Jump to content
LOTROCommunity

!WICHTIG lotro.com Sicherheitslücke!


freundlich
 Share

Recommended Posts

Nochmal zur Frage:

Solange jemand unbefugt Zugriff auf die DB hat, eher nicht, du gewinnst nur etwas Zeit.

Da wie oben beschrieben wurde, Zeitweise altes und neues PW fürs Login benutzt werden können, besteht sogar der Verdacht, dass dein Konto in dieser Übergangszeit besonders verwundbar ist.

Es macht im Übrigen nich gerade den seriösesten Anschein, dass die beiden User die hier im Thread die Pferde scheu machen, sich EXTRA dafür registriert haben ;)

Um so einen Thread zu erstellen, hätte ich mich vermutlich auch neu registriert, aber so ein Helferaccount fällt natürlich schon auf.

Link to comment
Share on other sites

Welche aktuelle Lage denn?

Es macht im Übrigen nich gerade den seriösesten Anschein, dass die beiden User die hier im Thread die Pferde scheu machen, sich EXTRA dafür registriert haben ;)

ich mach keine pferd scheu, ich weis nur wie man angep**st ist wenn einem das selber passiert ist.

ich bin im ofiziellen forum auch wenn dich das interessiert. und da dort dieser thread hier gepostet wurde hab ich meinen senf dazugegeben, da mir das selber bei meinem forum auch passiert ist.

erst vorgestern sind aus meiner sippe gleich 4 leute gehackt worden, natuerlich sagt jeder er haben die daten nicht weitergegeben.

wenn man nicht selber betroffen ist sagt man leicht die kunden sind schuld.

wir helfen sippenintern den leuten jetzt zumindest wieder ein paar fassungen wieder zu farmen,denn diese wurden noch nicht zurueckerstattet. einige der user waren auch keine vip, so dass sie bis jetzt noch keinen gm ansprechen konnten um die sachen zurueckerstattet zu bekommen.

es macht mich nur traurig wenn man in der sippe fröhlich zusammen im ts ist und dann kommen aufeinmal leute rein und sagen ihre account wurden gehackt und dass sie nix mehr haben

das ihr glaubt ich gehöre zu freundlich macht mich das traurtig und werde auch nix mehr sagen..

Link to comment
Share on other sites

Ich glaube hier gar nix, dass ist es ja ;) Ich sage nur, dass dieser komplette Thread einen unseriösen Anschein für mich macht. Solange sich die Meldungen über gehackte Accounts nicht häufen sehe ich auch keine Notwendigkeit darin, von meiner turnusmäßigen Passwortänderung abzuweichen :)

Link to comment
Share on other sites

Was würde eine Passwortänderung bringen wenn wirklich die mysql datenbank offen liegt?

Das hängt von den Datenbanken ab. Wenn man sich die Reaktionen auf die Passwortänderung ansieht könnte MyLotro eine eigene Datenbank nutzen. Es prüft die ab und wenn das (alte) Passwort stimmt, dann läßt sie einloggen zu, wenn nicht kontaktiert sie die Myaccount-Datenbank und aktualisiert sich mit dem neuen Passwort. Sollte dies so sein und Zugriff nur auf die Forendatenbank bestehen, dann könnte man sich schützen, indem man sich mit dem neuen Passwort im Spiel einloggt und im Forum nur mit dem alten, damit das neue Passwort nicht in diese Datenbank gelangt. Aber ohne die Funktionsweise zu kennen ist alles Spekulation.

Link to comment
Share on other sites

DAS in den vergangenen Tagen auf Morthond mehrere Accounts angegriffen wurden (auch speziell gestern) würde ich durchaus bestätigen wollen.

Ich kann mir zumindest nicht vorstellen, das meherere Spieler mit denen ich ab und an unterwegs bin über solche Dinge Scherze machen.

Allerdings habe ich auch gestern schon zu bedenken gegeben, dass, wenn soetwas so massiv sippenintern auftritt, auch andere Quellen als Turbine in Frage kommen.

In einer alten Sippe von mir war es z.B. an der Tagesordnunng, dass Bots im Forum neue threads eröffnet haben. Dort waren zumindest von mir sehr bald auch keine relevanten Daten mehr hinterlegt.

Das ist natürlich nur eine Möglichkeit, genau so wie diese Häufung zufällig vorkommen kann.

Link to comment
Share on other sites

so ihr [beleidigung einfügen]

[...]

Das geht aber auch freundlicher und trägt nicht unbedingt dazu bei dich, deine Posts und dein Anliegen ernster zu nehmen.

helbart:*****:niake@[schnipp]

Das war irgendwo klar. Es konnte fast nur niake sein, unser guter CM-Troll. 7(8)7

MfG hithu

Edited by Hithucasarim
Link to comment
Share on other sites

Modbreak: I'll reopen this topic. Do not post any personal information, password hashes, ip addresses. Methods or other means of exploiting this leak are also not done.

Ich werde wieder zu öffnen dieses Thema. Veröffentlichen Sie keine persönlichen Informationen, Passwort-Hashes, IP-Adressen. Methoden oder andere Mittel der Ausbeutung dieses Leck sind ebenfalls nicht erlaubt.

EDIT: KEINE ANGST ich habe eure salt nicht gepostet

ich könnte vollen root zugriff auf den server haben wenn ich wollte!

ich mach das aber nicht, weil ich kein übler mensch bin,mehr daten hab ich auch nicht gespeichert.

einige fordern das glueck wohl herauf!

UND JETZT SAGT NOCHMAL, DAS DIE USER SELBST SCHULD SIND!

Link to comment
Share on other sites

Kann mal bitte jemand für mich nun zusammenfassen, wie sich das Passwort zum Benutzernamen verhält?

Ich habe beispielsweise einen abweichenden Benutzernamen im Forum und wurde bisher auch noch nicht gehackt.

Worauf beziehen sich also die Daten?

Und noch 1 Frage : Können Spieler betroffen sein, welche sich noch nie im off.Forum angemeldet haben ?

Tannenhirsch

Link to comment
Share on other sites

Kann mal bitte jemand für mich nun zusammenfassen, wie sich das Passwort zum Benutzernamen verhält?

Ich habe beispielsweise einen abweichenden Benutzernamen im Forum und wurde bisher auch noch nicht gehackt.

Worauf beziehen sich also die Daten?

Das kann nur Turbine beantworten und Hacker, die die Daten analysiert haben. Aber alles ist möglich.

Und noch 1 Frage : Können Spieler betroffen sein, welche sich noch nie im off.Forum angemeldet haben ?

Definitiv ja, weil man irgendwie auf die die Turbine-DBs kommt.

Link to comment
Share on other sites

Und noch 1 Frage : Können Spieler betroffen sein, welche sich noch nie im off.Forum angemeldet haben ?

Tannenhirsch

Da Turbine für dich nach/während dem Transfer automatisch einen Foren-Account erstellt hat, dürfte das in der Datenbank hinterlegt sein, egal ob du dich schonmal eingeloggt hast oder nicht. Also können auch Spieler, welche nicht im offiziellen Forum unterwegs sind betroffen sein, denn der Account dürfte da sein.

Zudem wissen wir nicht auf welche Datenbanken man Zugriff hatte. Nur auf die fürs Forum oder auch auf die vom Accountmanagement.

Was mich mal interessieren würde: wann wurde denn Turbine über das Problem von "freundlich" informiert? Haben die länger als 2-3 Tage gebraucht um auf diese Informationen zu reagieren?

Ich nehme an es war gestern. Ob Turbine nun aufgrund einer Meldung von "freundlich" aktiv geworden ist oder weil Valandir Sapience hat oder wegen beiden dürfte dabei egal sein.

Ich war übrigens mal so frei und habe meinen letzten hier selber editiert. Da wurde anscheinend vergessen meine Zitate zu bearbeiten. ;)

MfG hithu

Link to comment
Share on other sites

Schlimm finde ich in erster Linie, dass Turbine sich nicht zu einer offiziellen Stellungnahme oder Warnung genötigt sieht. Auch wenn das vermutlich nicht mehr helfen würde hacks zu unterbinden.

Das größte Ärgernis ist allerdings, dass nur das Forum und die damit zusammenhängende HP offline genommen wurde und nicht gleich auch die betroffenen Server. Denn die Daten wurden nunmal offenbar ausgelesen und nur ein kleiner Teil der Spieler war sich gestern darüber im Klaren und selbst die User, die online waren, machen nur einen kleinen Teil der gesamt User aus.

Folge für gestern:

Nachdem das Forum vom Netz genommen wurde, sind (auf Morthond) massiv Angriffe auf Accounts erfolgt, die anders als zuvor, nicht eine "gemütliche Plünderung" als Hintergrund hatten, sondern schlicht die Löschung von unzähligen Charakteren nach dem Muster: Einloggen, Ausloggen, Sippe Verlassen.

Ich denke das wahre Ausmaß dieser letzten Attacke wird sich erst in den nächsten Tagen zeigen, wenn auch casual Spieler mal wieder einloggen wollen, Spieler, die nicht Angehörige großer Sippen sind, wo soetwas um 23.00 noch wahr genommen wird, Spieler, die ihre eigene Sippe haben oder die nicht so in eine Sippe eingebunden sind, dass der massive Austritt zum einen Auffällt und zum anderen mit dem Hack in Verbindung gebracht wird.

Ich hoffe, damit falsch zu liegen, aber denjenigen, die gestern noch betroffen waren, wäre mit dem Runterfahren der Server sicher mehr geholfen worden.

P.S.

Was macht das Forum hier grad mit den schönen Absätzen im Geschriebenen?

Gelöst. Danke NoScript.....

Link to comment
Share on other sites

Nachdem das Forum vom Netz genommen wurde, sind (auf Morthond) massiv Angriffe auf Accounts erfolgt, die anders als zuvor, nicht eine gemütliche Plünderung als Hintergrund hatten, sondern schlicht die Löschung von unzähligen Charakteren nach dem Muster: Einloggen, Ausloggen, Sippe Verlassen.

Woher hast du das?

Link to comment
Share on other sites

Nachdem das Forum vom Netz genommen wurde, sind (auf Morthond) massiv Angriffe auf Accounts erfolgt, die anders als zuvor, nicht eine "gemütliche Plünderung" als Hintergrund hatten, sondern schlicht die Löschung von unzähligen Charakteren nach dem Muster: Einloggen, Ausloggen, Sippe Verlassen.

Genau dieses destruktive Verhalten führt i.d.R. dazu, daß der Betreiber hellhörig werden sollte. Ein paar geklaute Gold fallen einem Gelegenheitsspieler teilweise noch nichtmal auf. Wenn sich aber die Beschwerden über gelöschte Chars untypischerweise häufen, dann muss Turbine irgendwann auffallen, daß dort irgendwas nicht stimmt. Rein subjektiv sind in den letzten Tagen immer mehr solcher Fälle in Foren, bei Twitter usw. zu lesen gewesen, für eine statistische Auswertung fehlen uns als Spielern aber die Analysewerkzeuge.

Ich behaupte einfach mal, der professioneller Goldseller würde sich an mehr oder weniger kleinen Goldbeträgen vergreifen und somit ein paar Dollar Umsatz generieren. Das typische Script-Kiddie weiss mit den Daten nichts besseres anzufangen als sich kurzfristig am Ärger der Anderen zu befriedigen.

Link to comment
Share on other sites

zusammenfassung von mir:

turbine wurde von mir sonntag nacht per ticket informiert.

am montag keine reaktion, also schrieb ich einen thread ins turbine forum der gelöscht wurde. keine reaktion.

daraufhin schrieb ich eine email an webmaster@turbine.com

bis gestern keine reaktion.

ich hatte sogar die genau url turbine mitgeteilt.

da immer mehr leute gehackt worden sind, die ich zum teil kenne, hab ich ich hier die warnung rausgegeben.

dann habe ich hier 3 namen mit email und passwordhashs (ohne salt) zum beweis veröffentlich.

(war vllt auch nicht richtig von mir ;))

dann hat wohl valandir per twitter sapience was gesagt und sofort draufhin wurde das forum ueberprüft und ist seitdem geschlossen *facepalm*

die luecke bestand seit der migration von codemaster zu turbine (dadurch ist es erst möglich gewesen)

jeder und wirklich jeder konnte auf die daten zugreifen.

auf welche datebanken man genau zugriff hatte weis ich nicht, da ich nicht alles analysiert habe.

fakt ist. man hatte zugriff auf ueber 1 millioenen daten die das forum betreffen. laut columns waren dort adressen, payment, email, passwörter etc gespeichert.

edit: ich habe weder daren noch sonst was ausgespäht!

Link to comment
Share on other sites

Natürlich hat Turbine den Thread im Forum gelöscht und nicht auf das Ticket reagiert. Wenn es so einfach wäre, Turbine in Alarmzustand zu versetzen, dann befände sich Turbine ständig im Alarmzustand, weil ständig entsprechende Warnungen und Hinweise über die Foren oder das Ticketsystem eingehen - in 99% aller Fälle sind diese aber vollkommen gegenstandslos. Der Webmaster ist auch der falsche Adressat, denn der hat mit den Game- und Accountservern nichts zu tun. Du hättest dich gleich an Sapience wenden können, hättest dich aber unangenehmen Fragen aussetzen können. Schließlich hast du dich an Valandir gewendet bzw. Valadnir ist darauf aufmerksam geworden, und er besitzt vor Sapience&Co. sicherlich über genug Reputation, um ernst genommen zu werden. Oder eine deiner Meldungen wurden doch von irgendwem weiter gereicht.

Wie dem auch sei, danke, dass du dich für die Sicherheit der Server eingesetzt hast. Jetzt musst du nur noch an deiner Kommunikation arbeiten ;)

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share

×
×
  • Create New...