Schock! Chars nackt, Truhe leer, Gold weg

[zizu4u]

die frage die sich stellt ist jeodch auch wieso werden nach einer woche acc gehackt und so items und gold geklaut die zu diesem Zeitpunkt nocht nichts sooo viel werd sind damit sich sowas wirklich lohnt, wieso warten die nicht bis ein paar monate vergangen sind aus angst die sicherheitslücke usw könnte zufälligerweise geschlossen werden? Glaube kaum den wenn man eine gefunden hat und weiss wie man diese nutzt kann man dass auch wieder finden und wieder benutzen, für mich ergibt das ganze noch nicht so viel sinn... und was würde es einem mitarbeiter bringen? Ich denke als mitarbeiter würde es eh so ablaufen dass die der jenige sich die pws und zugangsdaten direkt holt ohne eine sicherheitslücke auszunutzen... für mich ein sehr wiedersprüchlicher sachverhalt.


Und noch was zu dem Thema Blizzard tut nichts, ich denke wenn ein gewisser prozentsatz betroffen wäre würde sie auch eher was machen es sind bei 6 mil spieler vllt 5% von dem hacking betroffen dass sind zwar 300k spieler aber wenn genau die 300k spieler im foren usw posten dass sie gehackt worden sind dann sieht halt gleich mal aus wie 80% der spieler, dass das nur ein ganz geringer teil ist der betroffen ist fällt dabei untern tisch. ich mein wenn du in einem spiel 100 spieler hättest und 5 davon würde meckern dass irgendwas nicht stimmt würdest du als unternehmen da irgendwie was machen? Wenn es 40 wären würdest du doch eher was machen als wenn nur 5 rum heulen oder?

 

[SchabernackTreiber]

Hacken bedeutet übrigens, Sicherheitsmechanismen auf Server/Client-Seite gezielt zu umgehen und/oder durch fehlerhafte Anfragen zum Absturz zu bringen, um sie aushebeln zu können.

Auf diese Art und Weise kommt man OHNE LogIn an die Items und arbeitet meißtens direkt in der Datenbank (und loggt sich ergo nicht direkt im Spiel ein. Eine "played-with" Liste mit Leuten die du nicht kennst und ähnliches würden z.B. dagegen sprechen, dass du "gehackt" wurdest).

Phishing und vergleichbares Gedöns, wo du einfach nur deine Accountdaten irgendwann mal irgendwo angegeben hast, zählt nicht zum Thema hacken sondern im schlimmsten Fall einfach nur zum Thema DAU.

Blizzard erwähnte bereits in einem Blue-Post, dass alle "gehackten" Chars sich mit validen LogIn-Daten eingeloggt hatten. Jede noch so simple LogIn-Routine lässt sich per Hack nur sehr schwer ohne korrekte LogIn-Daten validieren. Umgehen ist schon eher möglich, aber wenn sich die Chars mit korrekten Daten eingeloggt haben, dann ist die Wahrscheinlichkeit groß, dass der Phisher (der spätestens jetzt kein Hacker mehr ist), die LogIn Daten auch hatte. Sei es durch nen Trojaner, weil er dein ehemaliger bester Freund oder ein WoW-Buddy war/ist oder weil du sie bei der D3-Beta-Key-Verlosung angegeben hattest ...

 

[Harlekin85]

Also zum Thema was Items Wert sind..... check mal Ebay ... dann siehst du die Dinge anders.... 1mio Gold kannste fpr knappe 40€ kaufen

Also ist das def. ein lohnenswerter "Nebenjob" dort immaterielle Gegenstände zu verkaufen.

Und zum Thema Passwort---- klar hatte ich mein Passwort ( eins meiner 6 Standartpasswörter) verwendet und nicht extra für Diablo3 ein neues 7. Passwort zugelegt. Unter anderem war mein D3 PW auch das von GMX.... beides ist nat. sofort geändert worden und diesmal sind es unterschiedliche PWs.....

Aber ob das daran liegt? Vorhin mit Kumpel aus dem nachbarort telefoniert. Er hatte das selbe Problem.... war abend im AH... hat auf was geboten und am nächsten morgen war der Char leer und er hatte 2 neue Kontakte rechts in der Flist ?!

 

[zizu4u]

Hacken bedeutet übrigens, Sicherheitsmechanismen auf Server/Client-Seite gezielt zu umgehen und/oder durch fehlerhafte Anfragen zum Absturz zu bringen, um sie aushebeln zu können.

Auf diese Art und Weise kommt man OHNE LogIn an die Items und arbeitet meißtens direkt in der Datenbank (und loggt sich ergo nicht direkt im Spiel ein. Eine "played-with" Liste mit Leuten die du nicht kennst und ähnliches würden z.B. dagegen sprechen, dass du "gehackt" wurdest).

Phishing und vergleichbares Gedöns, wo du einfach nur deine Accountdaten irgendwann mal irgendwo angegeben hast, zählt nicht zum Thema hacken sondern im schlimmsten Fall einfach nur zum Thema DAU.

Blizzard erwähnte bereits in einem Blue-Post, dass alle "gehackten" Chars sich mit validen LogIn-Daten eingeloggt hatten. Jede noch so simple LogIn-Routine lässt sich per Hack nur sehr schwer ohne korrekte LogIn-Daten validieren. Umgehen ist schon eher möglich, aber wenn sich die Chars mit korrekten Daten eingeloggt haben, dann ist die Wahrscheinlichkeit groß, dass der Phisher (der spätestens jetzt kein Hacker mehr ist), die LogIn Daten auch hatte. Sei es durch nen Trojaner, weil er dein ehemaliger bester Freund oder ein WoW-Buddy war/ist oder weil du sie bei der D3-Beta-Key-Verlosung angegeben hattest ...

sehr gut erklärt, danke dir das sollten sich mal einige hier durchlesen und dann man überlegen wie es dazu kommen konnte dass die " gehackt wurden", das wiederrum würde die theorie von lbizz unterstützen dass man mit einem authenticator eigentlich recht sicher ist, zumindest mit den neueren modellen, wo ich mich auch wieder frage wird meiner der aktuell ist in ein paar monaten auch nicht mehr sicher sein?


Zu dem 40€ und 1 mil gold, gegenfrage WER KLAUFT sich für 40€ 1 mil gold?

 

[Dwelve]

Kennt jemand eine gute GoldsellerSeite?
Wir müssen einen Maulfwurf bei ihnen einschleußen und so rausbekommen wie das alles passiert...

Wer auserdem mehr als 50 Stunden in Diablo 3 verbracht, hat kein Recht zu behaupten Authenticator wäre dreist. Wo kriegt man schon derartige Unterhaltung für <1€/Stunde? Die paar Euro kann man auch springen lassen, wenn man den Char auch wirklich mit wertvollen Dingen equippen will. Für 60€ kann man also ein sicheres Produkt, an dem 6 Jahre lang!!! gearbeitet wurde, ergattern.

Hacken bedeutet übrigens, Sicherheitsmechanismen auf Server/Client-Seite gezielt zu umgehen und/oder durch fehlerhafte Anfragen zum Absturz zu bringen, um sie aushebeln zu können.

Auf diese Art und Weise kommt man OHNE LogIn an die Items und arbeitet meißtens direkt in der Datenbank (und loggt sich ergo nicht direkt im Spiel ein. Eine "played-with" Liste mit Leuten die du nicht kennst und ähnliches würden z.B. dagegen sprechen, dass du "gehackt" wurdest).

Das ist der wichtigste Punkt.

 

[Sarf]

die frage die sich stellt ist jeodch auch wieso werden nach einer woche acc gehackt und so items und gold geklaut die zu diesem Zeitpunkt nocht nichts sooo viel werd sind damit sich sowas wirklich lohnt, wieso warten die nicht bis ein paar monate vergangen sind aus angst die sicherheitslücke usw könnte zufälligerweise geschlossen werden? Glaube kaum den wenn man eine gefunden hat und weiss wie man diese nutzt kann man dass auch wieder finden und wieder benutzen, für mich ergibt das ganze noch nicht so viel sinn... und was würde es einem mitarbeiter bringen? Ich denke als mitarbeiter würde es eh so ablaufen dass die der jenige sich die pws und zugangsdaten direkt holt ohne eine sicherheitslücke auszunutzen... für mich ein sehr wiedersprüchlicher sachverhalt.


Und noch was zu dem Thema Blizzard tut nichts, ich denke wenn ein gewisser prozentsatz betroffen wäre würde sie auch eher was machen es sind bei 6 mil spieler vllt 5% von dem hacking betroffen dass sind zwar 300k spieler aber wenn genau die 300k spieler im foren usw posten dass sie gehackt worden sind dann sieht halt gleich mal aus wie 80% der spieler, dass das nur ein ganz geringer teil ist der betroffen ist fällt dabei untern tisch. ich mein wenn du in einem spiel 100 spieler hättest und 5 davon würde meckern dass irgendwas nicht stimmt würdest du als unternehmen da irgendwie was machen? Wenn es 40 wären würdest du doch eher was machen als wenn nur 5 rum heulen oder?

nun hier wird es spekulativ. evtl lohnt es sich gerade jetzt, weil es noch kein rmah gibt und gold gegen geld nur auf unüberwachbaren drittplattformen möglich ist. oder es geht rein um profilierung eines hackers - wie so oft in der szene. oder es ist ein mitarbeiter einer anderen spieleschmiede. oder ein hedgefond, der auf fallende kurse von blizzard gesetzt hat. ein kursfeuerwerk gabs jedenfalls nicht mit dem erscheinen von d3
alles in allem (verschörungs-)theorien...


das gleiche gilt für die absolute zahl an gehackten spielern, alle zahlen sind spekulation. ich würde sagen es sind einige und gefühlt mehr als bei zufälligen angriffen. um bei diablo zu bleiben: es gab lücken (z.b. tradehacks, loothack). da war das geschrei ähnlich wie im moment. und das waren definitiv lücken im system, für die der anwender nichts konnte.



gruß


EDIT:

Hacken bedeutet übrigens, Sicherheitsmechanismen auf Server/Client-Seite gezielt zu umgehen und/oder durch fehlerhafte Anfragen zum Absturz zu bringen, um sie aushebeln zu können.

Auf diese Art und Weise kommt man OHNE LogIn an die Items und arbeitet meißtens direkt in der Datenbank (und loggt sich ergo nicht direkt im Spiel ein. Eine "played-with" Liste mit Leuten die du nicht kennst und ähnliches würden z.B. dagegen sprechen, dass du "gehackt" wurdest).

nun ja es sei den der hacker hat username/pw von blizzard "bekommen" - per hack. ich finde es etwa schon sehr bedenklich, dass das pw nicht case sensitive ist . das lässt darauf schließen, dass es wird nicht gehashed abgelegt, ein unding. und scheinbar auch noch in einer DB, die nicht case sensitive konfiguriert ist. wenn so was im argen ist was ist dann noch möglich

 

[zizu4u]

Kennt jemand eine gute GoldsellerSeite?
Wir müssen einen Maulfwurf bei ihnen einschleußen und so rausbekommen wie das alles passiert...

ja warte ich ruf gleich mal das FBI an die interessierts bestimmt auch und John Wayne sollte man auch informieren

wilde verschwörungstheorien hier ^^

 

[Nytemare]

Nur mal um das anzumerken Sarf, der Inhalt deiner letzten Posts hier war genau so Spekulation, also hat zizu zumindest genau so viel recht..

 

[Macintom]

Alles ist zur Zeit Spekulation
Nix genaues weiß man.

Nur eines: daß, wie ich schon mal geschrieben habe, die Accountvorräte der "Hacker" anscheinend bald aufgebraucht sind. Hier und in anderen Foren wollen sich diejenigen schon Nachschub besorgen

http://planetdiablo.eu/forum/picture.php?albumid=689&pictureid=11689


EDIT: Mal den Link weg gemacht. Sonst klickt da nachher tatsächlich noch jemand drauf ^^

 

[zizu4u]

Nur mal um das anzumerken Sarf, der Inhalt deiner letzten Posts hier war genau so Spekulation, also hat zizu zumindest genau so viel recht..

xD denke wir alle haben ein wenig recht und es liegt im endeffekt an blizzard was sie draus machen oder halt eben auch nicht, wie alle würde ich mir einfach wünschen dass es einen schlauen gibt der das lag oder die möglichkeit finden würde diese public machen und blizzard ein hotfixy oder ähnliches dagegen raus bringen würde und das am besten schon gestern... zur zeit hoffe ich einfach dass ich mit einen authenticator nicht erwischt werde, ich habe zwar keine lust nochmal komplett von vorne anzufangen falls es mich erwischen sollte aber was bleibt mir den überig? Richtig bitter wirds nur wenn man mehrere mal gehackt wird, wie hier vor ein paar tagen einer berichtete...

 

[SiL3nc3r]

edit

 

[SchabernackTreiber]

nun ja es sei den der hacker hat username/pw von blizzard "bekommen" - per hack. ich finde es etwa schon sehr bedenklich, dass das pw nicht case sensitive ist . das lässt darauf schließen, dass es wird nicht gehashed abgelegt, ein unding. und scheinbar auch noch in einer DB, die nicht case sensitive konfiguriert ist. wenn so was im argen ist was ist dann noch möglich

Es gibt viele Firmen, die Passwörter per normalem Hash oder sogar im Klartext speichern.
Blizzard gehört definitiv nicht dazu. Selbst die obersten Serveradmins Admins kennen kein einziges Passwort eines Blizzard-Users.

Denn gegen salted-Hashed, die bei Blizzard meiner Meinung nach dann doch zum Standard gehören, ist auch kein Rainbowtable gewachsen.

Klartext: Nein, man wird auch bei Blizzard keine LogIn-Informationen erhacken können.

/edit: Das mit dem Nicht-Case-Sensitiv habe ich dir echt nicht glauben wollen und gerade ausprobiert. Grundgütiger, ich glaube ich spinne!

Dann bleibt es nur zu Hoffen, dass die Passwörter dennoch gehashed gespeichert werden, und beim LogIn schlichtweg mittels Routine alle Buchstaben umgewandelt werden.

 

[Sarf]

Klartext: Nein, man wird auch bei Blizzard keine LogIn-Informationen erhacken können.

wie gesagt, das pw ist nicht case sensitive. und das schreit förmlich nach derben löchern im backend. da muss man es sonst schon drauf anlegen um das zu erreichen - und wozu dann? oder eben völlig träumen
zumindest zeugt das nicht gerade von professionalität die hälfte des alphabets mal eben wegzustreichen.


mfg


EDIT: ja wo ich das gehört habe bin ich auch leicht vom glauben abgefallen...

 

[zizu4u]

wie gesagt, das pw ist nicht case sensitive. und das schreit förmlich nach derben löchern im backend. da muss man es sonst schon drauf anlegen um das zu erreichen - und wozu dann? oder eben völlig träumen
zumindest zeugt das nicht gerade von professionalität die hälfte des alphabets mal eben wegzustreichen.


mfg


EDIT: ja wo ich das gehört habe bin ich auch leicht vom glauben abgefallen...

ich bin zwar informatiker aber ich bin mit den begriffen nicht direkt vertraut, könnte mir weil es mich echt interessiert mir das kurz einer genau schildern? ich raffs leider nicht richtig^^

 

[legend.]

EDIT: ja wo ich das gehört habe bin ich auch leicht vom glauben abgefallen...

Wie kommt man und vor Allem verlässlich, an diese doch sehr sensiblen Informationen?

 

[LordPoekelfleisch]

nun hier wird es spekulativ. evtl lohnt es sich gerade jetzt, weil es noch kein rmah gibt und gold gegen geld nur auf unüberwachbaren drittplattformen möglich ist. oder es geht rein um profilierung eines hackers - wie so oft in der szene. oder es ist ein mitarbeiter einer anderen spieleschmiede. oder ein hedgefond, der auf fallende kurse von blizzard gesetzt hat. ein kursfeuerwerk gabs jedenfalls nicht mit dem erscheinen von d3
alles in allem (verschörungs-)theorien...

Es ist eigentlich ganz einfach: Konkurrenz. Da es ne ganze Reihe von Firmen gibt, die am D3-Gold verdienen wollen, macht es keinen Sinn für eine Firma, einen Exploit (von dem man ausgehen muss, dass er auch von anderen entdeckt/gekauft wird) nicht sofort auszunutzen. Andere werden es machen und so Kohle einheimsen, die man später nicht mehr einheimsen kann.

Die ganzen AH-Probleme und die Login-Probleme werden wohl auch damit zusammenhängen, dass zum einen wohl massiv Bots (AH und Farmbots) eingesetzt werden (gerade fürs AH sollte das wohl extrem einfach zu programmieren werden) und dass zum anderen massiv nach Schwachstellen gesucht wird (DDOS-Attacken etc; hat bei D2 ja auch fürs Dupen funktioniert). Kurz nach Start gabs ja schon die ersten, die massiv Commodities gekauft/verkauft haben. Das genau diese erst einmal abgeschaltet wurden, nachdem am WE im AH nichts mehr ging, wird wohl nicht damit zusammenhängen, dass die Software nicht auf einen normalen Kauf/Verkauf ausgelegt war...

 

[Sarf]

ich bin zwar informatiker aber ich bin mit den begriffen nicht direkt vertraut, könnte mir weil es mich echt interessiert mir das kurz einer genau schildern? ich raffs leider nicht richtig^^

nicht case-sensitive heißt, dass groß- und kleinschreibung ignoriert wird. normalerweise muss man das in einer programmierumgebung schon absichtlich herbeiführen. das würde aber kein programmierer machen - es gibt schlicht keinen wirklichen grund dafür.

daraus kann man schließen, dass das unabsichtlich passiert ist. und da gibt es eine naheliegende möglichkeit: die passwörter werden im klartext gespeichert, auf einer datenbank, die nicht case sensitive eingestellt ist.

passwörter im klartext speichern ist ein no go: ein angreifer kann das passwort direkt stehlen und sogar woanders einsetzen, etwa in einer tabelle für brute-force angriffe oder für andere accounts, die er dem benutzer zuordnen kann.
um das zu vermeiden, macht man einen hash: aus dem pw wird eine andere zeichenfolge. dazu verwendet man spezielle berechnungen, die irreversibel sind (bzw der aufwand sehr hoch ist, sie umzudrehen). um die sicherheit zu erhöhen, fügt man vor dem hash-vorgang noch eine feste zeichenfolge an das passwort (salted). sonst kann man einige der hash-folgen in wörterbüchern nachschlagen. diese wörterbücher enthalten bekannte passörter, z.b. pa$$w0rd und den entsprechenden hash.


hoffe das war verständlicher


mfg


EDIT:

Wie kommt man und vor Allem verlässlich, an diese doch sehr sensiblen Informationen?

das ist die frage der fragen. alle muster lassen darauf schließen, dass:
1. dem angreifer die logindaten bekannt sind, entweder duch einen einbruch in den server oder eine man-in-the-middle attacke oder - was ich eher nicht glaube - durch phishing
2. der angreifer auf einen account ohne logindaten zugreifen kann

es sieht schließlich so aus, als würden die accounts ingame geplündert; etwa der eintrag in die zuletzt gespielt liste.

 

[Freiik]

Naja, also Case-Sensitive bedeutet einfach nur, dass zwischen Groß- und Kleinbuchstaben unterschieden wird.
Dass Passwörter immer nur als Hash abgelegt werden sollten, widerspricht der Vernachlässigung von Case-Sensitivität, da Groß- und Kleinbuchstaben unterschiedlich in den Hash einfließen und es später nicht mehr ersichtlich ist, welcher Zeichensatz ursprünglich benutzt wurde. Eine Passwortabfrage sollte also prinzipiell jegliche Zeichen (also theoretisch sogar Steuerzeichen, da auch diese einen eindeutigen ASCII/UTF-Code haben) akzeptieren, wenn sie das nicht kann, dann muss man sich die Frage stellen, ob da nicht eklatante Fehler bei der Programmierung des Services gemacht wurden, wenn der sich für den Zeichensatz interessiert.

Blizzard tut das offiziell (?), um die Zahl der Anfragen von "Passwort vergessen" zu minimieren, inwiefern das stimmt, sei mal dahin gestellt.

 

[zizu4u]

danke euch für die erklärung, habs verstanden und die problematik erkannt

 

[SchabernackTreiber]

Ich hoffe ja einfach, dass - bevor der Hash gebildet wird - die Routine zum umwandeln aller Großbuchstaben kommt.

So werden die Passwörter immernoch gehasht (und zwar hoffentlich salted) gespeichert.

Gründgütiger, je länger ich darüber nachdenke desto peinlicher wird das alles für Blizzard.