135 replies to this topic

[freundlich]

da sehr viele accounts gehackt worden sind dachte ich mir ich gucke mich mal ein bischen auf lotro.com um

ich hab dort eine sicherheitsluecke gefunden, wodurch man zugriff auf die db hat /auch das offizielle forum/

BITTE ALLE SOFORT PASSWORT ÄNDERN

ich hab die luecke bereits an turbine geschickt.

wenn ein admin hier einen beweis braucht um das zu verifizieren kann er mir bitte eine pm schicken.

ICH habe weder eure daten oder sonst was ausgespäht!

ich kann nicht genau sagen auf welche daten man genau zugriff hatte (auf die offiziellen foren daten zu 100%), weil ich nicht die komplette datenbank durchsucht habe und dieses auch nicht in meinem anliegen war.

BITTE VERTEILT ES, ICH HABE BEREITS EIN POSTING IM OFIZIELLEN FORUM GETÄTIGT UND DER FRED WURDE SOFORT IN EINEN NICHT SICHTBAREN BEREICH VERSCHOBEN!

gruss freundlich

edit: die sicherheitsluecke hat mit der migration von codemasters zu turbine zu tun, da wurde wieder schnell schnell eine lösung programmiert und nicht auf sicherheit geachtet

[Hydarnes]

Jaja ... "gruss freundlich"



http://de.wikipedia.org/wiki/Hoax

[Thodorin]

Unabhängig vom Wahrheitsgehalt spricht nichts gegen eine Passwortänderung (abgesehen davon, daß es nichts bringt, wenn jemand Zugriff auf die Accountdatenbank hat). Turbine würde eine noch bestehende Lücke nie zugeben. Daß ein entsprechender Beitrag im Turbine-Forum nicht lange sichtbar bleibt ist nicht ungewöhnlich und verhersehbar. Ich würde solche Gerüchte von 3. auch nicht dulden. Das bringt die Leute nur auf dumme Ideen. Der einzige Weg ist sich mit dem Anbieter direkt in Verbindung zu setzen und ihm das Problem genau zu erläutern.

Leider stimmen die Gerüchte, daß man durch eine Passwortänderung im Accountsystem verschiedene Passwörter für MyLotro und das Spiel hätte aber nicht. Die Funktion zum Ändern des Forenpasswortes im Accountsystem hilft auch nicht. Diese ist ein Relikt des alten Forums und hat keinen Einfluß auf MyLotro inkl. neuem Forum. Beides habe ich selber getestet.

[Cutholen]

Thodorin, on 11 October 2011 - 11:10, said:

Leider stimmen die Gerüchte, daß man durch eine Passwortänderung im Accountsystem verschiedene Passwörter für MyLotro und das Spiel hätte aber nicht. Die Funktion zum Ändern des Forenpasswortes im Accountsystem hilft auch nicht. Diese ist ein Relikt des alten Forums und hat keinen Einfluß auf MyLotro inkl. neuem Forum. Beides habe ich selber getestet.

bei mir hat es funktioniert, spiel login ist das neue pw, mylotro das alte pw.

[Hydarnes]

Ich selber mag es überhaupt nicht, meinen Account mit irgendwelchen Foren zu verlinken, daher habe ich das auch gar nicht mit meinem Hauptaccount gemacht. LOTRO hat bei mir ein eigenes Passwort, welches ich ca. alle 4 Wochen ändere.

Das offizielle Forum nutze ich über einen unwichtigen Zweitaccount, dessen höchster Char Level 15 und null Gold hat und wo es mir völlig egal wäre, wenn der gelöscht würde.

[freundlich]

Hydarnes, on 11 October 2011 - 08:54, said:

Jaja ... "gruss freundlich"



http://de.wikipedia.org/wiki/Hoax

*REMOVED*

reicht das als beweis?
das tool was ich benutzt habe heißt *REMOVED*. das gibts es kostenlos im netz und die luecke kann man innerhalb von 10 min finden.

wenn du meinst, dass ist alles photoshop, dann glaube es!

wenn du dich mit sql auskennste weis du, dass es kein fake ist!

ich sagte man hat zugriff auf mehrere db, also kann es auch sein, dass man zugriff auf die myacccount.turbine.com db hat

edit: bild editiert.

Edited by MueR, 12 October 2011 - 10:21.

[Thodorin]

Cutholen, on 11 October 2011 - 11:36, said:

bei mir hat es funktioniert, spiel login ist das neue pw, mylotro das alte pw.

Ich habe das nochmal probiert und das Ergebnis ist überraschend:
- Premium Account -> nimmt nur neues Passwort
- VIP Account -> nimmt altes und neues Passwort



Fazit: MyLotro ist und bleibt verbuggt.

[Cutholen]

bei mir nimmt my.lotro.com sogar nur das alte pw.

[Saphiorin]

Also ists ähnlich. Ändere ich das Acc PW muss ich mich auch im Forum mit selbigem anmelden

[Coga]

Also lohnt es sich ja nicht das PW zu ändern, da das neue Passwort auch eingesehen werden kann?

[Cutholen]

was er mit dem screen beweisen will frage ich mich ehrlich. Das einzige was es zeigt das du zugriff auf eine mysql datenbank hast die lotrob13_forums heißt...

Top!

[Agra]

Cutholen, on 11 October 2011 - 13:27, said:

was er mit dem screen beweisen will frage ich mich ehrlich. Das einzige was es zeigt das du zugriff auf eine mysql datenbank hast die lotrob13_forums heißt...

Top!

ymmd

seriös wäre, wenn er/sie z.b. Ricks-PW veröffentlichen würde, dann müsste Turbine reagieren.

[Thodorin]

Des Rätsels Lösung für aktuelle Passwortänderungen könnte sein:

Quote

Verdacht bestätigt. Nach der Passwortänderung kann man sich nur noch mit dem neuen Passwort im Spiel anmelden, was ja auch so sein soll. Im Forum gehen aber ersteinmal beide, solange bis man das geänderte Passwort eingibt. Dann geht das alte auch im Forum nicht mehr und man muss sich bei beiden mit dem neuen Passwort anmelden....

http://forums.lotro....654#post5753654

Inzwischen kann ich mich auch beim VIP-Account nur noch mit dem neuen Passwort anmelden.

[Amrundir]

ack.

Hab es nur mit meinem free Account probiert. Tatsächlich kann man im Forum weiterhin mit dem alten Passwort einloggen. Nachdem man einmal das neue benutzt hat, geht nur noch dieses.

[alliciamorthond]

ich habe den link aus dem ofiziellen forum und möchte meine meinung sagen.

das bild zeigt doch deutlich, dass er/sie ueber eine url von lotro.com auf die datenbanken zuggreifen kann.
wer nicht so mit der materie vertraut ist, in einer datenbank werden ALLE user daten gespeichert wie bankleitzahl, user daten, einfach alles.

@Agra: man macht sich strafbar, wenn man die pw andere user ausspäht (auch wenn sie geschwärtzt sind)

@cutholen: was glaubst du ist in der db?


glaubt ihr wirklich der threadersteller postet hier nen dump von der db oder die db struktur?

ich betreibe selber ein vbulletin forum und dieses ist ein erhebliches sicherheitsrisiko.
durch einen letzten exploit koennten angreife genau auf die gleiche art die komplette db aussähen von meinem forum mit allen usern, es ist sogar möglich ueber den admin account direkt auf die server ebene zu gelangen.


außerdem sagte der/die threaderstellerin doch, dass man auf mehrere db zugreifen kann.

also ich nehme das sehr ernst und habe allen meinen sippenkollegen geraten dieses ebenfalls so zu handhaben.

edit: sony wurde auf die gleiche art gehackt ;D

edit2: ich kann nur hoffen, dass es ein fake ist.

[Agra]

alliciamorthond, on 11 October 2011 - 14:13, said:

das bild zeigt doch deutlich, dass er/sie ueber eine url von lotro.com auf die datenbanken zuggreifen kann.

Ja, nachdem der Beitrag editiert wurde und das Bild durch ein anderes Bild ersetzt wurde, kann man eine URL erkennen, das zuerst eingebundene Bild war dieses:
http://apload.de/bil...nannt378T5V.png

Wieviel Photoshop in dem neuen Bild steckt (Stichwort aus 2 mach 1) ist nicht zu erkennen.

Wenn er/sie also eine "Lücke" gefunden hat und Turbine nicht reagiert, bleibt als Option nur noch diese Firma irgendwie in dazu zu überreden. In der Regel funktioniert dieses "Überreden" damit, die Lücke bekannt, nachvollziehbar und überprüfbar zu machen.

[alliciamorthond]

Agra, on 11 October 2011 - 14:33, said:

Ja, nachdem der Beitrag editiert wurde und das Bild durch ein anderes Bild ersetzt wurde, kann man eine URL erkennen, das zuerst eingebundene Bild war dieses:
http://apload.de/bil...nannt378T5V.png

Wieviel Photoshop in dem neuen Bild steckt (Stichwort aus 2 mach 1) ist nicht zu erkennen.

ok, wusste ich nicht.

natuerlich ist es möglich ueber photoshop das bild zu manipulieren, das steht doch außer frage.

aber bitte seit nicht so naiv zu dencken, nur weil turbine groß ist das es nicht möglich ist

stichwörter sind hier.
rewe,conrad,zoll hack.

[Cutholen]

Was würde eine Passwortänderung bringen wenn wirklich die mysql datenbank offen liegt?

[alliciamorthond]

Cutholen, on 11 October 2011 - 14:50, said:

Was würde eine Passwortänderung bringen wenn wirklich die mysql datenbank offen liegt?

du kannst dein password so lang machen dass man es trotzt hash nicht cracken kann, eine andere möglichkeit gibts es nicht solange die luecke noch offen ist.

deswegen habe ich auch allen users meines forum geraten ihre pw dementsprechend zu verändern.
auch die email adressen speicher ich nun verschlüsselt ab.
man weis nie ob es nich doch irgentwo ein 0day gibt.

[Agra]

alliciamorthond, on 11 October 2011 - 14:36, said:

ok, wusste ich nicht.

natuerlich ist es möglich ueber photoshop das bild zu manipulieren, das steht doch außer frage.

aber bitte seit nicht so naiv zu dencken, nur weil turbine groß ist das es nicht möglich ist

stichwörter sind hier.
rewe,conrad,zoll hack.

Ich halte es nicht für unmöglich, zumal Turbine weder "Groß" noch besonders dafür bekannt ist die Interessen der Kunden zu berücksichtigen.

Momentan fehlt einfach noch was Substantielles, siehe Post oben, um hier die Pferde scheu zu machen.