Blizzard äußert sich zur aktuellen Diablo 3 Account-Hack-Welle
- Dienstag, 22.05 2012 - 15:32 Uhr
- von Freynan
- 32 Kommentare
Schon kurz nach dem Release von Diablo 3 meldeten sich immer mehr Diablo 3 Spieler deren Account offensichtlich in Hände gelangt war, in die er nicht gehört. Die von den Account-Hacks betroffenen Zocker fanden zunächst ein geändertes Battle.net Passwort vor und anschließend ihre Charaktere jedweder Items beraubt. Die Meinungen dazu, wie es zur Kompromittierung der Accounts hat kommen können, gehen auseinander und auch eine aktuelle Äußerung Blizzards gibt keinen Aufschluss darüber, ob ggf. irgendwelche Battle.net Sicherheitslücken ausgenutzt wurden oder ob auf besagte Accounts auf die traditionelle Art und Weise zugegriffen wurde, was laut einer Wortmeldung des deutschen Community Managers Ulvareth bislang in allen bestätigten Fällen von Account-Missbrauch der Fall gewesen sein soll.
Das offizielle Statement beinhaltet demnach auch weitgehend nur noch einmal sämtlicheHhinweise dazu, wie man sich selbst auf herkömmliche Weise bestmöglich vor einem Account-Diebstahl schützen kann:
“Wir möchten kurz auf die aktuellen Berichte über eine mögliche Kompromittierung von Battle.net® und Diablo® III eingehen. Wie schon in der Vergangenheit – beispielsweise bei World of Warcraft®-Erweiterungen – kommt es nach der Veröffentlichung eines neuen Spiels regelmäßig zu vermehrten Meldungen von Kompromittierungen persönlicher Accounts und genau dieses Phänomen erleben wir jetzt auch bei Diablo III wieder. Uns ist bewusst, wie unangenehm es ist, Opfer eines Accountdiebstahls zu werden und wie immer werden wir alles in unserer Macht Stehende tun, um unseren Spielern dabei zu helfen, die Sicherheit ihrer Accounts aufrechtzuerhalten – und wir freuen uns über jeden, der seinen Teil dazu beiträgt. Auf unserer Website zur Accountsicherheit, www.battle.net/security, könnt ihr nachlesen, was ihr selbst tun könnt und welche internen bzw. externen Hilfsmittel wir zur Gewährleistung der Accountsicherheit einsetzen.
Des Weiteren möchten wir euch versichern, dass der Battle.net Authenticator und Battle.net Mobile Authenticator (eine kostenlose App für das iPhone und Android-Geräte) nach wie vor zu unseren effektivsten Mitteln zum Schutz vor Accountkompromittierungen gehören und wir möchten wirklich allen ans Herz legen, diese zu nutzen. Außerdem haben wir vor Kurzem noch einen weiteren Dienst eingeführt: die „Mobilen Benachrichtigungen“. Über diese könnt ihr mit jedem SMS-fähigen Mobiltelefon gesperrte Battle.net-Accounts wieder entsperren, euren Accountnamen wiederherstellen, euer Passwort zurücksetzen oder einen verlorenen Authenticator entfernen. Wahlweise könnt ihr die Mobilen Benachrichtigungen auch so konfigurieren, dass ihr eine SMS erhaltet, die euch über wichtige (und möglicherweise ungewollte) Änderungen informiert, sollten ungewöhnliche Aktivitäten auf eurem Account festgestellt werden.
Weitere Informationen zum Authenticator findet ihr unter:
http://eu.battle.net/support/de/article/battle-net-authenticator-faqWeitere Informationen zum Battle.net Mobile Authenticator findet ihr unter: http://eu.battle.net/support/de/article/battle-net-mobile-authenticator-faq
Weitere Informationen zu den Mobilen Benachrichtigungen findet ihr unter:
http://eu.battle.net/support/de/article/battlenet-sms-protectDaneben verfügt Battle.net auch noch über weitere Sicherheitsvorkehrungen. Stellt Battle.net ungewöhnliche Einloggvorgänge auf eurem Account fest – wie das Einloggen von einem unbekannten Standort – kann es sein, dass wir euch um zusätzliche Informationen bitten (wie die Beantwortung eurer Sicherheitsfrage) und/oder darum, euer Passwort auf der Battle.net-Website zurückzusetzen. Spieler von World of Warcraft können mit dieser Sicherheitsmethode bereits in Kontakt gekommen sein und auch Diablo III-Spielern kann sie von nun an begegnen.
Wie immer möchten wir euch abschließend noch auf unser Tool „Hilfe, ich wurde gehackt!“ hinweisen, das ihr unter http://eu.battle.net/de/security/help findet und das euch im Falle einer Accountkompromittierung helfen kann.”
Das könnte dich auch interessieren
Diablo-3.net
seitdem ich letzte woche meine 3x 85er ohne gear/gold vorgefunden habe, habe ich sofort die sms benachrichtigung und dann auch kurze zeit später den authenticator drauf gezogen.
super sache, nervt zwar beim fehler 37 immer den key einzugeben, aber wenn es zur sicherheit meines accounts beiträgt, bin ich gerne dazu bereit - also auch wenn das jetzt echt ne große hackwelle war & ich das nicht so ganz nachvollziehen kann wie so ein mega konzern da nicht gegen gewappnet ist - stehe ich voll und ganz dahinter und finde es ne top sache!
Lustig dass es auch Spieler getroffen hat die eben diesen Schutz hatten.
Ich kann es nur gern wiederholen: Die Technik ist nur so gut wie ihr Nutzer.
die wollen ernsthaft geld dafür, dass mein passwort sicherer ist? (stichwort authenticator oder wie das kerlchen heißt) ... die härte
Quark, die App des Authenicators ist kostenlos.
Ich kann es nur gern wiederholen: Die Technik ist nur so gut wie ihr Nutzer.
Ansonten hab ich den software Authentifikator. 0 Probleme bis jetzt. Würde aber auch ohne zu zögern die 10 Euronen für den "normalen" hinblättern aber die Diskussion hatten wir schon mal. Ist ja alles Abzocke und so. Bestimmt hat Blizz, die Accounts selbst gehackt um den Authentifikator mal SO RICHTIG zu pushen. Läuft einfach nicht gut der Verkauf von D3....
Ich kann es nur gern wiederholen: Die Technik ist nur so gut wie ihr Nutzer.
Und jeder der ein Smartphone besitzt, sollte sich die App einfach runterladen.
Dann is auch Ruhe... Der Rest muss halt überlegen ob ihm seine Accountsicherheit 10 Euro Wert ist... Denn so viel glaube ich kostet ein Authenticator. Ich kenne jedenfalls niemanden, der einen benutzt und seitdem gehackt wurde...
Ich denke ehr, das diese Hack-welle an der Dummheit der Nutzer liegt
So jene, die ohne nachzudenken alle Banner und Werbedinger im Browser anklicken, weil se denken, das es da _wirklich_ einen Topf voll Gold zu gewinnen gibt
Wobei da warscheinlich Nutzer und Anbieter versagt haben
Also wer hier glaubt, dass jeder gehackte Account automatisch auf die OSI-Schicht 8 zurückzuführen ist, ist einfach mal dermaßen arrogant dass die Luft stinkt. Sicherlich sitzt das Problem meist zwischen Bildschirm und Rückenlehne aber heutzutage wo Flash und Javascript-Kiddies so viel unterwegs sind ist man einfach nirgends mehr sicher. Selbst mit Spamblockern, Firewall, NoScript, Adblock etc. kann es trotzdem passieren dass man sich schnell mal nen Keylogger einfängt. Ich weiss aus eigener Erfahrung wie viele DAUs es gibt aber es gibt auch Fälle, in denen man einfach nichts mehr machen kann. Es gibt heutzutage kaum noch Seiten die kein Javascript benutzen. Und wenn man sich ansieht, wie leicht man mit ner SQL-Injection in die Regierungsserver kommt, dann ist nen kleiner Javascript-Hack auf ohne Probleme machbar. (davon gibts Tonnen)
Aber der Authenticator lohnt jeden einzelnen cent (sofern man sich ihn kaufen muss). So ein mobiles TAN-System wird heutzutage überall da eingesetzt, wo wichtige Daten abgefragt werden (OnlineBanking, PayPal etc.)
Damit hat man mit nem Keylogger einfach keine Chance mehr. Ich kann ins Forum mein Passwort öffentlich reinschreiben aber es bringt einfach keinem was ohne meinen Authenticator. Und dadurch dass das Handgerät sowie die App nicht auf dem infizierten Rechner laufen, kann der Hacker auch nichts mitloggen.
Also wer so nen Ding noch net hat ---> zulegen!
(Meine Meinung, wem sie nicht gefällt kann sie ignorieren)
Zumal ist es für ein Smartphone was Android oder halt eben diese Appstores nutzt kostenlos.Nutze das ding seit es draussen ist.Also Smartphone user besorgt euch das ding.
Ich finde in der Spielepackung hätte gleich so ein Authenticator mit drin sein müssen, wer die digitale Version kauft bekommt diesen eben zugeschickt.
-> Das Spiel war und ist "dafür" teuer genug.
EDIT: Augenscheinlich bringt ein Authenticator ebenfalls keine absolute "Hacksicherheit", daher ist DIESER Post hier blos noch Müll.
Das ist alles garnicht wahr was ihr da sagt sehr wohl sind welche mit den Authentikator oder so xD gehackt worden guckt mal im Forum nach oder in anderen.
Selbst ich wurd gehackt obwohl ich keine einzige Seite angeklickt hab die damit was zu tun hat mein Windows wurd erst Formatiert also kanns ja net sein.
Das 1000de Accounts gleichzeitig gehackt wurden muss ja wohl kein Zufall sein oder das die von jeden die Account Daten rausgefunden haben.
Selbst manch andere schreiben das das mit dieser ID wahr ist sie sind einen
Öffentlichen Server gejoint. Wurden dann rausgekickt das der andere Typ sich den Account dann zu nutze gemacht hat und ihn Ausgeraubt hat.
Bestimmt hatte die Wartung damit zu tun weil alle meine kollegen hatten keinerlei Probleme und auf einmal in 10 min wird der Server runtergefahren wir dann nur wtf?? Wieso denn das läuft doch alles.
Danach hab ich noch rumgegurkt mit denen und nächsten Tag war aufeinmal mein Mönch und mein Zauberer leer. Nur noch der Hexendoktor hatte sein Equip und die Beutetruhe war auch leer plus mein ganzes Gold
Das ist der perfekte Zeitpunkt, die Bestellung des Authenticators nachzuholen. (gerade im Blizzardstore gemacht auch wenn es keinen mit Diablo Style gibt, ich bin gespannt wie lange die Lieferung dauert) Ich denke auch, dass sich die 10€ für mehr Sicherheit bezahlt machen. Aber es ist ja jedem selbst überlassen, ob er meint der Authenticator bringt mehr Sicherheit oder nicht.
und bald gibts die seiten wo man gold und items für diablo 3 kaufen kann......
oder es wird durchs AH wieder ins spiel gebracht.
Damit wird auf jeden fall ne MENGE geld gemacht^^
Wie es aussieht, ist es kein Wunder, dass so viele Spieler gehackt werden. Zwar gibt es einige interessante Schutzmechanismen bei Blizzard, wie den Authentikator, dennoch ist die größte Schwachstelle die nicht verschlüsselte Übertragung der Anmeldedaten beim Login auf Battle.net. Hier kann jeder die Zugangsdaten mitlesen, daher ist es also kein Wunder, dass so viele "gehackt" werden. Eine Manualle Eingabe von https wird stets auf http umgeleitet.
Zudem bieten selbst die Authenikatoren, wenn sie nicht gut gemacht sind keinen Schutz, siehe RSA SecurID, sogar die wurden geknackt. Es gibt also immer Mittel und Wege einen Account zu kompromitieren.
Das Problem ist doch nicht das einloggen in einen Account durch die Daten sondern das Stehlen von Session-ID's und das dadurch beliebig Charaktere geknackt werden können.
Was bringt denn ein Authenticator, wenn es möglich ist den kompletten Einlogvorgang zu umgehen und die Charaktere aus dem Spiel heraus zu Hijacken?
Ich denke die meisten kapieren es einfach nicht,d3 ist laut aussage von jemandem der sich auskennt bereits 1000% verhakcter als d2 jemals war. Ich kenne jemanden,der hat (ich bin augenzeuge) d3 schon 4 wochen vor der veröffentlichung auf eigenem server gespielt . erst haben sie uns warten lassen und viel geld verdient durch werbung marketing u.s.w. jetzt wollen sie noch mehr. Kauft kauft und macht sie reich,dafür das sie aus d3 HÖCHSTENS ein mittelmässiges (hack +slay ????) gemacht haben,das nur den namen d3 hat und NUR DESHALB so erfolgreich ist . Man kann scon botten dupen maphacken u.v.m. alles scon da,und wer den Quellcode braucht kommt auch ran. nicht dass ich es gut fände,aber so sind nun einmal die Fakten. Sie haben es aber nciht besser verdient ,nachdem sie uns so lange haben warten lassen. So ein SPiel machen 20 Leute in einem halben jahr,sorry Blizzard ihr habts versaut. In Zukunft werden nur noch eigene ,von Freaks gemachten Spiele gut sein , wie z.b. das gehackte zelda Shards of Might oder Parallel Worlds. (das ist zugegeben reine Geschmackssache,ich steh drauf. Vergesst ,es die wollen nur Kohle machen und verdienen noch Milliarden am echtgeld Ah. Niemand interessiert sich für die SPieler,die werden vertröstet,wie im echten Leben. Wenn interessieren gross 50 euro,aber die wenigen,die es in der Summe bekommen (nicht verdienen) ,nun die interessiert es sehr wohl. EUre Accout werden nie sicher sein,und meiner leider auch nicht. Wünsch euch viel Erfolg und dass ihr nicht zu den Pechvögeln gehört,in diesem Sinne............gg
So, aufgrund Hackern wurde der Onlinezwang eingeführt. Jetzt, wo viele Acc's nach nichtmal einer Woche gehackt wurden, müsste man mit einen Update oder spätestens Addon einen offline SP-Part hinzufügen, da Blizzard hier eine falsche Behauptung uns vorgelegt hat. Wir alle wissen aber, dass dies nie geschehen wird.
Was, richtiger Plaintext? Nein oder? Bitte sag zumindest MD5 oder sonst eine Pseudosicherheit. Ich hätte eher schon SSL erhofft.
Morgen kommt an den Monitorport vom Switch mal der Kabelhai, also wenn das wirklich stimmt wärs die grösste Schande seit langem (nagut, seit dem Release) für Blizz.
Und wenn nicht schuldest mir mindestens 4 (vier) virtuelle Schokomuffins weil ich umsonst zwei Patchkabel umgesteckt hab.
btw. Den Authenticator kann man sich bei Session Hijacking komplett sparen, bringt genau garnichts.
In D2 gabs ja alles.
Bin aber gespannt wann das RMAH drann ist, das dürfte doch einiges an Interesse in gewissen Kreisen wecken. Und dank der AHs braucht man einen Acc garnicht wirklich stehlen, man braucht ihn nur leerräumen, eine Aktion von 30 Sekunden wenn man flott ist. Unmöglich für den User/Blizz so schnell zu reagieren.
Klar könnte man die Item IDs verfolgen, wo sie hingingen und wer sie transferiert hat nur wie bei vielem Anderen auch in D3 wird das massivst am "wollen" scheitern.
War doch klar, Onlinezwang bringt gleich 0, außer dass man Laggs hat, auch wenn man Singleplayer ist. Das Aufkommen von Bots und anderem Gesindel kann das höchstens nen minimalen Augenblick (was sind schon Wochen im Vergleich zur Lebensdauer eines solchen Spiels) abhalten. Sad but true.
Neben dem Authentificator schadet auch ein möglichst sicheres Passwort nicht. In einen mobil ungeschützten Account wird schnell einmal eingebrochen, findet man lediglich fantasiefreie Passwörter wie z.B. "mama", "[hier Vornamen einsetzen]" oder Geburtsdaten. Auch wenn es schon zigtausendmal hier und anderswo verlautbart wurde, kann ich nur noch einmal darauf hinweisen, ein Passwort mit unregelmäßiger Groß- und Kleinschreibung, Ziffern und (sofern möglich) auch mit Sonderzeichen und Umlauten zu versehen. Gegen Passwort-Phishing hilft eine virtuelle Tastatur (wird von diversen Sicherheitssoftwareanbietern angeboten). Wer dann noch so naiv ist, sein Passwort auf irgendeiner inoffiziellen Seite bzw. einem inoffiziellen Server einzugeben, dem ist ohnehin nicht mehr zu helfen. "Hacks", in welcher Form auch immer, gibt es seit es das Internet gibt und sie werden auch immer wieder vorkommen, man kann nur die Effizienz der Diebe einschränken.
Diablo 3 auf eigenem Server, Sandbox -> davon wussten wir alle, da konnte man aber nicht viel machen, falls er meint dass sein cooler Freund der "Ahnung" hat das zuhause auf eigenem Server fertig gespielt hat ->
Botten geht schon ja, wie willst du das unterbinden ? Die gibt es auch in LoL etc., da kann man nichts gegen machen.
Maphack und Dupes gibt es noch nicht.
Nutze den Autheticator schon ne ganze Weile (früher WoW)...
Was mich bei D3 irritiert ist, dass ich den nur in etwa jedes 2. Mal eingeben muss... bei 50% der Anmeldeversuche komme ich ohne Eingabe rein, obwohl er ja aktiv ist!
Finde das Ganze sehr schade, aber war ab zusehen, dass sich die Boter und Hacker auf das Game stürzen werden, schließlich gibts hier real money abzugreifen... und ich denke in der Summe nicht grade wenig...
Ich hoffe sie gehen wirklich hart dagegen vor und es wird zu einigen Bann Wellen kommen...
Maphack gibts leider auch schon, inkl rare Pack anzeige....
Also ich persönlich muss den Authenticator nur jedes 5-6 mal eingeben.
Was als Plaintext übertragen wird ist der Accountname bei D3. Jedoch NICHT das Passwort. Wenn ichs übersehen haben sollte, bitte Screen oder eine .pcap in der das der Fall ist.
Der Battle.net login auf der Page geht über SSL. Gute Güte, wäre lustig wenns wirklich Klartext wäre nur dummerweise ist es nicht so.
Ich will meine verdammten vier Muffins von dir.
Leider wird der 1-post Junge drauf nichtmehr antworten vermute ich mal.
ich möchte nur kurz melden, dass ich mich gerade eingeloggt habe und alle items etc weg waren. ich behaupte auch mal, dass ich nicht auf irgendwelche emails geklickt habe oder sonstwie irgendwas verdächtiges gemacht habe. eigentlich lag ich die letzten zwei tage recht viel am see rum und hab wenig gespielt. und zack, alles weg... dass es immer am superdummen nutzer liegt kann man ergo wohl nicht sagen. wer detektivarbeit leisten will: zutaten für den stab fürs ponylevel waren noch da, jedoch waren sie nicht in der truhe sondern im inventar. der charakter war im spiel akt2 normal eingeloggt.
wir dürfen also gespannt bleiben welche accounts noch so flöten gehen.
gg
Zitat:
[Dennoch ist die größte Schwachstelle die nicht verschlüsselte Übertragung der Anmeldedaten beim Login auf Battle.net. Hier kann jeder die Zugangsdaten mitlesen]
Ich benutze Kaspersky Internet Security und starte mit seinem integrierten
Feature einen "Sicheren Browser".
Damit betreibe ich schon jahrelang auch mein i-Net Banking...
Also ich persönlich muss den Authenticator nur jedes 5-6 mal eingeben.
war in der beta schon nicht anders und wundere mich immer noch warum.
Feature einen "Sicheren Browser".
Aber nochmal BNet schickt soweit ich gesehen habe kein Passwort als Klartext. Weder in D3, noch auf der Seite. Auf der Webseite geht nur der Login über SSL, der Rest kommt per normalem HTTP. Eventuell geht da was mit gestohlenen Keksen??
gerade hats nen freund von mir erwischt :/
Aber nochmal BNet schickt soweit ich gesehen habe kein Passwort als Klartext. Weder in D3, noch auf der Seite. Auf der Webseite geht nur der Login über SSL, der Rest kommt per normalem HTTP. Eventuell geht da was mit gestohlenen Keksen??
Feature nicht so ganz Ihre Arbeit machen würde...was mich etwas traurig stimmt...kostet ja alles Geld...
war in der beta schon nicht anders und wundere mich immer noch warum.
Liegt bei mir wohl daran, dass ich mich von meiner Wohnung und am Wochenende bei meinen Eltern einlogge. Also 2 verschiedene Standorte, heut als ich mich in der FH einloggen wollte, musste ich auch den Authenticator eingeben