135 replies to this topic

[Hithucasarim]

Tannenhirsch, on 12 October 2011 - 10:46, said:

Und noch 1 Frage : Können Spieler betroffen sein, welche sich noch nie im off.Forum angemeldet haben ?


Tannenhirsch

Da Turbine für dich nach/während dem Transfer automatisch einen Foren-Account erstellt hat, dürfte das in der Datenbank hinterlegt sein, egal ob du dich schonmal eingeloggt hast oder nicht. Also können auch Spieler, welche nicht im offiziellen Forum unterwegs sind betroffen sein, denn der Account dürfte da sein.

Zudem wissen wir nicht auf welche Datenbanken man Zugriff hatte. Nur auf die fürs Forum oder auch auf die vom Accountmanagement.

Quote

Was mich mal interessieren würde: wann wurde denn Turbine über das Problem von "freundlich" informiert? Haben die länger als 2-3 Tage gebraucht um auf diese Informationen zu reagieren?

Ich nehme an es war gestern. Ob Turbine nun aufgrund einer Meldung von "freundlich" aktiv geworden ist oder weil Valandir Sapience informiert hat oder wegen beiden dürfte dabei egal sein.

Ich war übrigens mal so frei und habe meinen letzten Post hier selber editiert. Da wurde anscheinend vergessen meine Zitate zu bearbeiten.  


MfG hithu

[Agra]

Da nicht nur das Lotro-Forum, sondern alle Foren von Turbine (DDO und Asherons Call) momentan im Wartungsmodus sind, darf weiter spekuliert werden, wie weitreichend der Zugriff möglich war.

[Saphiorin]

Schlimm finde ich in erster Linie, dass Turbine sich nicht zu einer offiziellen Stellungnahme oder Warnung genötigt sieht. Auch wenn das vermutlich nicht mehr helfen würde hacks zu unterbinden.

Das größte Ärgernis ist allerdings, dass nur das Forum und die damit zusammenhängende HP offline genommen wurde und nicht gleich auch die betroffenen Server. Denn die Daten wurden nunmal offenbar ausgelesen und nur ein kleiner Teil der Spieler war sich gestern darüber im Klaren und selbst die User, die online waren, machen nur einen kleinen Teil der gesamt User aus.

Folge für gestern:
Nachdem das Forum vom Netz genommen wurde, sind (auf Morthond) massiv Angriffe auf Accounts erfolgt, die anders als zuvor, nicht eine "gemütliche Plünderung" als Hintergrund hatten, sondern schlicht die Löschung von unzähligen Charakteren nach dem Muster: Einloggen, Ausloggen, Sippe Verlassen.

Ich denke das wahre Ausmaß dieser letzten Attacke wird sich erst in den nächsten Tagen zeigen, wenn auch casual Spieler mal wieder einloggen wollen, Spieler, die nicht Angehörige großer Sippen sind, wo soetwas um 23.00 noch wahr genommen wird, Spieler, die ihre eigene Sippe haben oder die nicht so in eine Sippe eingebunden sind, dass der massive Austritt zum einen Auffällt und zum anderen mit dem Hack in Verbindung gebracht wird.

Ich hoffe, damit falsch zu liegen, aber denjenigen, die gestern noch betroffen waren, wäre mit dem Runterfahren der Server sicher mehr geholfen worden.

P.S.
Was macht das Forum hier grad mit den schönen Absätzen im Geschriebenen?
Gelöst. Danke NoScript.....

[Thurindilphor]

Saphiorin, on 12 October 2011 - 12:10, said:

Nachdem das Forum vom Netz genommen wurde, sind (auf Morthond) massiv Angriffe auf Accounts erfolgt, die anders als zuvor, nicht eine gemütliche Plünderung als Hintergrund hatten, sondern schlicht die Löschung von unzähligen Charakteren nach dem Muster: Einloggen, Ausloggen, Sippe Verlassen.

Woher hast du das?

[Agra]

Saphiorin, on 12 October 2011 - 12:10, said:

Nachdem das Forum vom Netz genommen wurde, sind (auf Morthond) massiv Angriffe auf Accounts erfolgt, die anders als zuvor, nicht eine "gemütliche Plünderung" als Hintergrund hatten, sondern schlicht die Löschung von unzähligen Charakteren nach dem Muster: Einloggen, Ausloggen, Sippe Verlassen.

Genau dieses destruktive Verhalten führt i.d.R. dazu, daß der Betreiber hellhörig werden sollte. Ein paar geklaute Gold fallen einem Gelegenheitsspieler teilweise noch nichtmal auf. Wenn sich aber die Beschwerden über gelöschte Chars untypischerweise häufen, dann muss Turbine irgendwann auffallen, daß dort irgendwas nicht stimmt. Rein subjektiv sind in den letzten Tagen immer mehr solcher Fälle in Foren, bei Twitter usw. zu lesen gewesen, für eine statistische Auswertung fehlen uns als Spielern aber die Analysewerkzeuge.

Ich behaupte einfach mal, der professioneller Goldseller würde sich an mehr oder weniger kleinen Goldbeträgen vergreifen und somit ein paar Dollar Umsatz generieren. Das typische Script-Kiddie weiss mit den Daten nichts besseres anzufangen als sich kurzfristig am Ärger der Anderen zu befriedigen.

[Leuchtenberg]

Thurindilphor, on 12 October 2011 - 12:31, said:

Woher hast du das?

Wir hatten die Angriffe live miterlebt. Ein betroffener Spieler war zeitgleich im TS und konnte es so aus der zweiten Reihe miterleben.

Weitere Angriffe wurden via MorthondSNG gemeldet.


Grüße
Leuchte

[freundlich]

zusammenfassung von mir:

turbine wurde von mir sonntag nacht per ticket informiert.
am montag keine reaktion, also schrieb ich einen thread ins turbine forum der gelöscht wurde. keine reaktion.
daraufhin schrieb ich eine email an webmaster@turbine.com

bis gestern keine reaktion.
ich hatte sogar die genau url turbine mitgeteilt.
da immer mehr leute gehackt worden sind, die ich zum teil kenne, hab ich ich hier die warnung rausgegeben.

dann habe ich hier 3 namen mit email und passwordhashs (ohne salt) zum beweis veröffentlich.
(war vllt auch nicht richtig von mir )
dann hat wohl valandir per twitter sapience was gesagt und sofort draufhin wurde das forum ueberprüft und ist seitdem geschlossen *facepalm*

die luecke bestand seit der migration von codemaster zu turbine (dadurch ist es erst möglich gewesen)
jeder und wirklich jeder konnte auf die daten zugreifen.
auf welche datebanken man genau zugriff hatte weis ich nicht, da ich nicht alles analysiert habe.

fakt ist. man hatte zugriff auf ueber 1 millioenen daten die das forum betreffen. laut columns waren dort adressen, payment, email, passwörter etc gespeichert.

edit: ich habe weder daren noch sonst was ausgespäht!

[Rosiebelle]

Edit: Wrong thread!

[KIKA]

Da du schreibst "man hatte"...geht es nun nicht mehr?

[Rarehero]

Natürlich hat Turbine den Thread im Forum gelöscht und nicht auf das Ticket reagiert. Wenn es so einfach wäre, Turbine in Alarmzustand zu versetzen, dann befände sich Turbine ständig im Alarmzustand, weil ständig entsprechende Warnungen und Hinweise über die Foren oder das Ticketsystem eingehen - in 99% aller Fälle sind diese aber vollkommen gegenstandslos. Der Webmaster ist auch der falsche Adressat, denn der hat mit den Game- und Accountservern nichts zu tun. Du hättest dich gleich an Sapience wenden können, hättest dich aber unangenehmen Fragen aussetzen können. Schließlich hast du dich an Valandir gewendet bzw. Valadnir ist darauf aufmerksam geworden, und er besitzt vor Sapience&Co. sicherlich über genug Reputation, um ernst genommen zu werden. Oder eine deiner Meldungen wurden doch von irgendwem weiter gereicht.

Wie dem auch sei, danke, dass du dich für die Sicherheit der Server eingesetzt hast. Jetzt musst du nur noch an deiner Kommunikation arbeiten

[Saphiorin]

KIKA, on 12 October 2011 - 13:39, said:

Da du schreibst "man hatte"...geht es nun nicht mehr?

Ein wichtiger Punkt. Dann würde es auch wieder Sinn machen, sich ein schönes neues PW auszudenken.

Was mich ebenfalls schon seit gestern umtreibt: Warum wurde dieses Thema nicht auch in anderen Sprachbereichen des Turbineforums aufgegriffen? Habe gestern mal explizit im großen amerikanischen Teil gesucht, aber da war nicht ein Wort zu finden.
Bei einer Million freizugänglichen Datenpaketen kann ich mir irgendwie kaum vorstellen, dass es ein rein deutsches Problem war bzw die Auswirkungen in Form von Accountangriffen nur hier zu spühren waren.

[Silirien]

My main worry at the moment is:
Does Turbine store Credit Card data themselves (in WB Privacy Policy they say they "might" http://www.turbine.com/support/133 and I couldn't find any external Credit Card payment provider listed anywhere) and if so, were the details available as well.

I am sorry this is not in German, but best I would be able to offer you would be Google Translate German.

[Agra]

Saphiorin, on 12 October 2011 - 13:47, said:

Was mich ebenfalls schon seit gestern umtreibt: Warum wurde dieses Thema nicht auch in anderen Sprachbereichen des Turbineforums aufgegriffen?

weil turbine (wie jede andere Firma auch) darum bemüht ist, sich möglichst positiv in der Öffentlichkeit darzustellen. Wäre schön blöd wenn sie im Forum schreiben würden: "Seht her, unsere Datenbank steht jedem offen der ein wenig technisches Vetrständnis mitbringt".

[Saphiorin]

Agra, on 12 October 2011 - 13:56, said:

weil turbine (wie jede andere Firma auch) darum bemüht ist, sich möglichst positiv in der Öffentlichkeit darzustellen. Wäre schön blöd wenn sie im Forum schreiben würden: "Seht her, unsere Datenbank steht jedem offen der ein wenig technisches Vetrständnis mitbringt".

Hintergrund war eigentlich der, dass im deutschen Teil der thread sehr lange vorhanden war und auch in den letzten Tagen gewachsen ist. Allein gestern um ca 4 Seiten.
Da ging es auch erst um Ratschläge für einzelne Betroffene über merkwürdige Häufungen bis hin eben zu gestern. Dieser Thread war, wenn ich nicht ganz daneben liege, bis zur downtime des Forums offen.

Deshalb habe ich eben auch in den anderen Teilen gesucht, bin aber nicht fündig geworden.

[Thodorin]

Das der solange da war liegt wahrscheinlich daran, daß der dt. Forenteil zu 95% von Turbine nicht verstanden und ignoriert wird. Die 2 dt. Mods scheinen mehr oder weniger nur auf die Meldefunktion und PMs zu reagieren und mehr als auf Forenregeln zu verweisen bleibt ihnen nicht. Was bei Turbine im Büro abläuft wissen die wahrscheinlich gar nicht.

PS: hast du in den allgemeinen Teilen gesucht oder im speziellen Accounthilfe-Unterforum? Da kamen manch mal auch Einträge zu Accounthacks.

[Rarehero]

Also wenn dies hier die Email gewesen ist, die unser freundlicher Retter an Turbine geschickt hat, dann wundert es mich nicht, dass er von Turbine nicht ernst genommen wurde. Wahrscheinlich oder viel mehr glücklicherweise haben die Mitarbeiter bei Turbine nicht verstanden, was er da von sich gegeben. Wenn ich eine solche Mail kriegen würde, würde ich sie auch in die Tonne kloppen - oder mal jemanden bei den Eltern vorbei schicken.

Was machen wir nur aus unseren Kindern? Sie können Server hacken, aber einen Sachverhalt vernünftig und anständig darstellen, dass kriegen sie nicht auf die Reihe.

[Agra]

Rarehero, on 12 October 2011 - 16:39, said:

Also wenn dies hier die Email gewesen ist, die unser freundlicher Retter an Turbine geschickt hat, dann wundert es mich nicht, dass er von Turbine nicht ernst genommen wurde.

Nö, das war zu dem Zeitpunkt, als ihm hier im Forum keiner glaubte (inkl. mir). Schau dir nochmal den Startpost an, vielleicht kannst du das dann ansatzweise nachvollziehen.

[Rarehero]

Ach so, das war nicht die Email? Okay, Entschuldigung, dass ich das falsch interpretiert habe. Für mich klangen die Textfetzen so, als seien sie an jemanden bei Turbine addressiert gewesen. Dennoch, so drückt man sich nicht aus.

[Leuchtenberg]

EDIT: Done

[Beorngard]

Wieso sagen eigentlich alle das Turbine das ignoriert hat?

Nach den Angaben wurden Turbine Sonntagnacht Informiert.
Ich glaube am Dienstag hat er hier diesen Thread gepostet um die User zu warnen.

Es ist doch durchaus normal dass ein Ticket mehr als 1 Tag braucht, es wurde auch nicht gesagt ob das ticket über die Webseite oder ingame erstell worden ist.
Wenn es über die Webseite erstellt worden ist, kann der Ticket Bearbeiter natürlich damit nix anfangen. Es wandert also die Befehlskette nach oben bis jemand gefunden ist der sich in dem Bereich auskennt. Derjenige muss dann erstmal mit dem Zuständigen (wohl in den USA) kontakt aufnehmen.
Vllt ist der Verantwortliche auch gerade im Urlaub (vllt nur nen Azubi da) oder was weis ich, da gibts es bestimmt die skurrilsten Geschichten. Das kann halt mal seine Stunden dauern.

Auch die Email an den Webmaster wird nicht instant bearbeitet.
Zumal die Email Adresse mit Spam nur so überflutet zu seien scheint. (Wer einmal eine email auf einer öffentlichen webseite hatte weis wofon ich rede)

Auch kann sein Thread durch einen unachtsamen (unerfahrenden) Mod gelöscht worden sein, da es in der letzten Zeit schon einige Threads bezüglich der Sicherheit im Forum gab die einfach verschwunden sind.

Und dank Valandir wurde ja in aller Panik sofort das Forum erstmal dicht gemacht, vllt wäre das auch passiert nach ein paar Tagen wenn sie das Ticket bearbeitet hätten, aber dann würde die gesamte Community ahnungslos sein, so wie wir jetzt Ahnungslos sind was fuer Daten betroffen sind.

Also ich finde nicht, dass Turbine da gepennt hat.