzardforum auf, weil viele Berichteteten aus laufenden Spielen gekickt geworden zu sein um sie dann auszuräumen. Und das sie komische neue "Freunde" hatten. Teilweise wurden sie auch nach der eigenen Session ausgeplündert (sorry, Raub kommt mir bei sowas noch etwas schwer über die Lippen) und das ganze trotz dieses tollen Stück HW, dass Blizzard so groß als Lösung aller Probleme darstellt.
Und in irgendeinem Thread hat jemand geschrieben, dass er wohl wirklich was im Netzwerkverkehr gefunden hat.
War im Deutschsprachigen Teil des Forums in irgendeinem der vielen Threads dazu.
Aber der wollte nicht mal den Namen des Netzwerksnifferprogrammes schreiben. Meinte aber er will es machen, wenn Blizzard nicht mit der Warheit rausrückt.
Ich halte es da jetzt mit der alten Weißheit, Abwarten und Tee trinken. Oder etwas neuer, das Popcorn steht schon bereit ;).
[quote]
Und in irgendeinem Thread hat jemand geschrieben, dass er wohl wirklich was im Netzwerkverkehr gefunden hat.
War im Deutschsprachigen Teil des Forums in irgendeinem der vielen Threads dazu.
[/quote]
Die Orignalwebseite IIRC & AFAIK mit dieser Meldung war eine englischsprache. Schau mal über den großen Teich in das US Forum.
[quote]
Aber der wollte nicht mal den Namen des Netzwerksnifferprogrammes schreiben. Meinte aber er will es machen, wenn Blizzard nicht mit der Warheit rausrückt.
[/quote]
Weil der Name von einem Netzwerksnifferprogramm auch so geheim ist. :-)
[quote]
Ich halte es da jetzt mit der alten Weißheit, Abwarten und Tee trinken. Oder etwas neuer, das Popcorn steht schon bereit ;).
[/quote]
Ich vergeben +1 und erweitere mit "fangt an, Euch endlich um die Sicherheit des eigenen Computers so zu kümmern wie um die Sicherheit Eures Autos oder Eures Hauses. Da läßt Ihr ja auch nicht die Türe offen."
MfG
Keine Lust, habe das Spiel nicht, futtere nur meinen gepoppten Mais ;).
Den Namen wollte er wohl nicht, weil er nicht zu viele Kiddys zum Spielen ermuntern wollte. Meine Wette ist Whireshark, was besseres gibts kaum. Finds immer witzig wie oft und wie viele Autoupdater in manchen Netzwerken rumbrüllen.
Ich zweifle aber schon länger an der Sicherheit bei Blizz.
Ohne jetzt mal die Seite generell zu bewerten. War einer der fiesesten Post zu Blizzard in den letzten Wochen
board.gulli.com/thread/1703939-diablo-3-spieler-berichten-ueber-gepluenderte-accounts/?s=459d5031416f0221763d2d69f47c066a&p=14507907#post14507907
Ich meine, wenns selbst bei jemanden mit ausgeprägter Paranoia zu nem Treffer kommt...
Naja, ich warte auf das Vid von dem Typen. Der meinte was von 2 Wochen Frist. Bis dahin. *mampf*
Ich habe die Diskussion in den Battle.net Foren als Spieler verfolgt. Das war das reinste Stille Post spielen und eigentlich nur gut zur Unterhaltung mit dem erwähnten Popcorn...
Binnen kurzer Zeit wurden, ohne nennenswerte neue "Betroffene" aus den ursprünglichen Dutzenden Hacks, hunderte und dann tausende... Die Leute in den deutschen Foren verwiesen als Beleg für ihre SessionID Idee auf die US Foren, die Leute dort hingegen auf die deutschen Foren...
Die einen behaupteten, dass sie gekickt worden wären, da der Account übernommen wurde und sich der Hacker eingewählt habe, die nächsten, dass sie nicht mehr in Ihren Account reinkommen, da der gerade vom Hacker ausgeräumt werde - was passiert den nun wirklich, wenn sich jemand ins Battle.net mit identischen Zugangsdaten von einem anderen Rechner einwählt?
Die nächsten behaupteten dann, dass die Wartungsarbeiten am Sonntag mit der entdeckten "Sicherheitslücke" zusammenhängen - Logo dann nimmt Blizzard nur die EU Server offline und die Hacks passieren erst danach...
Dem nächsten hat der Freund eines Freundes erzählt, dass der wen kennt, der in einem Hackerforum unterwegs ist und da der Hack allgemein bekannt sei...
Und dann kamen die üblichen Abschreiber wie Winfuture und haben aus diesen munteren und teilweise offensichtlich unsinnigen Theorien basierend auf Forenbeiträgen Fakten gemacht, die nun wieder in den Foren als Beleg für ihre Behauptung herhalten dürfen... HILFE...
Wahrscheinlich kommt er nicht rein, wenn die ID schon vergeben ist. Nur um mal auf den Punkt einzugehen.
Und der Hacker hat vielleicht auch nur so lange Zeit, bis die Session abgelaufen ist. Vielleicht verfällt die Session ja nach 100s oder so. Wer weiß. Wäre nicht das erste Spiel, bei dem es zu Sessionklau kommt, daher nicht um so viele Ecken gedacht die Idee.
Vielleicht wirft der Server auch ne Münze und entscheidet so wen er schmeißt. :D
Aber Stille Post wird es doch immer bei Blizzard. Die großen Schweiger der Spielebranche. Zumindestens wenn es um Kundensupport geht.
Was soll da sonst schon rauskommen als so ein Schneeballsystem.
quote
was passiert den nun wirklich, wenn sich jemand ins Battle.net mit identischen Zugangsdaten von einem anderen Rechner einwählt?
Das ist relativ einfach zu beantworten: der letzte Spieler loggt sich ein und der vorletzte Spieler wird gekickt.
MfG
[i]Die einen behaupteten, dass sie gekickt worden wären, da der Account übernommen wurde und sich der Hacker eingewählt habe, die nächsten, dass sie nicht mehr in Ihren Account reinkommen, da der gerade vom Hacker ausgeräumt werde - was passiert den nun wirklich, wenn sich jemand ins Battle.net mit identischen Zugangsdaten von einem anderen Rechner einwählt?[/i]
Ich behaupte es nicht nur, es ist sogar Tatsache o.O
Es passiert folgendes:
Ein Fenster poppt in der Mitte des Bildschirms auf mit der Meldung "Verbindung zum Server verloren, da sich jemand mit ihrem Account eingeloggt hat" (nicht wortwörtlich aber sinngemäß).
Jop genau. Die Verbindung wird unterbrochen, man bekommt aber den Hinweis, dass ein anderer sich mit dem Account eingeloggt hat.
Und über welche Verbindung werden die Passwörter dann übertragen? Über den Verseuchten Rechner über den du dich einlogst und dieses Zeichenfolge eingeben musst?
Supi.
Bei den neuen Tanverfahren beim Onlinebanking sollen nicht umsonst 2 unabhängige Geräte mit voneinander unabhängigen Datenverbindungen eingesetzt werden.
Ist in diesem Fall nicht gegeben. MM wurde dir schon erklärt. Ist der Rechner kompromitiert ist der Autentifikator genau so sicher wie jedes andere Passwort, dass du eingeben sollst.
Ähm, der Autenticator IST das zweite unabhängige Gerät. Entweder auf dem Smartphone oder als Schlüsselanhänger...
Nein, ist es nicht! Da es über keine zweite Unabhängige Datenverbindung verfügt. Auch die auf dem Smartphone nicht. Du gibts den vom Autenticato generierten Code über den PC ein, oder etwa nicht? Damit ist es nicht unabhängig. Den Code, dein Password + Account kann ich damit in Echtzeit mit einem Trojaner abfischen.
Das Passwort, also das feste Passwort, wird zusammen mit Deiner Email von Deinem Rechner über Deinen Internetanbieter an Schneesturms Server übertragen.
Die einmalige, alle 30-60 Sekunden neu generierte Ziffernfolge eines Authenticators entsteht aber erst auf einem *externen* Gerät: entweder einem physischen Authenticatortoken oder der kostenlosen Mobile Authenticator app für Smartphones. Dieses Gerät ist erstmal völlig unabhängig vom PC.
Logischerweise, wenn Du einen Keylogger Dir eingefangen hast, so erhält der Hacker sowohl Dein festes Passwort als auch Deine Emailadresse als auch die zum Zeitpunkt X gültige 6 stellige Ziffernfolge vom Authenticator
Der entscheidene Punkte ist: nach ein paar Sekunden ist der Code nicht mehr gültig. Wenn der Hacker also den Authenticator Code für Zeitpunkt X erhält und sich dann bei Zeitpunkt X+1 einloggt, so hat er zwar immer noch das korrekte Passwort und die Email, aber er kriegt keine neue Authenticator-Ziffernfolge. Die würde er nur kriegen, wenn er im gleichen Raum wie der Spieler ist. Denn der kriegt sie ebenfalls nur nur einen erneuten Druck auf die Authenticatortaste.
MfG
Und das heißt: selbst wenn ein Keylogger aktiv ist: solange ein Authenticator aktiv ist, ist ein Blizzard Battle.net Account weiterhin sicher. Der Hacker kann sich eben nicht mit dem Authenticator-Ziffern einloggen - die sind schon längst wieder veraltet.
Ich könnte Dir jetzt theoretisch meine Emailadresse, mein D3 PW und sogar jetzt aktuelle Ziffernfolge vom Authenticator verraten - und Du würdest Dich selbst nach wenigen Sekunden nicht mehr einloggen können - eben weil die ZIffernfolge des Authenticators schon längt wieder erneuert wurde.
Einzige Ausnahme MitM-Attacke, bzw die Unterbrecher-Attacke, siehe Erklärung.
MfG
Du hast es selbst geschrieben aber nicht erkannt.
Ist der Rechner verseucht ist es nur eine zeitkritische Angelegenheit, weil der Authcode nur einige Sekunden gilt. Das reicht aber vollkommen, wenn du den Rechner richtig gut verseucht hast.
Ein System mit 2 unabhängigen Geräten bedeutet, dass du mit einem anderen Gerät über einen anderen Kanal bestätigst. Genau das geschiet hier nicht. Schließe mich daher dem über mit an, Man in the Middle ist das Wort.
Richtig. Und worauf basiert die MitM-Attacke. Genau, auf einem verseuchten PC des Spielers. Da allerdings die meisten keinen Authenticator haben, spielen MitM-Attacken kaum eine Rolle. Zumal sich derzeit tausende, wahrscheinlich hundertausende von Spielern ständig ein/aus/umloggen und daher ein Hacker kaum so viele Accounts in Sekunden übernehmen kann wie er theoretisch könnte.
MfG
Ähm, du schreibst grade so, als wenn der Hacker das selbst machen müßte.
Wenn die alles zusammen ankommt braucht nur ein Bot anspringen. Die können heute nicht wenig.
Außerdem, was ist für dich ein Keylogger, außer er nicht Zeitkritischen MitM (ich weiß, nicht wirklich, aber vom Prinzip her...).
Da ja welche mit dem komischen Autentifikatorteil auch die Accounts geräumt bekommen haben gibt es entweder eine MitM oder es gibt die Session MitM. Einen recht gut organisierten Angriff gibt es auf jeden Fall.
Wenn allerdings mehr das Teil benutzen, dann kannst du davon ausgehen, dass es viel mehr MitMs geben wird. Automatisiert. Ist alles nur eine Frage davon, was am Einfachsten ist. Derzeit ist es noch Phishing und Keylogger.
Ah, noch am Rande zu dem "Ich habe im Internet gelesen".
Also, ICH habe im Internet gelesen, daß sich über 35 000 Spieler den D3maphack heruntergeladen haben - der ein einziger übergroße Malware ist. Da es im Internet steht, muß es nach der gleichen Logik wie "lol, mein Rechner ist sicher, Blizzard wurde wegen Session ID Hack exploitet" wahr sein. Ergo: 35 000 Diablo 3 Spieler sind selber schuld. Schließlich stand es so im Internet.
Ich meine, es ist ja nicht so, daß die Hacker nicht den Launch von D3 seit Monaten selber hätten vorbereiten können. Es ist ja auch nicht so, daß es eine gigantische Nachfrage nach Gold zu erwarten gewesen wären. Schließlich hat D3 nicht alle Vorbestellerrekorde übertroffen. Und sicherlich ist es einfacher, zero day exploits zu entwickelndie noch geschlossene als die Millionen von ungeschützten Rechnern zu infiltrieren, die bestenfalls eine Heft-CD als Schutzsoftware verwenden.
Ich meine, schlag einfach auf Google Dinge wie Virenwarnung doer Verseuchte Rechner nach. Guck Dir die Zahlen an. Fast 40k Rechner in Deutschland mit dem DNS Changer. Eine halbe Million Mac Rechner als Botnet.
Und dann ist es eher glaubwürdig, daß eine Firma, deren geschäftliches Überleben vom Schutz der persönlichen Userdaten abhängt (und ja, Schneesturm ist weit mehr davon abhängig als zb Sony) sich einfach per Session ID übernehmen läßt (was recht interesant wäre, denn dann wären auch die WoW Accounts komplett gaga), aber es ist nicht vorstellbar, daß die Masse der Hacks in der Tat von infizierten Userrechnern abhängt? Obwohl es für Hacker eigentlich deutdlich einfacher sein sollte, diese Dinger an einfache, normale Benutzer zu verteilen und nicht an Zero Day Exploits zu feilen?
MfG
Jedes Item sollte doch wohl eine Unique ID haben, oder nicht? Müsste doch ein leichtes sein die Beute zurückzuverfolgen. Echtgeld gibt es auch noch keins, also kann man sich auch noch nicht die Taschen voll machen.
Eigentlich ist das ganz einfach Hacks werden vorbereitet besonders wenn es über einen bekannten Login geht. Viele warten dann einfach wann das Spiel kommt und benutzen dann erst einen Trojaner warum auch nicht in WoW lohnt es sich ja zurzeit nicht. Blizz hat denke ich genung erfahrung ein Spiel sicher zu machen und bei sovielen D3 Nutzern ist das eigentlich normal.
noch ein grund mehr für mich mit dem kauf von diablo 3 zu warten.
Ist ja wirklich ein grosses Rätsel, wie es zu den Account-Plünderungen kommt. Ist es die Schuld der Spieler, die Hacks installieren oder ihre Passwörter verraten? Ist es eine Schwachstelle im Spiel? Wie immer in solchen Fällen gibt es so viele Mutmassungen, Hypothesen und Anschuldigungen, dass sich kein klares Bild der Lage erfassen lässt. Angeblich haben sich die erbeuteten Goldbeträge auch schon im AH bemerkbar gemacht, was einen kriminellen Hintergrund zu bestätigen scheint: http://us.battle.net/d3/en/forum/topic/5149010600?page=1
Wie läuft das bei D3 eigentlich? Gibt es pro Sprachraum ein grosses AH oder werden die Spieler auf Realms verteilt, wie bei WoW? Ich denke der Imageschaden für Blizzard wird beträchtlich sein, vor allem im Hinblick auf das noch nicht gestartete Echtgeld-AH. Warum die Hacker nicht auf dessen Start gewartet haben?
1) Es gibt pro Region ein Auktionshaus, zb €.
2) Der Imageschaden dürfte nur begrenzt auf Schneesturm fallen, *solange* kein Exploit/Fehler/Datenverlust durch das Spiel/Server an sich stattfindet und dies auch bekannt wird. Anmerkung: zu sagen, daß der eigene Rechner sicher ist und daß es die Schuld von Blizzard ist, ist nicht ausreichend dafür. WoW-Spieler werden seit 7 Jahren gehackt, nur scheint dies an einer Menge D3 Spieler bislang vorbeigegangen zu sein.
3) Warum sollten die Hacker warten? Der Goldbedarf durch diese elendigen Goldkäufer ist *jetzt* da - und wo ein Käufer, da ein Verkäufer, da ein Hacker. Und ja, natürlich ist der Hintergrund kriminell. Jeder der Gold kauft, egal ob in WoW oder Diablo 3 (oder in Rifts oder in einem der zahlreichen anderen MMOs), muß damit klar kommen, daß dieses Gold durch krimienelle Machenschaften geschaffen wurde.
4) Nein, es ist nicht wirklich mysteriös. Die meisten Leute in Deutschland verstehen unter Computersicherheit Sätze wie "Ja, also ich hab da irgendwas mit Antivirus von einer Heft-CD installiert, und die sagen, damit ist mein PC unhackbar". Das ist ungefähr so, als wenn ich mich dann wundere, daß ein einfaches 50 Cent Blechschloß aufgehogen ist. Zum gegenwärtigen Zeitpunkt ist an dieser Hackwelle nichts, aber auch gar nichts geheimnisvoll.
5) Der Link verlinkt nicht auf eine krimienlle Machenschaft, sondern auf jemanden mit einer Menge Gold. Nur um das in Relation zu setzen: mein Arbeitskollege hat nach 5 Tagen D3 20 Millionen Gold *legal* im D3 Auktionshaus erwirtschaftet. Er spielt WoW und D3 liebend gerne als Wirtschaftssimulation. Damit sind auch andere Handelsbewegungen möglich als für den normalen Spieler mit 50 000 Gold. Warum auch ein Hacker das AH leerkaufen sollte, sei mal dahingestellt. Mass-Buyouts um den Markt zu kontrolieren sind auch in WoW nicht unüblich - aber kein Zeichen für Hacker oder Kriminelle. Die belassen nämlich das Gold ungerne im Spiel, sondern verkaufen es lieber für Echtes Geld an die Spieler. Schlußendlich machen sie es genau dafür: für echtes Geld.
MfG
Du hast sicherlich Recht mit deinen Ausführungen, obwohl ich von der alleinigen Verantwortlichkeit der Spieler noch nicht ganz überzeugt bin. Vielleicht bin ich naiv genug zu glauben, diese würden auf ihre Accounts acht geben.
Insofern ist es eben doch ein Imageschaden für Blizzard: Sogar wenn die Lücke nicht in Diablo 3 liegt; die Wut der Spieler könnte sich trotz der eigenen Schuld gegen das Spiel und seinen Hersteller richten, eben gerade, weil sie sich der eigenen Schuld nicht bewusst sind (sein wollen). Und die Newsseiten tragen dazu durch die Wiedergabe von Gerüchten ihren Teil bei.
Ich dachte mir, es macht für einen Hacker Sinn, bis zur Eröffnung des Echtgeld-AH zu warten, dann den Exploit zu nutzen und mittels der erbeuteten Items und Goldmengen die Preise zu treiben und schliesslich harte Währung zu verdienen. Keine Ahnung, welche Massnahmen Blizzard gegen solchen Missbrauch des AH vorgesehen hat.
Erfahrungsgemäß sind etwa 98% der Spieler selbst Schuld. Es ist einfach so. Sei es irgendeine kleine Unaufmerksamkeit.
Natürlich sollte man diese mögliche Sicherheitslücke ernst nehmen und das genau untersuchen. Ich denke, das wird Blizzard auch machen.
Nun, MMOGA (oder so) bieten derzeit für 60 Euro 1mio D3 Gold an. Rechne es Dir aus, wenn Du nur 100 Spieler hast, die dieses Angebot annehmen. Warum also sollten sie warten?
Das Echtgeld- AH kommt (wobei das schwieriger wird, hier das Geld abzuschöpfen, da hier noch weitere Institutionen wie Paypal involviert sind) sicherlich - aber warum sollte man sich hundertausende von Euro bereits jetzt entgehen lassen, wenn alles auf dem Präsentierteller angeboten wird.
MfG
quote Du hast sicherlich Recht mit deinen Ausführungen, obwohl ich von der alleinigen Verantwortlichkeit der Spieler noch nicht ganz überzeugt bin.
-
Du mußt auch nicht überzeugt sein. Es gibt keien perfekte Sicehrheit und es gibt auch keine perfekten Programme. Auch D3 wird seine Lücken haben und obwohl Schneesturm bislang Glück hatte (und wahrscheinlich auch eine Menge tut, um dieses Glück zu rechtfertigen) ist es bislang nicht effektiv gehackt worden (im Stile von jetzt Sony). Fakt ist aber, daß es theoretisch möglich ist. Fakt ist auch, daß es irgendwann passieren wird - es wäre naiv, etwas anderes zu glauben. Wenn es möglich ist, wird es passieren - irgendwann.
Der Punkt ist aber: es ist genauso naiv, bei jedem Vorfall sofort auf den Hersteller zu verweisen, besonders wenn dieser hinsichtlich der Datensicherheit einen bislang guten Ruf genießt - und nachweisbar es oftmals die Schuld der Benutzer war. Solange diese Einstellung vorherrscht, haben Hacker freie Bahn.
Erst wenn der einfache Benutzer sich mit grundlegenden Sicherheitsvorkehrungen beschäftigt und damit auch weitere Anbieter und Hersteller mitziehen, kann die Hackerplage halbwegs eingedämmt werden. Solange aber eine Seite ständig sagt "Ihr seid schuld, ich bin nicht schuld", sind sämtliche Sicherheitsmaßnahmen der anderen Seite fast witzlos. Und ja, derzeit sind eher die Nutzer im Zugzwang.
Ich wiederhole es nochmal:
- Authenticator
- Bnet SMS secure
- qualitativ hochwertige Sicherheitssuite für die verschiedenen Gefahren
- Aktuelles System und Software
- Kein paranoider, aber durchaus vernünftig-vorsichtiger Umgang mit fremden Dateien/Webseiten/Emails
Hätten alle gehackten D3 Spieler diese Maßnahmen wirklich auch umgesetzt, so wette ich mehr als ein Kupferstück, daß die derzeitige Hackwelle äußerst ... überschaubar gewesen wäre. Hölle, ich wette sogar zwei Kupferstücke, daß dann die weltweit kompromitierten Computer sehr überschaubar wären.
MfG
Wenn man davon ausgeht,das die meisten sich zum start von D3 tools wie Maphack,Goldhack,MagicFind hack runtergeladen haben oder ihren Key bei einer "Goldsellerseite" gekauft haben,die den Key als JPEG-Anhang geschickt haben,ja auch Bilddateien können das System infizieren.
Dies kann entweder geschehen wenn Programme zum betrachten der Bilder genutzt werden die Sicherheitslücken aufweisen oder indem man Schadcode direkt in die "Bilder" einfügt.
Selbst wenn es einem tatsächlich gelänge den Datenverkehr zwischen D3-Client und Server ab zu fangen gibt es da immer noch das klitzekleine Problem, dass der Datenverkehr verschlüsselt ist und somit die Übernahme der Session rein gar nichts bewirken würde (außer, dass der tatsächliche Accountinhaber vom Server fliegt, was zwar ärgerlich ist aber nicht wirklich dramatisch).
http://www.youtube.com/watch?v=f1FV6AELDmA
Manche scheinen wirklich eine Wahrnehmungsverschiebung zu haben wenn es um ihr Liebslingsspiel geht, und der Publisher behauptet "Nein, kann garnicht sein, bei uns ist alles sicher".
Das ist ja wie bei Paypal, die auch werben mit "sicherererer". So'n Dummfug! Mit der Kreditkarte von irgendwem gewährt mir Paypal mal schöne 2500€ Einkaufsgutschein, ohne irgendeinen Nachweis, dass mir die Kreditkarte gehört. Aber das ist n anderes Thema.
Fakt ist: Kein Programm ist 100% sicher. Da kann sich Blizzard auf den Kopf stellen.
Zum Thema Verschlüsselung weise ich übrigens auch immer sehr gerne darauf hin dass es bisher keine unknackbare Verschlüsselung gibt, und ausserdem auf:
int getRandomNumber() { return 4; }
Wer nicht weiss was ich meine: http://forums.heroesofnewerth.com/showthread.php?202816-The-PS3-finally-hacked-after-4-years
Sogar Banken machen solche Fehler. Und ausgerechnet Blizzard soll absolut fehlerfrei arbeiten?!
Aber solange man nur lange und oft genug vorkaut dass
- die Rente
- die Ersparnisse
- der Euro
- das Battle.net
sicher ist, wirds wohl geglaubt.
Die Rente ist sicher, solange man genügend Ersparnisse hat
Die Ersparnisse sind sicher, solange die Banken nicht pleite gehen
Der Euro ist sicher, solange kein Staat pleite geht
Das Battle.net ist sicher, solange man es nicht nutzt
Das Leben ist sicher, solange man nicht stirbt
5x falsch. Sorry ;P
Bitte ... Schneesturm hat nicht gesagt, daß ihre Programme zu 100% sicher sind, sondern Schneesturm hat gesagt, daß sie gegenwärtig keinerlei Hinweise darauf haben, daß die gegenwärtige Hackwelle auf Fehlern in D3 basiert. Das ist ein kleiner, aber feiner Unterschied.
Und nochmal: her mit den Beweisen. Es ist ja so einfach laut den Forenberichten.
MfG
Ok mal überlegen:
Fall 1:
Jemand hat Blizzard "gehackt" und ist so an die Daten gekommen -> sehr unwahrscheinlich, dazu sind viel zu wenig User betroffen
Fall 2:
Session-Id-Klau / man-in-the-middle attack -> unwahrscheinlich, da dafür die Pakete abgefangen werden müssen, dazu müsste der Angreifer erstmal wissen wen oder was er abfangen will (bedeutet man muss sich zwangsweise Schadsoftware eingefangen haben)
Fall 3:
Schadsoftware/Trojaner eingefangen -> wahrscheinlich, aber das es viele User gleichzeitig erwischt hat, deutet es mehr darauf hin, dass die Daten schon seit längerer Zeit gesammelt wurden.
Fall 4:
Phishing / Bzw. Hack der DB einer Fan-Seite/Forums -> sehr wahrscheinlich, viele verwenden das gleiche PW auf unterschiedlichen Seiten. Das würde auch erklären wieso es viele gleichzeitig getroffen hat, aber auch wieso es im Vergleich zur Gesamtanzahl der Spieler trotzdem so wenig sind.
Bis auf Fall 1 hat der Benutzer immer eine Schuld dran, selbst wenn hier viele die Schuld auf Blizzard schieben, dass da eine man-in-the-middle attack stattfindet. Aber ohne zu wissen von wem die Pakete abgefangen werden sollen kann da kein "Hacker" was machen. Von daher ist auch bei diesem unwahrscheinlichen Fall Schadsoftware auf den Rechner gekommen.
Und ich möchte nicht wissen wie viele Leute hier sich einen Authenticator geholt haben nachdem sie "gehackt" wurden und dann behaupten sie wurden trotz Authenticator "gehackt". Was dabei rauskommt sieht man hier:
http://us.battle.net/d3/en/forum/topic/5149008932?page=26#503
"Turtle
Hi all,
Just got hacked with an authenticator. Blizz told me they haven't detected any suspicious activity. All my items and gold are gone. Diablo = 0/10."
Antwort vom support
"Hi Turtle. According to your account records an authenticator was not attached to the account until after the compromise. If you'd like to discuss further, or have any questions, please contact our customer service department: https://us.battle.net/support/en/ticket/submit"
Und das dürfte bei vielen der Fall gewesen sein.
Versucht nicht Schadenfroh (gegenüber Blizzard!) zu sein, darüber dass der Nichtkaufgrund scheinbar ein Flop ist ;)
Das ist aber echt schwierig, also so richtig, richtig schwierig ;).
htt p://ww w.diablofans.com/blizz-tracker/topic/224500-hacked-dont-blame-the-user/
Mit der beste und sinnvollste (und produktivste) Beitrag im ganzen Misthaufen.
MfG
Battle.net®/Diablo III Security Concerns
Over the past couple of days, players have expressed concerns over the possibility of Battle.net® account compromises.
=> First and foremost, we want to make it clear that the Battle.net and Diablo III servers have not been compromised. <=
In addition, the number of Diablo III players who’ve contacted customer service to report a potential compromise of their personal account has been extremely small.
=> In all of the individual Diablo III-related compromise cases we’ve investigated, none have occurred after a physical Battle.net Authenticator or Battle.net Mobile Authenticator app was attached to the player’s account, <=
and we have yet to find any situation where a Diablo III player's account was accessed outside of “traditional” compromise methods (i.e. someone logging using an account's login email and password).
To that end, we’ve also seen discussions regarding the possibility of account compromises occurring in ways that didn’t involve these “traditional” methods -- for example, by “session spoofing” a player’s identity after he or she joins a public game.
=> Regarding this specific example, we’ve looked into the issue and found no evidence to indicate compromises are occurring in this fashion, and we’ve determined the methods being suggested to do so are technically impossible.<=
However, you have our assurance that we’ll continue to investigate reports such as these and keep you informed of important updates.
The best defense against account theft still includes smart password management (e.g. using a unique password for every site/service and keeping your password to yourself) and scanning for malware and viruses regularly, as well as following additional preventative steps found here. In the end, while no security method is 100% foolproof, the physical Battle.net Authenticator andBattle.net Mobile Authenticatorapp are great ways to provide your account with an extra layer of protection.
We hope this update has addressed some of the concerns you’ve had. In the end, we simply want all of our players to be able to fully enjoy Diablo III, and we’ve been working around the clock to address issues as quickly and efficiently as possible. We appreciate your continued support and enthusiasm, and we hope you and your friends are having a blast slaying Sanctuary’s demons.
---------------------------------------------------
Um es zusammenzufassen:
1) Schneesturm konnte bislang nicht feststellen, das D3 oder das Servernetzwerk gehackt worden ist, sprich bislang konnte keine Sicherheitslücke auf der Seite von Schneeturm fetgestelt werden.
2) Theorien wie den Session ID Hack wurden überprüft und konnten ebenfalls nicht bestätigt werden. Genauer gesagt wurde sogar die Session ID theorie als "technisch unmöglich" bewertet.
3) In keinem einzigen überprüften Fall (zumindest auf US Seite) waren Accounts mit Authenticator gehackt.
MfG
Und weil es gerade so gut passt hinsichtlich "mein Rechner ist sauber"
Krimineller Hacker infiziert 30 Millionen Computer :
htt p://ww w.spiegel.de/netzwelt/web/betreiber-des-bredolab-botnet-zu-vier-jahren-haft-verurteilt-a-835039.html
ach 20000 Deutsche haben immer noch den DNSChanger drauf
http://www.heise.de/newsticker/meldung/DNSChanger-steckt-noch-in-tausenden-deutschen-Rechnern-1583699.html
Neues zu Thema Session-Id klau
"Sicherheitsbefürchtungen hinsichtlich Battle.net®/Diablo III
In den letzten Tagen haben Spieler Befürchtungen aufgrund möglicher Fremdzugriffe auf Battle.net®-Accounts geäußert. Dazu möchten wir zuallererst festhalten, dass es bis jetzt keine Kompromittierung von Battle.net- oder Diablo III-Servern gegeben hat. Außerdem war die Zahl der Diablo III-Spieler, die einen potenziellen Fremdzugriff auf ihren persönlichen Account an den Kundensupport gemeldet haben sehr gering. In keinem der von uns untersuchten Kompromittierungsfälle im Zusammenhang mit Diablo III fanden diese nach dem Hinzufügen eines Battle.net Authenticators oder Battle.net Mobile Authenticators statt. Bisher ist uns noch kein Fall begegnet, in dem ein Diablo III-Account auf nicht herkömmliche Weise geknackt wurde (d. h. durch Einloggen mittels E-Mail-Adresse und Passwort).
Zu diesem Punkt gab es einige Diskussionen über die Möglichkeit von Fremdzugriffen mit nicht herkömmlichen Mitteln, wie zum Beispiel per „Session-Spoofing“ der Identität eines Spielers nach dessen Beitritt zu einem öffentlichen Spiel. Wir sind diesem möglichen Problem nachgegangen und konnten keinen Hinweis auf derartige Kompromittierungen finden. Des Weiteren sind wir zu dem Ergebnis gekommen, dass die genannten Methoden technisch nicht möglich sind. Trotz alledem möchten wir euch versichern, dass wir auch weiterhin derartigen Berichten nachgehen und euch über wichtige Entwicklungen auf dem Laufenden halten werden.
Den besten Schutz gegen einen Accountdiebstahl bieten nach wie vor ein kluges Passwort-Management (wie die Verwendung verschiedener Passwörter für jede Website bzw. jeden Onlinedienst und die Geheimhaltung dieser Passwörter), regelmäßige Virus- und Malware-Scans sowie das Ergreifen der hier aufgeführten Vorsichtsmaßnahmen. Letztlich kann zwar keine Sicherheitsmethode einen 100%igen Schutz gewährleisten, aber der Battle.net Authenticator und der Battle.net Mobile Authenticator sind bestens geeignet, eurem Account eine zusätzliche Ebene an Sicherheit hinzuzufügen.
Wir hoffen, einige eurer Befürchtungen mit diesem Update aus dem Weg geräumt zu haben. Schließlich möchten wir all unseren Spielern ermöglichen, Diablo III in vollem Umfang zu genießen, und wir haben rund um die Uhr daran gearbeitet, Probleme so schnell und effizient wie möglich zu beheben. Wir möchten euch für eure nachhaltige Unterstützung und euren Enthusiasmus danken und hoffen, dass ihr und eure Freunde eine tolle Zeit in Sanktuario verbringen werdet."
http://eu.battle.net/d3/de/forum/topic/4210124960
Herrlich *g*
"...Wir möchten euch auch versichern, dass der Battle.net-Authenticator und der mobile Battle.net-Authenticator weiterhin zu den effektivsten Maßnahmen gegen einen Accountmißbrauch gehören...."
Casesensitive Passwort-Abfrage ja nicht?
Dann erkläre mal, warum eine casesensitive Abfrage so wichtig ist, wenn Bruteforce-Hacking nicht vorliegen kann. Und erkläre mir, warum ein case-insensitive Abfrage bei einem Authenticator eine Sicherheitslücke ist?
Du weißt doch sicherlich, was ein Keylogger ist, oder?
MfG
Kannst du dich bitte auf einen Post beziehen? Dafür gibt es das kleine Wörtchen "Antwort" unter jedem Post.
Er bezieht sich auf den Post direkt über ihm.
Bezweifel ich *g*
Und weil es gerade wieder so schön ist (und die Argumente, daß ja nicht die Nutzer kompromitiert sein können, weil es ja so viele sind) ...
htt p://ww w.spiegel.de/netzwelt/web/dns-changer-bedroht-hunderttausende-pc-user-a-835198.html
" m 25. Mai sind davon laut DCWG immer noch 340.000 mit verbogenem DNS-System im Internet unterwegs." [von ehemals Millionen von infizierten Rechnern].
Ich bin sicher, daß diese 340 000 Menschen (davon übrigens 20 000 in Deutschland) auch alle sagen werden "Mein Rechner ist sicher, es ist das Internet, was kaputt ist".
MfG
frag dich mal woher die Infektionen kommen:
krebsonsecurity.com/2012/02/half-of-fortune-500s-us-govt-still-infected-with-dnschanger-trojan/
Ach die lieben "IT-Profis" im Blizzard Forum ;)
Also die Spieler die sich selber als "IT-Profi" sehen ,bei ihnen kam ja kein Trojaner drauf sein,weil sie ja gleich 2 Antivirusprogramme benutzen und sie nur auf seriösen Seiten Surfen...
http://eu.battle.net/d3/de/forum/topic/4310133954?page=12
"1. Das mein Rechner nicht sicher sei is wohl ein schlechter witz, ich habe zwei Antiviren Programme auf dem Rechner laufen da ich von mehreren leuten die Bankdaten und diverse andere vertrauliche Daten auf meinen Rechner habe und deshalb jeden abend schon aus Sicherheitsgründen checke ob sich irgendwelche unerwünschten .exe Datein etc auf meinen Rechner befinden."
Weißt du was nur sehr komisch ist? Diese Trojaner lesen anscheinend nur Battle.net-Accountdaten aus, anstatt sich um die Bankdaten zu kümmern. Während mein Battle.net-Account andauernd gehackt wird, passiert auf meinem Konto rein gar nichts, obwohl es da mehr zu holen gibt.
Nein, eben nicht. Deine Bankdaten sind normalerweise durch andere Dinge noch geschützt (externe TAN etc). Dein Gold allerdings nicht - außer Du hast einen Authenticator.
Außerdem: gestohlenes Echtgeld ruft schnell die echte Polizei auf den Plan. Gestohlenes Gold in einem Hack n Slay? Wo der Hacker in China hockt und an deutsche Firmen intern verkauft? Wo das Gold und Geld innerhalb von Stunden den Besitzer wechselt? Wie oft glaubst Du wird dann wirklich effektiv Anzeige gegen Unbekannt erstattet?
MfG
Das erinnert mich an Big Bang Theory, wo doch in einer Folge Sheldons WOW-Account gehackt/beklaut wurde und er direkt die Polizei gerufen hat *g*
so, will auch mal meinen Senf dazu geben.
Ich hab mir das Spiel vom Freitag zum Samstag installiert.
hab dann gegen 2uhr angefangen zu zocken - natürlich auf einem öffentlichen Server, sonst bräuchte ich es ja auch nicht spielen. Na ca. 2std wurde ich gekickt, mit der Begründung das ich gehackt wurde.
Nach dem schlafen wieder ran gesetzt (Konnte das Konto durch die Geheimfrage wieder aktivieren).
Seit dem installieren des Spiels bis heute wurde ich 6x von Blizzard darauf hingewiesen das mein Account gehackt wurde, fast immer war ich noch im öffentlichem Spiel, außer heute, da habe ich geschlafen als die E-Mail ankamm.
Ich vermute eher das vlt die Battlenet Datenbank einen "gehackt" wurde (siehe sony usw).
Mein PC werd ich heute scane. Es sollte nix drauf sein, da ich sehr vorsichtiger User bin.
Ich vermute den Fehler wirklich bei Blizzard, da die anderen Spiele und Konto bis jetzt sauber sind.
Mit dieser Aussage "(Konnte das Konto durch die Geheimfrage wieder aktivieren)." hast du deine theorie schon wiederlegt,wenn man schon die Geheimfrage braucht um wieder ans konto zu kommen,heisst es ja das dein passwort geändert wurde ,was auch für die Hinweis von blizzard spricht das du gehackt worden bist.ergo keylogger.