Securityprobleme bei LotRO

N

Norei

Dungeon-Boss
Mitglied seit
29.09.2006
Beiträge
732
Reaktionspunkte
4
Kommentare
685
Buffs erhalten
860
Wer in den letzten Tagen versucht hat, etwas im offiziellen Forum zu suchen, wird feststellen, dass diese zur Zeit abgeschaltet sind. Grund dafür ist eine große Sicherheitslücke bei LotRO, die mittlerweile unterbunden wurde. Nähere Details dazu hier:
http://lotrocommunity.com/forum/topic/934-fragen-zur-sicherheit-bei-lotro/
Es empfiehlt sich generell, das Passwort zu ändern. Wann und ob Turbine dazu ein Statement herausgibt, ist unklar. Ihr Verhalten momentan grenzt aber schon an Kundenbetrug.
 
Norei schrieb:
Ihr Verhalten momentan grenzt aber schon an Kundenbetrug.
Zum Vergrößern anklicken....
...ich weiss ja nicht, worin Du einen Betrug siehst, wenn sie die Foren offline nehmen, um das im deutschen Fan-Forum gepostete (mögliche?) Sicherheitsleck zu untersuchen?

Wir haben im Forum-System ein auftretendes Problem identifiziert. Daher haben wir vorsorglich unsere Foren deaktiviert, während wir das Problem untersuchen.
Wir werden die Foren nach Abschluss unserer Arbeiten wieder online bringen. Vielen Dank für Ihre Geduld.
Zum Vergrößern anklicken....
Ernst gemeinte technische Frage: macht es Sinn Passwörter zu ändern, während sie an der Datenbank (oder was auch immer) arbeiten?
 
Zuletzt bearbeitet:
Wizzkid schrieb:
...ich weiss ja nicht, worin Du einen Betrug siehst, wenn sie die Foren offline nehmen, um das im deutschen Fan-Forum gepostete (mögliche?) Sicherheitsleck zu untersuchen?
Zum Vergrößern anklicken....
Es könnte sein, dass irgendjemand da draußen eine Liste von über einer Million Kundendaten inkl. Passworthash hat. Dann müsste ich, während ich die Lücke schließe, doch wenigstens meine Kunden auffordern, ihr Passwort zu ändern. Das hat Turbine versäumt und das sehe ich als zutiefst kritisch an.

Und ja, ändere das Passwort. Wenn du die Fehlermeldung bekommst, dass dein altes Passwort nicht stimmt, ist es wahrscheinlich trotzdem geändert worden.
 
Das Passwort regelmäßig zu ändern ist an sich eine gute Idee.

Nur seh ich in den Threads bisher keinen Grund zu glauben, Turbine wäre gehackt worden. Die Threads drehen sich um die Behauptung ohne schlüssigen Beweis, alles was ich den Threads entnehmen kann ist, dass man ein Programm benutzt hat, welches unter Möchtegern-Hackern weit verbreitet ist und feststellen konnte *welch Überraschung* dass es eine Passwort-Datenbank im Forum gibt.

Ob diese gehackt wurde ist weder bewiesen noch widerlegt.

Ist sie nicht gehackt worden, erklärt das das fehlende Statement von Turbine.
 
Der betreffende User hat zwischendurch von drei Usern Usernamen, Email und PW-Hash veröffentlicht. Diese Informationen sind vom Betreiber natürlich gelöscht worden, mindestens einer der drei Betroffenen hat aber die Email identifizieren können. Keine Ahnung, was da wirklich ist, aber das LotRO-Forum ging 30 min, nachdem einer der Moderatoren von lotrocommunity eine PM an Sapience geschickt hat, off - und ist seitdem nicht wieder aufgetaucht.

Ich würde es nicht so leicht als Ente abtun.
 
weil der Hacker auch seine erhackten Daten so bereitwillig in dem Forum postet das er gehackt hat.... sure....

aber um Elrigh zu zitieren: Das Passwort regelmäßig zu ändern ist an sich eine gute Idee.

2nd: Wer für das Forenkonto das selbe PW nimmt wie für seinen Spiel-Acc ist selber schuld ;P
 
Norei schrieb:
... müsste ich, während ich die Lücke schließe, doch wenigstens meine Kunden auffordern, ihr Passwort zu ändern. ...
Wenn du die Fehlermeldung bekommst, dass dein altes Passwort nicht stimmt, ist es wahrscheinlich trotzdem geändert worden.
Zum Vergrößern anklicken....
Das meinte ich mit meiner Frage, ob es technisch gesehen, Sinn macht, oder ob man nicht damit die Datenbank neu mischt und nachher ein heilloses Durcheinander entsteht.

Geology schrieb:
... Wer für das Forenkonto das selbe PW nimmt wie für seinen Spiel-Acc ist selber schuld ;P
Zum Vergrößern anklicken....
Da herrschte etwas Verwirrung, manche hatten getrennte Daten, andere kamen nur ins Turbine-Forum, wenn sie die Daten fürs Spiel genommen haben.
Im Account gibt es eine Option zum Forum-Passwort ändern, auf der Seite zum einloggen ins Forum taucht aber der Hinweis auf:

If you are having problems logging in, please make sure that you have cookies enabled and that you are using your Game Login information.
Former logins with your community name are no longer supported, you must use your game login.
Your public facing community name will remain the same.
Zum Vergrößern anklicken....
 
Das ist btw einer der hauptgründe wie dein account "gehacked" wird. im Lotro.com oder battle.net-forum brauchst du dir da keine besondere sorge zu machen - aber du meldest dich ja auch sonstwo im netz an. Und wenn du auf lotro-jägerdernacht-sippe.de oder sowas im gildenforum sowas ÄHNLICHES wie deinen login-namen nutzt und das richtige passwort, dann kann das natürlich irgendeiner finden - und weil irgendwelche kleinen privatforen oft nicht so sehr geupdated werden wie große, die um die sicherheit bemüht sind, könen die dann auch still übernommen werden.

Das heisst, wenn du schon nicht für alles eigene passwörter nutzen willst: mach wenigstens komplett unterschiedliche für "große firmen denen man vertrauen kann und wo ich vermutlich auch geld da lassen werde" und "irgend so 'ne internetseite".
Wenn du dann auch noch variationen hast (sowas wie PW "Milchreis" und "Milchscheiß") die du auf verschiedenen seiten nutzt und vielleicht mal durchprobieren nmusst ist das natürlich noch besser.
 
Elrigh schrieb:
Das Passwort regelmäßig zu ändern ist an sich eine gute Idee.

Nur seh ich in den Threads bisher keinen Grund zu glauben, Turbine wäre gehackt worden. Die Threads drehen sich um die Behauptung ohne schlüssigen Beweis, alles was ich den Threads entnehmen kann ist, dass man ein Programm benutzt hat, welches unter Möchtegern-Hackern weit verbreitet ist und feststellen konnte *welch Überraschung* dass es eine Passwort-Datenbank im Forum gibt.

Ob diese gehackt wurde ist weder bewiesen noch widerlegt.

Ist sie nicht gehackt worden, erklärt das das fehlende Statement von Turbine.
Zum Vergrößern anklicken....

Naja ich empfinde es aber schon lange als störend das mein Forenzugang die gleichen Daten nutzt wie mein Account.Nenn mich nun paranoid aber das ist ein grund warum ich mich quasi nie ins Lotro-Forum einlogge und wenn doch,ich da nach mein PW ändere.
 
Zuletzt bearbeitet von einem Moderator:
Ja, das hdro-offi forum find und fand ich auch irgendwie... schauderig. Sowohl das von codemasters als auch das neue. Ich glaub blizzard sind da die einzigen denen ich beim forum vertraue. Und auch bevor ich nen authenticator hatte (was übrigens security-heaven ist).
 
stimmt der Authenti-Dings^^ ist toll.
Trotzdem ist das Beste immernoch "Brain 2.0"
 
Geology schrieb:
weil der Hacker auch seine erhackten Daten so bereitwillig in dem Forum postet das er gehackt hat.... sure....
Zum Vergrößern anklicken....

Der "hacker" hat die Lücke entdeckt und sich wohl an Mitarbeiter von Turbine gewandt. Dort ist nichts passiert (außer dass sein thread verschwunden ist), er hat in dem anderen Forum einen thread eröffnet und dort hat man ihm nicht geglaubt. Daraufhin hat er dann Daten gepostet. Eben auch welche, von im Forum schreibenden usern. Diese wurden dann natürlich auch gelöscht und Sapience noch einmal informiert. Seitdem ist das Forum off.
 
Turbine hat reagiert:

http://www.lotro.com/news/latestnews/1497
 

Foren sind wieder online.

Update zum Forum-Status
Vor Kurzem wurden wir darüber in Kenntnis gesetzt, dass unsere HdRO-Community-Web-Anwendungen eine Sicherheitslücke aufweisen.
Wir nehmen alle potentiellen Sicherheitslücken sehr ernst und haben die Foren während der Untersuchung und zur Beseitigung des Problems offline genommen.
Sie stehen jedoch nun wieder für den normalen Gebrauch zur Verfügung.
Bitte nehmen Sie zur Kenntnis, dass auch in den kommenden Tagen noch einzelne Elemente der Seite zeitweilig nicht verfügbar sein werden, während wir die Wartungsarbeiten an unseren Community-Webseiten abschließen.
Das Spiel selbst ist davon jedoch nicht betroffen und wird weiterhin ganz regelmäßig laufen.

Obgleich das Sicherheitsproblem augenscheinlich nur von begrenzter Tragweite war, falls wir der Meinung sind, dass Ihr Konto davon betroffen war, werden wir uns direkt an Sie wenden.
Als zusätzliche Sicherheitsmaßnahme raten wir allen Spielern, ihre Passwörter zu ändern.
Bitte denken Sie daran, einzigartige, schwer zu erratende Passwörter zu wählen, die Sie nicht gleichzeitig auch für andere Onlinedienste oder Webseiten verwenden.
Darüber hinaus sollten alle Nutzer auf ungewöhnliche Konto-Aktivitäten achten und diese umgehend dem Turbine-Kundendienst melden.

Vielen Dank für Ihre Geduld.

Wir bitten unsere Spieler, alle Kommentare und Diskussionen über die Schwierigkeiten der Community-Webseite in diesem Thread zu posten.
Alle anderswo geposteten Threads werden von uns auch hierher umgeleitet.​
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Einloggen o. Registrieren zum Antworten.

Similar threads

K
ArcheAge: neue Patchnotes 07.2018
Antworten
0
Aufrufe
7K
KrasotaArygos
K
Shaila
(Wieder-)Einstiegsguide & Sammlung hilfreicher Beiträge
Antworten
1
Aufrufe
8K
Shaila
Shaila
Badomen
Lotro: Enedwaith bis Rohan und kleines nordisches Extra
Antworten
1
Aufrufe
372
Yalda
Yalda
E
Meine meinung von Guild Wars 2
2
Antworten
31
Aufrufe
12K
Eyora
E
Maarius81
Guild Wars 2 - fragt eure Fragen
6 7 8
Antworten
155
Aufrufe
33K
Maarius81
Maarius81
Oben Unten
Zurück