Anmelden
Registrieren
Hilfe
Del.icio.us
Digg
Email
Facebook
Google
Mixx
Reddit
StumbleUpon
Wer in den letzten Tagen versucht hat, etwas im offiziellen Forum zu suchen, wird feststellen, dass diese zur Zeit abgeschaltet sind. Grund dafür ist eine große Sicherheitslücke bei LotRO, die mittlerweile unterbunden wurde. Nähere Details dazu hier:
http://lotrocommunit...heit-bei-lotro/
Es empfiehlt sich generell, das Passwort zu ändern. Wann und ob Turbine dazu ein Statement herausgibt, ist unklar. Ihr Verhalten momentan grenzt aber schon an Kundenbetrug.
Seite 1 von 1
- Du kannst kein neues Thema starten
- Einloggen zum Antworten
Bookmark
Securityprobleme bei LotRO
MultiZitat
#2
- Fortgeschrittenes Mitglied
- Gruppe: Mitglieder
- Beiträge: 211
- Registriert: 27-January 10
-
Geschrieben 13 October 2011 - 12:10
Norei, on 13 October 2011 - 12:10, said:
Ihr Verhalten momentan grenzt aber schon an Kundenbetrug.
...ich weiss ja nicht, worin Du einen Betrug siehst, wenn sie die Foren offline nehmen, um das im deutschen Fan-Forum gepostete (mögliche?) Sicherheitsleck zu untersuchen?
Zitat
Wir haben im Forum-System ein auftretendes Problem identifiziert. Daher haben wir vorsorglich unsere Foren deaktiviert, während wir das Problem untersuchen.
Wir werden die Foren nach Abschluss unserer Arbeiten wieder online bringen. Vielen Dank für Ihre Geduld.
Wir werden die Foren nach Abschluss unserer Arbeiten wieder online bringen. Vielen Dank für Ihre Geduld.
Ernst gemeinte technische Frage: macht es Sinn Passwörter zu ändern, während sie an der Datenbank (oder was auch immer) arbeiten?
Dieser Beitrag wurde von Wizzkid bearbeitet: 13 October 2011 - 12:10
#3
- Zitiert in 2 buffed-Heften
- Gruppe: Mitglieder
- Beiträge: 729
- Registriert: 28-September 06
-
Geschrieben 13 October 2011 - 13:10
Wizzkid, on 13 October 2011 - 13:10, said:
...ich weiss ja nicht, worin Du einen Betrug siehst, wenn sie die Foren offline nehmen, um das im deutschen Fan-Forum gepostete (mögliche?) Sicherheitsleck zu untersuchen?
Es könnte sein, dass irgendjemand da draußen eine Liste von über einer Million Kundendaten inkl. Passworthash hat. Dann müsste ich, während ich die Lücke schließe, doch wenigstens meine Kunden auffordern, ihr Passwort zu ändern. Das hat Turbine versäumt und das sehe ich als zutiefst kritisch an.
Und ja, ändere das Passwort. Wenn du die Fehlermeldung bekommst, dass dein altes Passwort nicht stimmt, ist es wahrscheinlich trotzdem geändert worden.
#4
- El Capitano
- Gruppe: Mitglieder
- Beiträge: 410
- Registriert: 03-September 06
-
Geschrieben 13 October 2011 - 14:10
Das Passwort regelmäßig zu ändern ist an sich eine gute Idee.
Nur seh ich in den Threads bisher keinen Grund zu glauben, Turbine wäre gehackt worden. Die Threads drehen sich um die Behauptung ohne schlüssigen Beweis, alles was ich den Threads entnehmen kann ist, dass man ein Programm benutzt hat, welches unter Möchtegern-Hackern weit verbreitet ist und feststellen konnte *welch Überraschung* dass es eine Passwort-Datenbank im Forum gibt.
Ob diese gehackt wurde ist weder bewiesen noch widerlegt.
Ist sie nicht gehackt worden, erklärt das das fehlende Statement von Turbine.
Nur seh ich in den Threads bisher keinen Grund zu glauben, Turbine wäre gehackt worden. Die Threads drehen sich um die Behauptung ohne schlüssigen Beweis, alles was ich den Threads entnehmen kann ist, dass man ein Programm benutzt hat, welches unter Möchtegern-Hackern weit verbreitet ist und feststellen konnte *welch Überraschung* dass es eine Passwort-Datenbank im Forum gibt.
Ob diese gehackt wurde ist weder bewiesen noch widerlegt.
Ist sie nicht gehackt worden, erklärt das das fehlende Statement von Turbine.
#5
- Zitiert in 2 buffed-Heften
- Gruppe: Mitglieder
- Beiträge: 729
- Registriert: 28-September 06
-
Geschrieben 13 October 2011 - 15:10
Der betreffende User hat zwischendurch von drei Usern Usernamen, Email und PW-Hash veröffentlicht. Diese Informationen sind vom Betreiber natürlich gelöscht worden, mindestens einer der drei Betroffenen hat aber die Email identifizieren können. Keine Ahnung, was da wirklich ist, aber das LotRO-Forum ging 30 min, nachdem einer der Moderatoren von lotrocommunity eine PM an Sapience geschickt hat, off - und ist seitdem nicht wieder aufgetaucht.
Ich würde es nicht so leicht als Ente abtun.
Ich würde es nicht so leicht als Ente abtun.
#6
- Forenmasorist
- Gruppe: Mitglieder
- Beiträge: 72
- Registriert: 25-July 11
-
Geschrieben 13 October 2011 - 15:10
weil der Hacker auch seine erhackten Daten so bereitwillig in dem Forum postet das er gehackt hat.... sure....
aber um Elrigh zu zitieren: Das Passwort regelmäßig zu ändern ist an sich eine gute Idee.
2nd: Wer für das Forenkonto das selbe PW nimmt wie für seinen Spiel-Acc ist selber schuld ;P
aber um Elrigh zu zitieren: Das Passwort regelmäßig zu ändern ist an sich eine gute Idee.
2nd: Wer für das Forenkonto das selbe PW nimmt wie für seinen Spiel-Acc ist selber schuld ;P
#7
- Fortgeschrittenes Mitglied
- Gruppe: Mitglieder
- Beiträge: 211
- Registriert: 27-January 10
-
Geschrieben 13 October 2011 - 18:10
Norei, on 13 October 2011 - 14:10, said:
... müsste ich, während ich die Lücke schließe, doch wenigstens meine Kunden auffordern, ihr Passwort zu ändern. ...
Wenn du die Fehlermeldung bekommst, dass dein altes Passwort nicht stimmt, ist es wahrscheinlich trotzdem geändert worden.
Wenn du die Fehlermeldung bekommst, dass dein altes Passwort nicht stimmt, ist es wahrscheinlich trotzdem geändert worden.
Das meinte ich mit meiner Frage, ob es technisch gesehen, Sinn macht, oder ob man nicht damit die Datenbank neu mischt und nachher ein heilloses Durcheinander entsteht.
Geology rocks!, on 13 October 2011 - 16:10, said:
... Wer für das Forenkonto das selbe PW nimmt wie für seinen Spiel-Acc ist selber schuld ;P
Da herrschte etwas Verwirrung, manche hatten getrennte Daten, andere kamen nur ins Turbine-Forum, wenn sie die Daten fürs Spiel genommen haben.
Im Account gibt es eine Option zum Forum-Passwort ändern, auf der Seite zum einloggen ins Forum taucht aber der Hinweis auf:
Zitat
If you are having problems logging in, please make sure that you have cookies enabled and that you are using your Game Login information.
Former logins with your community name are no longer supported, you must use your game login.
Your public facing community name will remain the same.
Former logins with your community name are no longer supported, you must use your game login.
Your public facing community name will remain the same.
#8
- Rock Band 3 Krieger
- Gruppe: Mitglieder
- Beiträge: 4765
- Registriert: 03-November 06
-
Geschrieben 13 October 2011 - 18:10
Das ist btw einer der hauptgründe wie dein account "gehacked" wird. im Lotro.com oder battle.net-forum brauchst du dir da keine besondere sorge zu machen - aber du meldest dich ja auch sonstwo im netz an. Und wenn du auf lotro-jägerdernacht-sippe.de oder sowas im gildenforum sowas ÄHNLICHES wie deinen login-namen nutzt und das richtige passwort, dann kann das natürlich irgendeiner finden - und weil irgendwelche kleinen privatforen oft nicht so sehr geupdated werden wie große, die um die sicherheit bemüht sind, könen die dann auch still übernommen werden.
Das heisst, wenn du schon nicht für alles eigene passwörter nutzen willst: mach wenigstens komplett unterschiedliche für "große firmen denen man vertrauen kann und wo ich vermutlich auch geld da lassen werde" und "irgend so 'ne internetseite".
Wenn du dann auch noch variationen hast (sowas wie PW "Milchreis" und "Milchscheiß") die du auf verschiedenen seiten nutzt und vielleicht mal durchprobieren nmusst ist das natürlich noch besser.
Das heisst, wenn du schon nicht für alles eigene passwörter nutzen willst: mach wenigstens komplett unterschiedliche für "große firmen denen man vertrauen kann und wo ich vermutlich auch geld da lassen werde" und "irgend so 'ne internetseite".
Wenn du dann auch noch variationen hast (sowas wie PW "Milchreis" und "Milchscheiß") die du auf verschiedenen seiten nutzt und vielleicht mal durchprobieren nmusst ist das natürlich noch besser.
#9
- Veteran
- Gruppe: Mitglieder
- Beiträge: 1321
- Registriert: 03-June 08
-
Geschrieben 13 October 2011 - 19:10
Elrigh, on 13 October 2011 - 15:10, said:
Das Passwort regelmäßig zu ändern ist an sich eine gute Idee.
Nur seh ich in den Threads bisher keinen Grund zu glauben, Turbine wäre gehackt worden. Die Threads drehen sich um die Behauptung ohne schlüssigen Beweis, alles was ich den Threads entnehmen kann ist, dass man ein Programm benutzt hat, welches unter Möchtegern-Hackern weit verbreitet ist und feststellen konnte *welch Überraschung* dass es eine Passwort-Datenbank im Forum gibt.
Ob diese gehackt wurde ist weder bewiesen noch widerlegt.
Ist sie nicht gehackt worden, erklärt das das fehlende Statement von Turbine.
Nur seh ich in den Threads bisher keinen Grund zu glauben, Turbine wäre gehackt worden. Die Threads drehen sich um die Behauptung ohne schlüssigen Beweis, alles was ich den Threads entnehmen kann ist, dass man ein Programm benutzt hat, welches unter Möchtegern-Hackern weit verbreitet ist und feststellen konnte *welch Überraschung* dass es eine Passwort-Datenbank im Forum gibt.
Ob diese gehackt wurde ist weder bewiesen noch widerlegt.
Ist sie nicht gehackt worden, erklärt das das fehlende Statement von Turbine.
Naja ich empfinde es aber schon lange als störend das mein Forenzugang die gleichen Daten nutzt wie mein Account.Nenn mich nun paranoid aber das ist ein grund warum ich mich quasi nie ins Lotro-Forum einlogge und wenn doch,ich da nach mein PW ändere.
Dieser Beitrag wurde von Churchak bearbeitet: 13 October 2011 - 19:10
#10
- Rock Band 3 Krieger
- Gruppe: Mitglieder
- Beiträge: 4765
- Registriert: 03-November 06
-
Geschrieben 13 October 2011 - 19:10
Ja, das hdro-offi forum find und fand ich auch irgendwie... schauderig. Sowohl das von codemasters als auch das neue. Ich glaub blizzard sind da die einzigen denen ich beim forum vertraue. Und auch bevor ich nen authenticator hatte (was übrigens security-heaven ist).
#12
- Mitglied
- Gruppe: Mitglieder
- Beiträge: 39
- Registriert: 27-October 08
-
Geschrieben 14 October 2011 - 09:10
Geology rocks!, on 13 Oktober 2011 - 16:10, said:
weil der Hacker auch seine erhackten Daten so bereitwillig in dem Forum postet das er gehackt hat.... sure....
Der "hacker" hat die Lücke entdeckt und sich wohl an Mitarbeiter von Turbine gewandt. Dort ist nichts passiert (außer dass sein thread verschwunden ist), er hat in dem anderen Forum einen thread eröffnet und dort hat man ihm nicht geglaubt. Daraufhin hat er dann Daten gepostet. Eben auch welche, von im Forum schreibenden usern. Diese wurden dann natürlich auch gelöscht und Sapience noch einmal informiert. Seitdem ist das Forum off.
#13
- Zitiert in 2 buffed-Heften
- Gruppe: Mitglieder
- Beiträge: 729
- Registriert: 28-September 06
-
Geschrieben 15 October 2011 - 06:10
#14
- Fortgeschrittenes Mitglied
- Gruppe: Mitglieder
- Beiträge: 211
- Registriert: 27-January 10
-
Geschrieben 17 October 2011 - 23:10
Foren sind wieder online.
Zitat
Update zum Forum-Status
Vor Kurzem wurden wir darüber in Kenntnis gesetzt, dass unsere HdRO-Community-Web-Anwendungen eine Sicherheitslücke aufweisen.
Wir nehmen alle potentiellen Sicherheitslücken sehr ernst und haben die Foren während der Untersuchung und zur Beseitigung des Problems offline genommen.
Sie stehen jedoch nun wieder für den normalen Gebrauch zur Verfügung.
Bitte nehmen Sie zur Kenntnis, dass auch in den kommenden Tagen noch einzelne Elemente der Seite zeitweilig nicht verfügbar sein werden, während wir die Wartungsarbeiten an unseren Community-Webseiten abschließen.
Das Spiel selbst ist davon jedoch nicht betroffen und wird weiterhin ganz regelmäßig laufen.
Obgleich das Sicherheitsproblem augenscheinlich nur von begrenzter Tragweite war, falls wir der Meinung sind, dass Ihr Konto davon betroffen war, werden wir uns direkt an Sie wenden.
Als zusätzliche Sicherheitsmaßnahme raten wir allen Spielern, ihre Passwörter zu ändern.
Bitte denken Sie daran, einzigartige, schwer zu erratende Passwörter zu wählen, die Sie nicht gleichzeitig auch für andere Onlinedienste oder Webseiten verwenden.
Darüber hinaus sollten alle Nutzer auf ungewöhnliche Konto-Aktivitäten achten und diese umgehend dem Turbine-Kundendienst melden.
Vielen Dank für Ihre Geduld.
Wir bitten unsere Spieler, alle Kommentare und Diskussionen über die Schwierigkeiten der Community-Webseite in diesem Thread zu posten.
Alle anderswo geposteten Threads werden von uns auch hierher umgeleitet.
Wir nehmen alle potentiellen Sicherheitslücken sehr ernst und haben die Foren während der Untersuchung und zur Beseitigung des Problems offline genommen.
Sie stehen jedoch nun wieder für den normalen Gebrauch zur Verfügung.
Bitte nehmen Sie zur Kenntnis, dass auch in den kommenden Tagen noch einzelne Elemente der Seite zeitweilig nicht verfügbar sein werden, während wir die Wartungsarbeiten an unseren Community-Webseiten abschließen.
Das Spiel selbst ist davon jedoch nicht betroffen und wird weiterhin ganz regelmäßig laufen.
Obgleich das Sicherheitsproblem augenscheinlich nur von begrenzter Tragweite war, falls wir der Meinung sind, dass Ihr Konto davon betroffen war, werden wir uns direkt an Sie wenden.
Als zusätzliche Sicherheitsmaßnahme raten wir allen Spielern, ihre Passwörter zu ändern.
Bitte denken Sie daran, einzigartige, schwer zu erratende Passwörter zu wählen, die Sie nicht gleichzeitig auch für andere Onlinedienste oder Webseiten verwenden.
Darüber hinaus sollten alle Nutzer auf ungewöhnliche Konto-Aktivitäten achten und diese umgehend dem Turbine-Kundendienst melden.
Vielen Dank für Ihre Geduld.
Wir bitten unsere Spieler, alle Kommentare und Diskussionen über die Schwierigkeiten der Community-Webseite in diesem Thread zu posten.
Alle anderswo geposteten Threads werden von uns auch hierher umgeleitet.
Dieser Beitrag wurde von Wizzkid bearbeitet: 17 October 2011 - 23:10
Seite 1 von 1
- Du kannst kein neues Thema starten
- Einloggen zum Antworten
- Bookmark