Das hat Blizzard doch nie gesagt...
Man hat dort gesagt, dass serverseitig keine Session-Übernahme möglich sei und bisher kein erfolgreicher Hack an den Servern durchgeführt wurde. Vielmehr sei jeder Zugriff, der durch User später als Hack moniert wurde, auf einen "normalen LogIn" mit Angabe der erforderlichen Daten zurückzuführen gewesen. Die Schwachstelle ist und bleibt nunmal der User; weshalb sollte ich also woanders ansetzen, wenn ich dort sehr viel einfacher Erfolg haben kann?
+1
Genau das.
Für alle bisher aufgetretenen Account Hacks war nur der Username (also die email Adresse) und das Passwort notwendig. Leute, die sich nun in diversen Foren oder sonstwo mit ihrer email/Passwort, das sich auch für den Bnet Login nutzen, registrieren, laufen halt Gefahr, dass praktisch ihre Accountdaten gestohlen werden können, aber das muss dann zwangsläufig nichtmal ein Trojaner/Virus/Keylogger auf dem PC sein.
Wenn die Webseite, auf der man sich angemeldet hat, ein Angriffsziel ist und Accountdaten gestohlen werden, hat man den Salat. Vor 1-2 Wochen war hier ja mal der Link zu nem Chinafarmer, der eben genau diese Möglichkeit erzählt hat, wie das ablief. Man hat bereits Monate oder vielleicht sogar Jahre zuvor angefangen, auf Sites, die mit dem Game - oder Games allgemein - zu tun haben, Accountdaten zu stehlen.
Scheint also ein lange vorbereiteter Angriff gewesen zu sein. Mir wurde in D2 auch mal ein Account geplündert. Hatte da nen super-geilen raren Ring mit 10%FC, 9x Mana, 30% fire Resi und noch str oder MF...weiss nichtmehr genau. Und nen 3-20-20, alles Selffound (meine Besten Drops in 11 Jahren D2). Kurz nachdem ich nach ner WS hier im Forum gefragt habe, wurde mein Account gehackt und die Teile waren weg!
Da ich damals noch so naiv war, und für das Bnet das selbe passwort zu verwenden, wie auf 2 anderen Forenseiten und der Bnet Account ja relativ leicht rauszubekommen ist, kann ich mir nur vorstellen, dass Person x das Theme gelesen hat und dann seine Datenbank an geklauten Accounts mitsamt PW durchforstet hat um sich das Zeugs einzuverleiben.
Diese Art von "Hack" ist also nicht neu
Und zum Thema Session Spoofing....diesen Begriff kann ich echt nichtmehr hören.
Den hat irgendwer sich mal aus den Fingern gesaugt, weil er ja IT Security Experte ist und dazu gleich passend ein Dokument verfasst,
wie das technisch funktioniert ("You have to be in a public Game, eat some nuts, and Hackxor xyz can take over your session" --- woooom...super Erklärung
)
Solange nicht bekannt ist, wie die Authentifizierung und die Kommunikation mit Blizzards Bnet Servern funktioniert, braucht man meiner Meinung nach auch nicht spekulieren,
ob es möglich ist, eine bestehende Verbindung zu übernehmen (was hijacking wäre, das wiederum ist mir ein Begriff) oder vorzutäuschen (spoofing, wovon ich bisher nie etwas gehört habe...kenne mich aber da auch nicht so aus).
Wenn man den Authenticator hat, dann nutzen einem potentiellen Kriminellen die Account-Daten nix mehr, weil man bei jedem login im Battle-net zur email mit passwort auch noch den Code vom Authenticator eingeben musst.
(Sofern man diese Option aktiviert hat in den Sicherheitseinstellungen)
Strong 2 Factor Authentication...praktisch nicht knackbar (dann müsste die person meine email und pw kennen und meinen Authenticator haben. In dem Fall würde ich mir Gedanken um meinen Freundeskreis machen ^^)
Mein Resumee:
Wer gerne auf dubiosen Seiten rumsurft, wo es Tools für Diablo 2/3 gibt, die wohl nicht von Blizzard geduldet werden (Hirn anstrengen und überlegen was das sein könnte) oder
wer gerne mal bei ebay Items kauft
Wer für seinen Bnet Account das selbe Passwort wie auf irgendwelchen Foren oder Webseiten verwendet oder
wer einfach das maximum an Sicherheit haben will oder
wer sich nicht sicher ist, zu welcher der o.g. Kategorien er gehört
==> Sollte sich nen Authenticator zulegen.
