Datensicherheit bei Trion

[La Saint]

Im offiziellen Forum kreist gerade der Hammer. In unzählichen Posts beschreiben Leute, wie ihre Accounts gehackt wurden. Schon allein die Menge und die kurze Zeit, in der es passiert ist, erscheint seltsam. Vor allem bei einem Spiel, das gerade mal ein paar Tage auf dem Markt ist. Soviel ungeschützte Rechner oder DAUs, die auf einer dubiosen Webseite ihr Passwort veröffentlichen, kann es garnicht geben.

Natürlich werden die Opfer des Accountdiebstahls, wie bei Onlinespielen üblich, im Herstellerforum nur mit Häme überschüttet. Wobei "garantiert selber Schuld" noch die harmloseste Variante ist. Und offizielle Hilfe gibt es auch nicht, weil der Support bei Trion anscheinend die gleiche Qualität hat wie der bei Funcom nach dem Release von AoC.

Jetzt zeichnet sich aber ein anderes Bild ab. Es gibt inzwischen genügend Posts von Leuten mit offensichtlichem Sachverstand, die logisch verständlich und technisch nachvollziehbar schildern, das ihr Account nicht lokal bei ihnen gehacked worden sein kann. Das die Accountdaten aus einer anderen Quelle geleaked worden sein müssen.

Und jetzt reagiert Trion auf einmal. Man will eine sogenannte "Münzsperre", die wörtliche Übersetzung von coin lock, einführen. Hier mal ein Zitat aus einem Community Manager Post (oder wie immer sich diese Leute bei Trion nennen):

http://foren.riftgame.de/images/misc/quote_icon.png Zitat von Ravna http://foren.riftgame.de/images/buttons/viewpost-right.png Euer Account wird in Zukunft nur noch begrenzten Zugriff auf eure Charaktere haben, solltet ihr euch von einem deutlich anderen Standort oder von einem andere PC aus ins Spiel einloggen.
Falls euer Account von einem „Coin Lock" betroffen ist, dann werden wir euch eine Email an die Email Adresse, die in eurem Account hinterlegt ist, senden (normalerweise eure Spiel Login Email Adresse).
Ravna ​

Diese Aktion sagt mir, das die Accounts nicht von asiatischen Goldfarmern gehackt werden, sondern die Accountdaten vermutlich auf einem USB-Stick bei Trion rausgewandert sind.

Nette Info am Rande. Als ich gerade das erste Mal seit ca. einer Woche die Accountverwaltung betreten habe, mußte ich mit erschrecken feststellen, daß ich noch angemeldet bin. Das ist mehr als seltsam, denn ich melde mich prinzipiell IMMER händisch ab. Egal, ob Online-Banking, Spieleaccount oder beim Deutschen Rechtschreibforum (hrhr).

Okay, ich KANN es auch vergessen haben. Das ist zwar unwahrscheinlich, aber immerhin möglich. Aber wieso wird die Accountverwaltung dann nicht nach 15 Minuten automatisch geschlossen, wenn keine Aktivität mehr vorhanden ist? Sowas läßt auf einen ziemlich fahrlässigen Umgang mit Kundendaten bei Trion schließen.

cu
Lasaint

 

[Lari]

Alles nur Spekulation.
Desweiteren zum Support von Trion:
Ja, die Tickets dauern ewig lange. Wenn ich dann aber von Gildies höre, sie werden von GMs angesprochen, weil sich jemand per Ticket über Artefakt-Klau oder Quest-Mobdiebstahl beschwert haben und was sie dazu zu sagen hätten, dann wunderts mich ehrlich gesagt nicht.
Der Support wird überschwemmt von absolut hirnrissigen Tickets, so dass mitunter auch die wirklich wichtigen untergehen.

Frage an dich: was hat bitte eine Münzsperre mit einem USB-Stick zutun?
Der Coin-Lock ist eine super Methode um Hackern aus dem Ausland das Hacken zu vermiesen, da sie eh nichts machen können. Das System ist kein Eingeständnis, sondern ein Lösungsansatz.

Weiter im Text: wieso erwischt es zum Beispiel keinen in meinem Umfeld? Wenn das Leck bei Trion zu finden wäre, dann hätte es auch Hacks bei uns geben müssen. Hacks über die nicht abgemeldete Session halte ich für unwahrscheinlich, zumal ich immer ausgeloggt werde, obwohl ich es nicht händisch mache.


Ohne konkrete Hinweise oder Eingeständnisse seitens Trion würde ich ihnen erstmal nicht den schwarzen Peter zuschieben.

 

[Azerak]

Natürlich werden die Opfer des Accountdiebstahls, wie bei Onlinespielen üblich, im Herstellerforum nur mit Häme überschüttet. Wobei "garantiert selber Schuld" noch die harmloseste Variante ist. Und offizielle Hilfe gibt es auch nicht, weil der Support bei Trion anscheinend die gleiche Qualität hat wie der bei Funcom nach dem Release von AoC.

Das Forum besitzt KEIN Unterforum für Support im Bereich Accounts/Hacks. Die CMs KÖNNEN nicht helfen.
Die könnten maximal weiterleiten und das ist NICHT ihr Job. Es ist eine Frechheit sich an Support Email/Ticket vorbei drängeln zu wollen indem man ein Forum Thread eröffnet
und dann rumflennt.

Und jetzt reagiert Trion auf einmal. Man will eine sogenannte "Münzsperre", die wörtliche Übersetzung von coin lock, einführen. Hier mal ein Zitat aus einem Community Manager Post (oder wie immer sich diese Leute bei Trion nennen):

FALSCH. Sie reagieren nicht "auf einmal". Es gab während der Beta / Headstarts bereits einige gehackte Accounts und bereits da haben sie angefangen nach Lösungen zu suchen.
Solch eine Sicherung schütteln die sich nicht aus dem Ärmel.

Diese Aktion sagt mir, das die Accounts nicht von asiatischen Goldfarmern gehackt werden, sondern die Accountdaten vermutlich auf einem USB-Stick bei Trion rausgewandert sind.

Diese Aktion sagt dir rein GAR NICHTS.

Nette Info am Rande. Als ich gerade das ee Mal seit ca. einer Woche die Accountverwaltung betreten habe, mußte ich mit erschrecken feststellen, daß ich noch angemeldet bin. Das ist mehr als seltsam, denn ich melde mich prinzipiell IMMER händisch ab. Egal, ob Online-Banking, Spieleaccount oder beim Deutschen Rechtschreibforum (hrhr).

Nette und völlig unnötige sowie nichts sagende "Info".
Man kann viel sagen wenn der Tag lang ist. Vlt hast du auch den Browser falsch eingestellt sodass er dich automatisch anmeldet.
Natürlich wirst du dies nun verneinen - was du nicht brauchst da es eh keine Absicherung gibt.

 

[Berserkius]

Zu geil über mehr, ganz deiner Meinung

edit:

Der über über mir^^ warst schneller

 

[Ginkohana]

Sorry, ich komme auch aus der Sparte und muss sagen, dass die Vermutungen doch recht haltlos sind.

1. Accountdaten auf einen USB Stick ziehen und damit rauslatschen ist nicht so einfach wie man sich das als Laie vorstellt.
Interne bzw. kundenspezifische Daten sind in einem solchen unternehmen von mehreren Firewalls geschützt, sowohl interne- als auch externe-Firewalls, Access Control Lists, Packet Filter und Intrusion Detection System's was soviel heisst, dass nicht jeder X-Beliebige Mitarbeiter Zugriff auf diese hat und bei einem versuch auf diese zuzugreifen sofort geblockt wird.
2. Sind die Serverfarmen für die Kundendaten mit einer Sicherheit von 99,99% von den anderen Serverfarmen räumlich getrennt und extra Codeschlossgesichert, da kommt auch kein Praktikant mitm USB Stick inner Hand rein...
3. Kann man sich nicht zu 100% auf ein Avira, Norton oder MCAffee verlassen da viele nicht auf diverse Keylogger reagieren und kaum bis garkeinen Informationsaustausch untereinander haben was die Virussignaturen betrifft.
4. Wer sagt die Windows Firewall wäre sicher outet sich perse als Wannabe. Windows's Firewall hat an allen Ecken und Enden Löcher welche man nur nutzen muss.
5. Bin ich der Ansicht, dass Keiner der sogenannten Experten Zuhause auch nur ansatzweise die Ressourcen aufgewartet hat welche Mittelständischen Unternehmen zur Verfügung stehen um sein eigenes Home-System abzusichern und selbst dabei ist es nicht garantiert, dass das System sicher ist.
(Ich besitze kein IDS, ACLs, 2-3 Firewalls, eine DMZ etc.)
6. Man muss nun kein Hellseher sein um sagen zu können, dass ein Mensch offt mehrere Accounts in den Weiten des Netzes rumgammeln hat mit den gleichen Accountdaten wie er sie bei einem MMO nutzt.
Diese Accountdaten liegen häufig viel leichter erreichbar da als man es denkt, privat gehostete Foren bsp. sind NIE so sicher wie eines welches von einer Firma alá Trion gehostet wird.
(Ein schönes Beispiel findet man in der c't Ausgabe 1 2011 20.12.2010 Datenschutz-Fallrückzieher)

Ich hoffe ich konnte das etwas deutlich machen, dass die ganze Disskusion und die Anschuldigungen etwas absurd sind.
Sorry an alle RIFT Spieler, dass ich mich als Nicht-Rift'ler einmische aber das Wort "Datenschutz" hat mich angezogen. ^_^

 

[Jesbi]

Wenn ich dann aber von Gildies höre, sie werden von GMs angesprochen, weil sich jemand per Ticket über Artefakt-Klau oder Quest-Mobdiebstahl beschwert haben und was sie dazu zu sagen hätten, dann wunderts mich ehrlich gesagt nicht.

Oh mein Gott, sowas gibt es wirklich?

Ansonsten hat der ganze Topic mal wieder einen faden Beigeschmack..
Hacks gab, gibt und wird es immer geben solange es Online Games gibt.

Ich hoffe die Wiederherstellung läuft für die "Opfer" einigermaßen schnell ab.

OK, wenn ich mal betroffen sein sollte und gerade dann unbedingt zocken will, sind 5min schon zu lang. Auch wenn ich sonst nur 30min am Tag zocke.

mfg

 

[Schrottinator]

Da wir es gerade von Datensicherheit haben und es hier einige gibt, die zumindest bei mir den Eindruck erweckt haben, dass sie sich mit dem Thema auskennen, stelle ich mal noch eine Frage dazu:

Und zwar geht es um den loggin. Man loggt sich nähmlich nicht mit einem Accountnamen sondern mit einer Email-Adresse ein. Ich habe als immer den faden Beigeschmack, dass dies ein ernsthaftes Risiko darstellen könnte, sowohl für den normalen Account als auch für den Email-Account.

Was meint ihr dazu?

 

[Ginkohana]

Da wir es gerade von Datensicherheit haben und es hier einige gibt, die zumindest bei mir den Eindruck erweckt haben, dass sie sich mit dem Thema auskennen, stelle ich mal noch eine Frage dazu:

Und zwar geht es um den loggin. Man loggt sich nähmlich nicht mit einem Accountnamen sondern mit einer Email-Adresse ein. Ich habe als immer den faden Beigeschmack, dass dies ein ernsthaftes Risiko darstellen könnte, sowohl für den normalen Account als auch für den Email-Account.

Was meint ihr dazu?

Jain
Sicher ist es auf einem ungeschützten System ein Sicherheitsrisiko jedoch wie gesagt, von Seite der Entwirkler/Vertrieb/Hoster ist es kein Problem da die Daten dort sicher sind.
Wenn du dein System durch 1-2 Firewalls schützt, 2 Virenscanner hast + Sybot dann sollte das Gross der Trojaner etc. gefiltert werden.
(Ich sage nicht, dass Liveguard aktiv sein muss)

Weiterhin empfehle ich bei sowas für jedes Spiel eine eigene addy zu nutzen.
Eine Emailaddy heisst btw. nicht, dass man sich mit dieser einloggen kann.
Bei Arcor bsp. loggt man sich mit einem login namen ein nicht mit der Adresse

 

[EisundFeuer]

Ich kann (auch als Nicht-Rift´ler) nur empfehlen für solche Spiele eine separate Emailadresse einzurichten die man NIRGENDS sonst verwendet. Ansonsten liefert ihr nämlich mit etwas Google-fu den Leuten euren Accountnamen freihaus.

 

[Tikume]

Auch wenn es sicher nicht unmöglich ist, würde ich das doch eher als unwahrscheinlich einstufen. Es ist halt einfacher die Schuld woanders zu suchen.
Man muss ja auch nicht zwingend ein DAU sein (Der Ex-Buffed-Aggro Gnom wurde ja letztens auch gehacked), man kann auch einmal unvorsichtig gewesen sein oder Pech gehabt haben.

 

[Grexan]

Ich musste gestern Abend leider mit bedauern feststellen, dass meine 2 Chars pleite waren sowie alle items die nicht in irgend einer weise Seelengebunden sind verschwunden waren.


Dieser Computer wird nur für MMORPG benutzt. ( Browser oder auch emails brauch ich da nie )

Hab Computer mehrmals mit allerlei Software überprüft und nichts gefunden.

Email Adresse und Passwoert ist in dieser kombination wie ich Sie verwende einzigartig. Heisst ich habe nie die selben Passwörter und die lauten auch nicht auf irgend welche namen oder daten sondern sind willkürlich gemacht.


Vom GM noch keine Antwort bekommen diesbezüglich.

Ich bin kein Laie aber auch kein Genie was das angeht. Hat evtl irgendwer schon erfahrung damit gemacht ?

Ist mir in EQ / EQ2 / WOW / AION / DAOC usw nie passiert.

Grüsse
Grexan

 

[La Saint]

Auch wenn es sicher nicht unmöglich ist, würde ich das doch eher als unwahrscheinlich einstufen. Es ist halt einfacher die Schuld woanders zu suchen.
Man muss ja auch nicht zwingend ein DAU sein (Der Ex-Buffed-Aggro Gnom wurde ja letztens auch gehacked), man kann auch einmal unvorsichtig gewesen sein oder Pech gehabt haben.

Schön finde ich immer wieder diesen Beißreflex der Fanboys, wenn sie das Gefühl haben jemand wolle ihnen ihr Lieblingsspielzeug madig machen. Dann kann man mit noch so viel Logik kommen, für sie existiert einfach nicht was nicht existieren darf. Wobei ich dich jetzt aber nicht als Fanboy im Sinne des Wortes bezeichnen will ^^.

Tja, offensichtlich ist das Unwahrscheinliche und nahezu Unmögliche doch eingetreten. Nicht die Spieler waren an den Accounthacks schuld, sondern Trion selbst hat sich als die Ursache herausgestellt.

Das die Münzsperre keine Accounthacks verhindern kann, sondern allenfalls eine Maßnahme zur Schadensbegrenzung darstellt, war von vornherein klar. Da warf sich nur die Frage auf, warum ein Hersteller in aller Eile eine technisch so halbgare Lösung durchboxt. Die einzige logische Antwort darauf war, das der Schaden schon längst eingetreten ist. Das die Accountdaten schon längst durch einen Massenhack oder durch ein Datenleak verbreitet wurden.

Und genau das ist prinzipiell passiert. Trion hat seit Release ein Loch in der Größe eines Scheunentors in seiner Accountanmeldung. Jeder konnte sich ohne Passwort in einen fremden Account einloggen, sogar in die mit Sonderrechten versehenen Accounts der GMs. Erst nachdem ein Insider der Hackerszene den Exploit herausfand und Trion mitteilte wo ihr Fehler lag, wurde diese Lücke geschlossen. Nachdem Trion sich mehrere Wochen lang als unfähig erwiesen hat das selber zu tun.

Laut Trion wurde 1% der Accounts gehackt. Das hört sich jetzt nicht nach viel an, sind aber immerhin mehr als 10.000 (In Worten: Zehntausend). Üblicherweise neigt ein Hersteller in solchen Fällen dazu die Zahlen dramatisch herunterzuspielen, es können also auch durchaus mehr sein. Dazu kommt noch die Dunkelziffer der Accounts, die gehackt wurden ohne das es aufgefallen ist.

Man überlege sich einmal was passiert wäre, hätte nicht ein Externer den Exploit herausgefunden und veröffentlich. Trion hätte weiterhin eine nicht existierende professionelle Hackermafia vorgeschoben, irgendwann einmal still leise die Lücke zugemacht und weiterhin behauptet, die dummen Kunden wären selber schuld gewesen. Weil sie ja angeblich Trojaner auf dem Rechner haben und weiche Passwörter benutzen. Es ist schön, das mal ein Hersteller mit so einer Schweinerei aufgeflogen ist. Auch wenn es nichts nützen wird. Fanboy bleibt Fanboy.

Na ja, die Chance, das es demnächst auch die Fanboys trifft ist nicht schlecht. Meiner Meinung nach ist die Situation nämlich alles andere als bereinigt. Aber warum darüber reden? Siehe meinen ersten Absatz bezüglich Logik ^^.

cu
Lasaint

 

[Lari]

Und weil Sicherheitslücken so einfach zu schließen und zu finden sind gibts Montags regelmäßig Patches seitens Microsoft

Dann gab es eben einen Fehler/eine Sicherheitslücke bei Trion, soll nicht vorkommen, kann aber passieren (siehe Frogster).

Das Coin-Lock System halte ich weiterhin für wegweisend, wenn auch noch nicht ausgereift. Aufwand = 1 Minute, dafür ist der Account weitestgehend geschützt. Ein Phisher/Hacker kann zwar einloggen, aber nichts machen.

Und als ob Trion die User für dumm erklärt... sie haben lediglich Tipps gegeben, wie man seinen Account möglich sicher hält.
Einfach mal den Ball flach halten.

Edit:
Auch meine eMail-Adresse ist bei den, ich sag mal geleakten, Adressen dabei gewesen. Bekam die Anzeige, dass 48 mal versucht wurde, auf meinen Freemail-Account einzuloggen. Geschafft wurde es aber nicht. Verschiedene Passwörter eben.
Trotzdem sehe ich das relativ gelassen.

Und ich mein diese Verschwiegenheit ist doch nur natürlich. Soll Trion öffentlich machen, dass es eine bisher nicht gefundene Sicherheitslücke bei ihnen gibt, um noch mehr Hacker auf sich aufmerksam zu machen? Kein Publisher wird vor der Schließung der Lücke auch nur annährnd etwas von möglichen Lücken schreiben, das wäre einfach nur dumm.

 

[La Saint]

Dann gab es eben einen Fehler/eine Sicherheitslücke bei Trion, soll nicht vorkommen, kann aber passieren (siehe Frogster).

Das Coin-Lock System halte ich weiterhin für wegweisend, wenn auch noch nicht ausgereift. Aufwand = 1 Minute, dafür ist der Account weitestgehend geschützt. Ein Phisher/Hacker kann zwar einloggen, aber nichts machen.

Und als ob Trion die User für dumm erklärt... sie haben lediglich Tipps gegeben, wie man seinen Account möglich sicher hält.
Einfach mal den Ball flach halten.

Danke für die Antwort. Das ist genau das Beispiel, das ich mir wünschte als ich sagte, man bräuche nicht mit Logik oder mit Fakten zu kommen. Und wenn die Fakten einfach nicht mehr ignoriert werden können, dann werden sie halt heruntergespielt.

"Nichts machen" ist übrigens relativ. Der Phisher/Hacker kann jede Menge machen bis hin zum Löschen von Chars. Aber wie Trion schon sagt, wir setzen da auf das Verständnis der Hacker, das sie nichts tun wovon sie nichts haben. Harhar.

Und selbstverständlich hat Trion die User für dumm verkauft. Ich bin jetzt zu faul dir die Statements herauszusuchen, wo man auf eine hochprofessionelle Hackermafia verweist, die angeblich gerade in einer konzertierten Aktion Trion angreift. Und das die Benutzer dieser Mafia das Leben leicht machen, weil sie unsichere System und schwache Passwörter benutzen.

Ich wüßte für diese Vorgehensweise von Trion durchaus noch andere Bezeichnungen. Und für deren technische Qualifikation ebenfalls.

cu
Lasaint

 

[Aldaric87]

La Saint, ich würde an deiner Stelle einfach das Forum verlassen. Momentan kann der Phisher/Hacker GAR NICHTS machen, auch nicht den Char löschen, wie du hier schreibst.

Du verkaufst hier einige Leute für dumm, da sie dir aufzeigen wie Haltlos deine Argumentation ist. Mehr brauch man zu dir nicht zu sagen.

 

[Petu]

"Nichts machen" ist übrigens relativ. Der Phisher/Hacker kann jede Menge machen bis hin zum Löschen von Chars. Aber wie Trion schon sagt, wir setzen da auf das Verständnis der Hacker, das sie nichts tun wovon sie nichts haben. Harhar.

Bis zu dieser Aussage wollte ich noch glauben, das Du weisst wovon Du redest.
Nun hast Du Dir aber selbst Unwissen bescheinigt. Den Rest von dem Geschwafel, der hier von Dir noch kommen mag, werde ich nicht mehr lesen.
Bisher hast Du es recht gut verstanden deine Unwissenheit unter dem Mantel der Scheinintelligenz zu verbergen.

 

[Lari]

Danke für die Antwort. Das ist genau das Beispiel, das ich mir wünschte als ich sagte, man bräuche nicht mit Logik oder mit Fakten zu kommen. Und wenn die Fakten einfach nicht mehr ignoriert werden können, dann werden sie halt heruntergespielt.

Was heisst denn runterspielen?
Soll ich jetzt die Drama-Queen spielen und schreiend im Kreis rumrennen?

Dass es dir hauptsächlich darum geht die Unfähigkeit und Dreistigkeit Trions hervorzuheben sieht man daran, dass du garnicht die aktuellen Sicherheitsmaßnahmen verfolgst. Hier wie auch im offiziellen Forum sieht man deine, meist gleichen, Posts über die Unfähigkeit Trions, eine Sicherheitslücke zu finden (siehe oben, wäre es so einfach bräuchte Microsoft und andere keine wöchentlichen Sicherheitsupdates) und die gleichzeitige Dreistigkeit Trions gegenüber den Usern, ihnen die Schuld zuzuschieben und sie für dumm zu verkaufen.
Quellen lieferst du keine, deine Informationen sind nicht aktuell und etwas konstruktives seh ich an deinen Posts nicht.

Was sollten wir deiner Meinung nach denn jetzt tun?

 

[La Saint]

Nun hast Du Dir aber selbst Unwissen bescheinigt. Den Rest von dem Geschwafel, der hier von Dir noch kommen mag, werde ich nicht mehr lesen. Bisher hast Du es recht gut verstanden deine Unwissenheit unter dem Mantel der Scheinintelligenz zu verbergen.

Jo, jo, Meister ^^

Gestern 14:42 #509 Deady (Offizielles Forum)

http://foren.riftgame.de/images/misc/quote_icon.png Zitat von Lheomuh http://foren.riftgame.de/images/buttons/viewpost-right.png Wie können die Sachen trotz Coinlock weg sein?

Die Frage stell ich mir auch. Ich habe bis 1:30Uhr gezockt. Am nächsten Tag war mein Char leer und ich hatte eine Mail im Postfach bezüglich der Münzsperre, welche 1:47Uhr ankam. D.h. jemand hat sich um die Zeit mit ner anderen IP eingeloggt, was zu der Mail führte. Die Mail war ungeöffnet und dieser Code funktionierte bei mir gegen 13:30Uhr (mit wiederrum ner anderen IP).

Und genau da stellt sich mir die Frage, wie das möglich sein kann...
​

http://foren.riftgam...hackt-!!/page51

cu
Lasaint

 

[Lari]

Hotfix #8 - 3/19/11

Account-Sicherheit
* Charaktere können nicht gelöscht werden, solange ein Account mit einer Münzsperre versehen ist.
* Charaktere können keine Post per Nachname mehr annehmen, wenn sie mit einer Münzsperre belegt sind.

Der Account von Deady wurde vor dem Hotfix leergeräumt.
Coin-Lock gilt als sicher laut dem Insider, der Trion auch mit der Sicherheitslücke geholfen hat.