Jump to content
LOTROCommunity
freundlich

!WICHTIG lotro.com Sicherheitslücke!

Recommended Posts

Das ist für alle, deren Passwort länger als 12 Zeichen ist. Damit kann man nämlich nicht (mehr) in die myaccount-Seite einloggen.

In mylotro/Forum ist der Login mit dem langen Passwort dagegen möglich.

Share this post


Link to post
Share on other sites

Das ist für alle, deren Passwort länger als 12 Zeichen ist. Damit kann man nämlich nicht (mehr) in die myaccount-Seite einloggen.

Kann ich nicht bestätigen. PW ist deutlich länger und das Einloggen funktioniert ohne Fehlermeldung.

Share this post


Link to post
Share on other sites

Kann ich nicht bestätigen. PW ist deutlich länger und das Einloggen funktioniert ohne Fehlermeldung.

Ja, mein Passwort ist auch definitiv länger als 12 Zeichen.

Share this post


Link to post
Share on other sites

@Amrundir

???? Häh ?

Ich habe am letzten Wochenende (also nach dem 11.10.) über den launcher auf "Mein Konto" geklickt und kam auf eine https-Seite zum Anmelden beim Account.

Dort habe ich meine altes, aus 16 Zeichen bestehendes, Passwort eingegeben und dann in meinem Account das Passwort geändert. Natürlich hat mein aktuelles Passwort auch 16 Zeichen, Zahlen, groß, kleinbuchstaben, Zahlen, Sonderzeichen usw.

Verstehe ich Dich richtig, dass ich mich mit einem aus 16 Zeichen bestehendem Passwort nicht mehr auf der Accountseite anmelden kann ?

Share this post


Link to post
Share on other sites

Ich bin nur noch am grinsen ...

Wie schafft es Turbine immer wieder noch so kleine Sachen zu verkomplizieren ?

Eigentlich einfachste Aufgaben lassen immer wieder neue Fragen aufkommen...

Was für ein Saftladen _O-

Tannenhirsch

Share this post


Link to post
Share on other sites

Hab vorhin mit einem Sippie gequatscht, der kam nach Passwort ändern nicht mehr in myaccount rein. Mylotro/Forum ging noch.

Dann hat er nochmal über Passwort vergessen ein neues PW gesetzt (12 Zeichen), mit dem kam er rein.

Vielleicht lag es auch an Sonderzeichen, keine Ahnung.

Hab es ehrlich gesagt nicht selbst getestet, da ich mein neues Passwort (noch) nicht auswendig weiß und bisher keine Lust und Zeit hatte, über "Passwort vergessen" einen neues anzufordern.

Share this post


Link to post
Share on other sites

Was etwas seltsam ist... ich habe nur an die Emaildresse, die ich im Forum angegeben habe, eine Email wegen Passwortänderung bekommen... an die Emailadresse von meinem LotRO-Account hingegen nicht....

Share this post


Link to post
Share on other sites

Die offizielle FAQ zur entdeckten Sicherheitslücke:

http://www.lotro.com...sicherheits-faq

Sicherheits-FAQ

Was ist passiert?

Vor Kurzem haben wir eine Sicherheitslücke in unserer HdRO-Forumsdatenbank entdeckt.

Waren meine Zahlungsinformationen oder meine Kreditkartennummer einsehbar?

In der Forumsdatenbank waren keinerlei Zahlungsinformationen enthalten.

Wie ist das passiert?

Durch einen Fehler im Code des Forums waren nicht-autorisierte Zugriffe auf die Datenbank möglich.

Was wurde dagegen unternommen?

Dir Foren wurden abgeschaltet und einen vollständige Untersuchung des Problems durchgeführt. Im Rahmen der Überprüfung wurden Experten hinzugezogen, um alle aufkommenden Fragen zu klären. Wir waren in der Lage den Fehler zu beheben und haben zusätzliche Maßnahmen ergriffen um die Sicherheit unserer Web-Anwendungen zu verstärken.

Warum höre ich erst jetzt davon?

Statt nur zu spekulieren, wollten wir zu einem umfassenden Verständnis der Situation gelangen und unseren Spielern alle Details mitteilen.

Ich habe eine eMail bezüglich HdRO von BlueHornet erhalten, die Links zur MyAccount-Seite enthält und mich auffordert mein Passwort zu ändern. Ist diese Mail seriös?

Wir haben an alle Spieler eMails versendet, die sie über das Sicherheitsproblem informieren und entsprechende Handlungsempfehlungen für ihr Konto aussprechen sollten. Wenn jemals Zweifel bezüglich der Rechtmäßigkeit von eMails oder anderen Korrespondenzen besteht, kontaktieren Sie bitte den Kundendienst.

In der eMail, die ich erhalten habe, wurde ich nicht aufgefordert, mein Passwort zu ändern; mir wurde vielmehr mitgeteilt, dass es bereits geändert wurde. Warum?

Um übervorsichtig zu sein habe wir für eine kleine Anzahl von Spielern das Passwort bereits geändert. Diese Spieler haben eine entsprechende eMail erhalten, die sie über die Änderung informiert sowie darüber, wie sie ihr Konto wiederherstellen können.

Warum wurden zwei eMails versendet?

Die eMails wurden der jeweiligen Account-Situation angepasst. Die wichtigste Mitteilung in beiden Mails war der Aufruf sein Passwort so zu ändern, dass es stark, einzigartig und schwer zu erraten ist.

Wie wähle ich ein starkes Passwort?

Einige Beispiele:

RICHTIG:

Verwenden Sie statt eines Passworts eine Passphrase

E„England gewann 1966 die Weltmeisterschaft!"

Verwenden Sie die Anfangsbuchstaben jedes Wortes eines Satzes den Sie sich merken können und nehmen Sie ein paar Zahlen hinzu

„Eg66dWM"

Notieren Sie sich einen Hinweis, der Ihnen hilft, ihr Passwort zu erinnern, es anderen jedoch nicht ermöglicht, es zu erraten

„Sportliches Großereignis"

FALSCH

Verwenden Sie nicht Ihren Namen, Geburtstag oder andere persönliche Daten:

„Heather2"

Verwenden Sie keine Zahlenfolgen oder Wiederholungen

123456, qqqqqq

Wählen Sie kein vollständiges Wort in welcher Sprache auch immer, da Hacker nach jedem in Wörterbüchern gelisteten Wort suchen

LOTRO1

Ersetzen Sie sie nicht einfach einzelne Buchstaben in vollständigen Wörtern durch andere Zeichen. Hacker kennen diesen Trick

„Passw0rt"

Verwenden Sie nie dasselbe Passwort für alle Ihre Konten.

RICHTIG:

Verwenden Sie statt eines Passworts eine Passphrase

E„England gewann 1966 die Weltmeisterschaft!"

Verwenden Sie die Anfangsbuchstaben jedes Wortes eines Satzes den Sie sich merken können und nehmen Sie ein paar Zahlen hinzu

„Eg66dWM"

Notieren Sie sich einen Hinweis, der Ihnen hilft, ihr Passwort zu erinnern, es anderen jedoch nicht ermöglicht, es zu erraten

„Sportliches Großereignis"

FALSCH

Verwenden Sie nicht Ihren Namen, Geburtstag oder andere persönliche Daten:

„Heather2"

Verwenden Sie keine Zahlenfolgen oder Wiederholungen

123456, qqqqqq

Wählen Sie kein vollständiges Wort in welcher Sprache auch immer, da Hacker nach jedem in Wörterbüchern gelisteten Wort suchen

LOTRO1

Ersetzen Sie sie nicht einfach einzelne Buchstaben in vollständigen Wörtern durch andere Zeichen. Hacker kennen diesen Trick

„Passw0rt"

Verwenden Sie nie dasselbe Passwort für alle Ihre Konten.

Share this post


Link to post
Share on other sites

Es wäre toll, wenn 'freundlich' sich nochmal melden würde, um die Aussage Turbines zu den Zahlungsinformationen / Kreditkartendaten zu bestätigen.

Der Satz in der FAQ sagt mal gar nichts aus. Unbekannt bleibt immer noch ob nur die Foren-Datenbank einsehbar war oder noch mehr.

Share this post


Link to post
Share on other sites

Ich weiß nicht ob das hilft diesbezüglich, aber selbst wenn ich Dir mein Passwort geben würde und Du Dich in myaccount.turbine bei mir einloggen würdest, könntest Du nur die letzten 4 Stellen meiner KK sehen...

Share this post


Link to post
Share on other sites

Wenn sie die Kartendaten für wiederkehrende Zahlungen brauchen, müssen sie sie ja irgendwo speichern.

Ob das dann im Accountsystem oder Forum ist oder eine komplett getrennte Datenbank in der Buchhaltung, wissen wir nicht.

Share this post


Link to post
Share on other sites

Hallöchen,

mein Account ist letzte am Freitag auch gehackt worden, obwohl ich bereits am 11 oder 12 mein Passwort vorsorglich geändert hatte, alle Charakter ist der Hacker durchgegangen und hat scheinbar alles verkauft was nicht Niet und Nagel fest war, selbst im Eigenen und im Sippenhaus war er und hat alles eingepackt was dar war.

Anschließend hat die ***** auch noch alle Charakter gelöscht!

Während dies passierte war ich die ganze zeit mit meinen Sippenkollegen per TeamSpeak verbunden und die konnten alles live mitverfolgen. Wir haben mehrere Ingame Tickets sowie auch Tickets über die myaccount-Seite versendet, ich habe auch öfters versucht beim Support an zu rufen was aber nicht viel gebracht hat.

Mittlerweile war mein Spiel Account bis zum Dienstag gebannt und am Dienstag Abend habe ich dann von Turbine eine Mail bekommen das der Account wieder Frei sei, beim Relogg mit neuem Passwort habe ich dann feststellen müssen das meine Charaktere gelöscht worden sind.

Wieder habe ich diesmal aber gleich Telefonischen Kontakt zu Turbine aufgenommen und hoffe nun darauf das meine Charaktere inkl. aller Spiel intems wiederhergestellt werden.

Die Kommunikation per Email oder der myaccount-Seite läuft gar nicht bzw. eher schleppend besser ist der Telefonische Kontakt den ich wirklich empfehlen kann bei Problemen.

!! Was ich jedoch eine Schande finde ist das wir Spieler nicht wirklich über diese Sicherheits Lücke Informiert worden sind, ich bekomme jede Woche ein Mail was ich alles Kaufen könnte, aber das es Probleme mit der Sicherheit gibt wird mir verschwiegen, mein kosten und zeit Aufwand der mir und meinen Sippenkollegen dadurch entstanden ist wird mir anscheinend Achselzuckend von Turbine zugemutet !!

Share this post


Link to post
Share on other sites

.. mein Account ist letzte am Freitag auch gehackt worden, obwohl ich bereits am 11 oder 12 mein Passwort vorsorglich geändert hatte, ..

..Was ich jedoch eine Schande finde ist das wir Spieler nicht wirklich über diese Sicherheits Lücke Informiert worden sind, ..

Soviel ich weiß, wurden (sehr spät)E-Mails versendet, in welcher stand, das es ratsam sei, sein PW zu ändern.

Ansonsten geb´ich Dir teilweise recht, daß die Informationspolitik unterirdisch ist. Man kann vom Spieler nicht verlangen, sich im off. Forum, auf facebook und auf twitter zu informieren. Solche WICHTIGEN Meldungen haben im Launcher zu stehen, fertig.

Tannenhirsch

Share this post


Link to post
Share on other sites

Solche WICHTIGEN Meldungen haben im Launcher zu stehen, fertig.

Tannenhirsch

Komm schon, da stand was so wegen Forumproblem oder so, bestimmt mindestens 2 Tage lang ganz oben. Man kann schon von allen Spielern verlangen, dass sie jeden Tag wenigstens einmal den Launcher anschmeißen und sich für Forumprobleme oder so interessieren. Ist ja nicht so, dass HdRO Gelegenheitsspieler anspricht. Jetzt muss halt wieder für Shopartikel geworben werden, damit ganz viel Geld reinkommt um die Sicherheitsstandards noch minimal zu optimieren.

1. Profit

2. mehr Profit

3. Sicherheit

4. noch viel mehr Profit

87. Namensregeln (Ich grüße Heinvondmrhein oder so.)

Share this post


Link to post
Share on other sites

Hallöchen,

Soviel ich weiß, wurden (sehr spät)E-Mails versendet, in welcher stand, das es ratsam sei, sein PW zu ändern.

also mir wurde keine email zugesandt das es mit dem Foren PW und dem Spiele Account PW Probleme gibt, ich verstehe es sowieso nicht, seit dem das Forum off war konnte ich mich mit meinem alten Benutzernamen und dem Passwort hier nicht mehr ein loggen.

Drum habe ich jetzt mir einen neuen Benutzernamen und ein anderes vom Spiel unabhängiges Passwort zugelegt!

Ich hoffe nur das mein Account wieder frei und meine Charaktere mit allen Spiele intems wiederhergestellt werden.

Ich meine es wäre schon ganz nett von Turbine wenn man hin und wieder mal was hören würde wie es nun weiter geht, außer es dauert drei Tage.

Share this post


Link to post
Share on other sites

Die Email ueber die Passwoerter wurde in einer Art und Weise versandt die ziemlich garantierte dass sie in allen erdenklichen Spamfiltern haengenblieb. Massenemail mit voellig Wirren headern von einem Mass-mailer service. Fast so schlimm wie Canon's emails :)

Ich hab zwei Wochen gebraucht um die Mail zu finden.

Share this post


Link to post
Share on other sites

Habe gerade Post bekommen

Gruß xxx,

Grüße,

Wir haben wieder die gelöschten Charakter, dass wir bestätigt haben, als Ergebnis eines Kompromisses wurden gelöscht. Wenn wir alle verpasst haben, senden Sie bitte ein neues Ticket und wir werden untersuchen. Bitte loggen Sie sich in jeden Charakter und legt eine neue In-Game-Ticket für jedes Zeichen, dass Gegenstände oder Währung verloren, und wir werden entsprechende Kostenerstattung zu untersuchen.

Turbine, powered by our fans.

Mit was für einem Programm haben die das bloß übersetzen lassen (8> selbst Google wäre besser, na jetzt bin ich nach einer solchen Mail aber mal gespannt

Share this post


Link to post
Share on other sites

Kumpel wurde auch gehackt, aber haben ihm zum Glück nur das Gold abgezockt. Passwort nicht geändert. E-Mail nicht geändert. Keine Chars gelöscht.

Er hatte sein pw seit dem 11.10. nicht geändert. Hat es jetzt nachgeholt. Alles wieder gut? Nein, nicht unbedingt!

Warum poste ich das? Falls ihr in einer ähnlichen Lage seid und für euren Mail-Account das gleiche PW hattet wie für Lotro, dann müsst ihr dieses auch unbedingt mit ändern.

Sonst nutzen die Hacker noch die "PW-Vergessen-Funktion" und loggen sich in euren Mail-Account ein und sind somit wieder in eurem Lotro-Account. (Neben anderen sensiblen Daten, die evtl. in eurem Mail-Account rumschwirren.)

Auch wenn man eh nicht das gleiche PW mehrfach verwenden sollte, so zeigt zumindest meine Erfahrung, dass dies trotzdem weit mehr als jeder Zweite so macht und maximal eine Hand voll PWs hat, die er an versch. Stellen mehrfach nutzt.

Share this post


Link to post
Share on other sites

d.h. DU musst auflisten' date=' was fehlt ? ...wird ja immer besser :D ... -.-[/quote']

das wird schwierig, weiß irgendwer noch was er letzte Woche in den Beuteln und auf der Bank hatte?

Muss ich mir jetzt täglich einen screenshot machen, damit ich weiß was mir nach dem wieder einloggen so alles fehlt!

Ich hoffe die finden den ***** und er bekommt eine deftige anzeige!

Share this post


Link to post
Share on other sites

das wird schwierig, weiß irgendwer noch was er letzte Woche in den Beuteln und auf der Bank hatte?

Muss ich mir jetzt täglich einen screenshot machen, damit ich weiß was mir nach dem wieder einloggen so alles fehlt!

Warum soll man Turbine sagen, was man auf der Bank / im INV hatte ? 1 Blick in die Datenbank und sie wissen´s doch eh´... zumal die Angaben des Spielers überprüft werden. ...was für ein *Support* ...

Tannenhirsch

Share this post


Link to post
Share on other sites

Warum soll man Turbine sagen, was man auf der Bank / im INV hatte ? 1 Blick in die Datenbank und sie wissen´s doch eh´... zumal die Angaben des Spielers überprüft werden. ...was für ein *Support* ...

Tannenhirsch

Die Datenbank hat aber nur den Status nachdem die Sachen verkauft wurden.

Share this post


Link to post
Share on other sites

Die Datenbank hat aber nur den Status nachdem die Sachen verkauft wurden.

Es werden auch ältere Datensätze aufgehoben, sonst wäre eine Rückerstattung von Gegenständen 7 Tage nach Zerstörung nicht möglich.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×