Jump to content
LOTROCommunity

!WICHTIG lotro.com Sicherheitslücke!


freundlich
 Share

Recommended Posts

da sehr viele accounts gehackt worden sind dachte ich mir ich gucke mich mal ein bischen auf lotro.com um

ich hab dort eine sicherheitsluecke gefunden, wodurch man zugriff auf die db hat /auch das offizielle forum/

BITTE ALLE SOFORT PASSWORT ÄNDERN

ich hab die luecke bereits an turbine geschickt.

wenn ein admin hier einen beweis braucht um das zu verifizieren kann er mir bitte eine pm schicken.

ICH habe weder eure daten oder sonst was ausgespäht!

ich kann nicht genau sagen auf welche daten man genau zugriff hatte (auf die offiziellen foren daten zu 100%), weil ich nicht die komplette datenbank durchsucht habe und dieses auch nicht in meinem anliegen war.

BITTE VERTEILT ES, ICH HABE BEREITS EIN POSTING IM OFIZIELLEN FORUM GETÄTIGT UND DER FRED WURDE SOFORT IN EINEN NICHT SICHTBAREN BEREICH VERSCHOBEN!

gruss freundlich

edit: die sicherheitsluecke hat mit der migration von codemasters zu turbine zu tun, da wurde wieder schnell schnell eine lösung programmiert und nicht auf sicherheit geachtet ;(

Link to comment
Share on other sites

Unabhängig vom Wahrheitsgehalt spricht nichts gegen eine Passwortänderung (abgesehen davon, daß es nichts bringt, wenn jemand Zugriff auf die Accountdatenbank hat). Turbine würde eine noch bestehende Lücke nie zugeben. Daß ein entsprechender Beitrag im Turbine-Forum nicht lange sichtbar bleibt ist nicht ungewöhnlich und verhersehbar. Ich würde solche Gerüchte von 3. auch nicht dulden. Das bringt die Leute nur auf dumme Ideen. Der einzige Weg ist sich mit dem Anbieter direkt in Verbindung zu setzen und ihm das Problem genau zu erläutern.

Leider stimmen die Gerüchte, daß man durch eine Passwortänderung im Accountsystem verschiedene Passwörter für MyLotro und das Spiel hätte aber nicht. Die Funktion zum Ändern des Forenpasswortes im Accountsystem hilft auch nicht. Diese ist ein Relikt des alten Forums und hat keinen Einfluß auf MyLotro inkl. neuem Forum. Beides habe ich selber getestet.

Link to comment
Share on other sites

Leider stimmen die Gerüchte, daß man durch eine Passwortänderung im Accountsystem verschiedene Passwörter für MyLotro und das Spiel hätte aber nicht. Die Funktion zum Ändern des Forenpasswortes im Accountsystem hilft auch nicht. Diese ist ein Relikt des alten Forums und hat keinen Einfluß auf MyLotro inkl. neuem Forum. Beides habe ich selber getestet.

bei mir hat es funktioniert, spiel login ist das neue pw, mylotro das alte pw.

Link to comment
Share on other sites

Ich selber mag es überhaupt nicht, meinen Account mit irgendwelchen Foren zu verlinken, daher habe ich das auch gar nicht mit meinem Hauptaccount gemacht. LOTRO hat bei mir ein eigenes Passwort, welches ich ca. alle 4 Wochen ändere.

Das offizielle Forum nutze ich über einen unwichtigen Zweitaccount, dessen höchster Char Level 15 und null Gold hat und wo es mir völlig egal wäre, wenn der gelöscht würde.

:)

Link to comment
Share on other sites

Jaja ... "gruss freundlich"

:)

http://de.wikipedia.org/wiki/Hoax

*REMOVED*

reicht das als beweis?

das tool was ich benutzt habe heißt *REMOVED*. das gibts es kostenlos im netz und die luecke kann man innerhalb von 10 min finden.

wenn du meinst, dass ist alles photoshop, dann glaube es!

wenn du dich mit sql auskennste weis du, dass es kein fake ist!

ich sagte man hat zugriff auf mehrere db, also kann es auch sein, dass man zugriff auf die myacccount.turbine.com db hat

edit: bild editiert.

Edited by MueR
Link to comment
Share on other sites

was er mit dem screen beweisen will frage ich mich ehrlich. Das einzige was es zeigt das du zugriff auf eine mysql datenbank hast die lotrob13_forums heißt...

Top!

ymmd *O*

seriös wäre, wenn er/sie z.b. Ricks-PW veröffentlichen würde, dann müsste Turbine reagieren.

Link to comment
Share on other sites

Des Rätsels Lösung für aktuelle Passwortänderungen könnte sein:

Verdacht bestätigt. Nach der Passwortänderung kann man sich nur noch mit dem neuen Passwort im Spiel anmelden' date=' was ja auch so sein soll. Im Forum gehen aber ersteinmal beide, solange bis man das geänderte Passwort eingibt. Dann geht das alte auch im Forum nicht mehr und man muss sich bei beiden mit dem neuen Passwort anmelden....[/quote']

http://forums.lotro.com/showthread.php?420309-Account-gehackt&p=5753654#post5753654

Inzwischen kann ich mich auch beim VIP-Account nur noch mit dem neuen Passwort anmelden.

Link to comment
Share on other sites

ich habe den link aus dem ofiziellen forum und möchte meine meinung sagen.

das bild zeigt doch deutlich, dass er/sie ueber eine url von lotro.com auf die datenbanken zuggreifen kann.

wer nicht so mit der materie vertraut ist, in einer datenbank werden ALLE user daten gespeichert wie bankleitzahl, user daten, einfach alles.

@Agra: man macht sich strafbar, wenn man die pw andere user ausspäht (auch wenn sie geschwärtzt sind)

@cutholen: was glaubst du ist in der db?

glaubt ihr wirklich der threadersteller postet hier nen dump von der db oder die db struktur?

ich betreibe selber ein vbulletin forum und dieses ist ein erhebliches sicherheitsrisiko.

durch einen letzten exploit koennten angreife genau auf die gleiche art die komplette db aussähen von meinem forum mit allen usern, es ist sogar möglich ueber den admin account direkt auf die server ebene zu gelangen.

außerdem sagte der/die threaderstellerin doch, dass man auf mehrere db zugreifen kann.

also ich nehme das sehr ernst und habe allen meinen sippenkollegen geraten dieses ebenfalls so zu handhaben.

edit: sony wurde auf die gleiche art gehackt ;D

edit2: ich kann nur hoffen, dass es ein fake ist.

Link to comment
Share on other sites

das bild zeigt doch deutlich, dass er/sie ueber eine url von lotro.com auf die datenbanken zuggreifen kann.

Ja, nachdem der Beitrag editiert wurde und das Bild durch ein anderes Bild ersetzt wurde, kann man eine URL erkennen, das zuerst eingebundene Bild war dieses:

http://apload.de/bil...nannt378T5V.png

Wieviel Photoshop in dem neuen Bild steckt (Stichwort aus 2 mach 1) ist nicht zu erkennen.

Wenn er/sie also eine "Lücke" gefunden hat und Turbine nicht reagiert, bleibt als Option nur noch diese Firma irgendwie in dazu zu überreden. In der Regel funktioniert dieses "Überreden" damit, die Lücke bekannt, nachvollziehbar und überprüfbar zu machen.

Link to comment
Share on other sites

Ja, nachdem der Beitrag editiert wurde und das Bild durch ein anderes Bild ersetzt wurde, kann man eine URL erkennen, das zuerst eingebundene Bild war dieses:

http://apload.de/bil...nannt378T5V.png

Wieviel Photoshop in dem neuen Bild steckt (Stichwort aus 2 mach 1) ist nicht zu erkennen.

ok, wusste ich nicht.

natuerlich ist es möglich ueber photoshop das bild zu manipulieren, das steht doch außer frage.

aber bitte seit nicht so naiv zu dencken, nur weil turbine groß ist das es nicht möglich ist

stichwörter sind hier.

rewe,conrad,zoll hack.

Link to comment
Share on other sites

Was würde eine Passwortänderung bringen wenn wirklich die mysql datenbank offen liegt?

du kannst dein password so lang machen dass man es trotzt hash nicht cracken kann, eine andere möglichkeit gibts es nicht solange die luecke noch offen ist.

deswegen habe ich auch allen users meines forum geraten ihre pw dementsprechend zu verändern.

auch die email adressen speicher ich nun verschlüsselt ab.

man weis nie ob es nich doch irgentwo ein 0day gibt.

Link to comment
Share on other sites

ok, wusste ich nicht.

natuerlich ist es möglich ueber photoshop das bild zu manipulieren, das steht doch außer frage.

aber bitte seit nicht so naiv zu dencken, nur weil turbine groß ist das es nicht möglich ist

stichwörter sind hier.

rewe,conrad,zoll hack.

Ich halte es nicht für unmöglich, zumal Turbine weder "Groß" noch besonders dafür bekannt ist die Interessen der Kunden zu berücksichtigen.

Momentan fehlt einfach noch was Substantielles, siehe Post oben, um hier die Pferde scheu zu machen.

Link to comment
Share on other sites

Ja, nachdem der Beitrag editiert wurde und das Bild durch ein anderes Bild ersetzt wurde, kann man eine URL erkennen,

Was immer noch nichts zu sagen hat.

Was würde eine Passwortänderung bringen wenn wirklich die mysql datenbank offen liegt?

Je nachdem, wie das Passwort in der DB abgespeichert ist. Bei Klartext würde es gar nichts bringen. Wenn es verschlüsselt ist, hängt es vom Hash-Verfahren (MD5, SHA, usw.) ab und ob Salts verwendet werden.

Je nach Verfahren und Güte des Passworts dauert es eine Weile, bis die Hashes geknackt sind. Wenn du nun dein Passwort eher änderst, als das alte geknackt ist, kommt der Angreifer trotz Zugriff auf die DB nicht in deinen Account.

Link to comment
Share on other sites

ab welche Länger ist es den nicht mehr crackbar... mehr als 16 zeichen erlaubt turbine nämlich leider nicht.

ich hab bei mir sonderzeichen, groß schreibweise. mehr kann ich selber auch nicht machen.

@Amrundir

natuerlich kann man bilder manipulieren, das steht doch außer frage.

haste schön die hosts verändert? ;D

ich seh das mal so wie mit den 11/9 kritikern, einige glaube es war die us regierung, einige glaube was anderes ^^

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share

×
×
  • Create New...