Jump to content
LOTROCommunity

!WICHTIG lotro.com Sicherheitslücke!


freundlich
 Share

Recommended Posts

Das ist für alle, deren Passwort länger als 12 Zeichen ist. Damit kann man nämlich nicht (mehr) in die myaccount-Seite einloggen.

Kann ich nicht bestätigen. PW ist deutlich länger und das Einloggen funktioniert ohne Fehlermeldung.

Link to comment
Share on other sites

@Amrundir

???? Häh ?

Ich habe am letzten Wochenende (also nach dem 11.10.) über den launcher auf "Mein Konto" geklickt und kam auf eine https-Seite zum Anmelden beim Account.

Dort habe ich meine altes, aus 16 Zeichen bestehendes, Passwort eingegeben und dann in meinem Account das Passwort geändert. Natürlich hat mein aktuelles Passwort auch 16 Zeichen, Zahlen, groß, kleinbuchstaben, Zahlen, Sonderzeichen usw.

Verstehe ich Dich richtig, dass ich mich mit einem aus 16 Zeichen bestehendem Passwort nicht mehr auf der Accountseite anmelden kann ?

Link to comment
Share on other sites

Hab vorhin mit einem Sippie gequatscht, der kam nach Passwort ändern nicht mehr in myaccount rein. Mylotro/Forum ging noch.

Dann hat er nochmal über Passwort vergessen ein neues PW gesetzt (12 Zeichen), mit dem kam er rein.

Vielleicht lag es auch an Sonderzeichen, keine Ahnung.

Hab es ehrlich gesagt nicht selbst getestet, da ich mein neues Passwort (noch) nicht auswendig weiß und bisher keine Lust und Zeit hatte, über "Passwort vergessen" einen neues anzufordern.

Link to comment
Share on other sites

Die offizielle FAQ zur entdeckten Sicherheitslücke:

http://www.lotro.com...sicherheits-faq

Sicherheits-FAQ

Was ist passiert?

Vor Kurzem haben wir eine Sicherheitslücke in unserer HdRO-Forumsdatenbank entdeckt.

Waren meine Zahlungsinformationen oder meine Kreditkartennummer einsehbar?

In der Forumsdatenbank waren keinerlei Zahlungsinformationen enthalten.

Wie ist das passiert?

Durch einen Fehler im Code des Forums waren nicht-autorisierte Zugriffe auf die Datenbank möglich.

Was wurde dagegen unternommen?

Dir Foren wurden abgeschaltet und einen vollständige Untersuchung des Problems durchgeführt. Im Rahmen der Überprüfung wurden Experten hinzugezogen, um alle aufkommenden Fragen zu klären. Wir waren in der Lage den Fehler zu beheben und haben zusätzliche Maßnahmen ergriffen um die Sicherheit unserer Web-Anwendungen zu verstärken.

Warum höre ich erst jetzt davon?

Statt nur zu spekulieren, wollten wir zu einem umfassenden Verständnis der Situation gelangen und unseren Spielern alle Details mitteilen.

Ich habe eine eMail bezüglich HdRO von BlueHornet erhalten, die Links zur MyAccount-Seite enthält und mich auffordert mein Passwort zu ändern. Ist diese Mail seriös?

Wir haben an alle Spieler eMails versendet, die sie über das Sicherheitsproblem informieren und entsprechende Handlungsempfehlungen für ihr Konto aussprechen sollten. Wenn jemals Zweifel bezüglich der Rechtmäßigkeit von eMails oder anderen Korrespondenzen besteht, kontaktieren Sie bitte den Kundendienst.

In der eMail, die ich erhalten habe, wurde ich nicht aufgefordert, mein Passwort zu ändern; mir wurde vielmehr mitgeteilt, dass es bereits geändert wurde. Warum?

Um übervorsichtig zu sein habe wir für eine kleine Anzahl von Spielern das Passwort bereits geändert. Diese Spieler haben eine entsprechende eMail erhalten, die sie über die Änderung informiert sowie darüber, wie sie ihr Konto wiederherstellen können.

Warum wurden zwei eMails versendet?

Die eMails wurden der jeweiligen Account-Situation angepasst. Die wichtigste Mitteilung in beiden Mails war der Aufruf sein Passwort so zu ändern, dass es stark, einzigartig und schwer zu erraten ist.

Wie wähle ich ein starkes Passwort?

Einige Beispiele:

RICHTIG:

Verwenden Sie statt eines Passworts eine Passphrase

E„England gewann 1966 die Weltmeisterschaft!"

Verwenden Sie die Anfangsbuchstaben jedes Wortes eines Satzes den Sie sich merken können und nehmen Sie ein paar Zahlen hinzu

„Eg66dWM"

Notieren Sie sich einen Hinweis, der Ihnen hilft, ihr Passwort zu erinnern, es anderen jedoch nicht ermöglicht, es zu erraten

„Sportliches Großereignis"

FALSCH

Verwenden Sie nicht Ihren Namen, Geburtstag oder andere persönliche Daten:

„Heather2"

Verwenden Sie keine Zahlenfolgen oder Wiederholungen

123456, qqqqqq

Wählen Sie kein vollständiges Wort in welcher Sprache auch immer, da Hacker nach jedem in Wörterbüchern gelisteten Wort suchen

LOTRO1

Ersetzen Sie sie nicht einfach einzelne Buchstaben in vollständigen Wörtern durch andere Zeichen. Hacker kennen diesen Trick

„Passw0rt"

Verwenden Sie nie dasselbe Passwort für alle Ihre Konten.

RICHTIG:

Verwenden Sie statt eines Passworts eine Passphrase

E„England gewann 1966 die Weltmeisterschaft!"

Verwenden Sie die Anfangsbuchstaben jedes Wortes eines Satzes den Sie sich merken können und nehmen Sie ein paar Zahlen hinzu

„Eg66dWM"

Notieren Sie sich einen Hinweis, der Ihnen hilft, ihr Passwort zu erinnern, es anderen jedoch nicht ermöglicht, es zu erraten

„Sportliches Großereignis"

FALSCH

Verwenden Sie nicht Ihren Namen, Geburtstag oder andere persönliche Daten:

„Heather2"

Verwenden Sie keine Zahlenfolgen oder Wiederholungen

123456, qqqqqq

Wählen Sie kein vollständiges Wort in welcher Sprache auch immer, da Hacker nach jedem in Wörterbüchern gelisteten Wort suchen

LOTRO1

Ersetzen Sie sie nicht einfach einzelne Buchstaben in vollständigen Wörtern durch andere Zeichen. Hacker kennen diesen Trick

„Passw0rt"

Verwenden Sie nie dasselbe Passwort für alle Ihre Konten.

Link to comment
Share on other sites

Es wäre toll, wenn 'freundlich' sich nochmal melden würde, um die Aussage Turbines zu den Zahlungsinformationen / Kreditkartendaten zu bestätigen.

Der Satz in der FAQ sagt mal gar nichts aus. Unbekannt bleibt immer noch ob nur die Foren-Datenbank einsehbar war oder noch mehr.

Link to comment
Share on other sites

  • 2 weeks later...

Hallöchen,

mein Account ist letzte am Freitag auch gehackt worden, obwohl ich bereits am 11 oder 12 mein Passwort vorsorglich geändert hatte, alle Charakter ist der Hacker durchgegangen und hat scheinbar alles verkauft was nicht Niet und Nagel fest war, selbst im Eigenen und im Sippenhaus war er und hat alles eingepackt was dar war.

Anschließend hat die ***** auch noch alle Charakter gelöscht!

Während dies passierte war ich die ganze zeit mit meinen Sippenkollegen per TeamSpeak verbunden und die konnten alles live mitverfolgen. Wir haben mehrere Ingame Tickets sowie auch Tickets über die myaccount-Seite versendet, ich habe auch öfters versucht beim Support an zu rufen was aber nicht viel gebracht hat.

Mittlerweile war mein Spiel Account bis zum Dienstag gebannt und am Dienstag Abend habe ich dann von Turbine eine Mail bekommen das der Account wieder Frei sei, beim Relogg mit neuem Passwort habe ich dann feststellen müssen das meine Charaktere gelöscht worden sind.

Wieder habe ich diesmal aber gleich Telefonischen Kontakt zu Turbine aufgenommen und hoffe nun darauf das meine Charaktere inkl. aller Spiel intems wiederhergestellt werden.

Die Kommunikation per Email oder der myaccount-Seite läuft gar nicht bzw. eher schleppend besser ist der Telefonische Kontakt den ich wirklich empfehlen kann bei Problemen.

!! Was ich jedoch eine Schande finde ist das wir Spieler nicht wirklich über diese Sicherheits Lücke Informiert worden sind, ich bekomme jede Woche ein Mail was ich alles Kaufen könnte, aber das es Probleme mit der Sicherheit gibt wird mir verschwiegen, mein kosten und zeit Aufwand der mir und meinen Sippenkollegen dadurch entstanden ist wird mir anscheinend Achselzuckend von Turbine zugemutet !!

Link to comment
Share on other sites

.. mein Account ist letzte am Freitag auch gehackt worden, obwohl ich bereits am 11 oder 12 mein Passwort vorsorglich geändert hatte, ..

..Was ich jedoch eine Schande finde ist das wir Spieler nicht wirklich über diese Sicherheits Lücke Informiert worden sind, ..

Soviel ich weiß, wurden (sehr spät)E-Mails versendet, in welcher stand, das es ratsam sei, sein PW zu ändern.

Ansonsten geb´ich Dir teilweise recht, daß die Informationspolitik unterirdisch ist. Man kann vom Spieler nicht verlangen, sich im off. Forum, auf facebook und auf twitter zu informieren. Solche WICHTIGEN Meldungen haben im Launcher zu stehen, fertig.

Tannenhirsch

Link to comment
Share on other sites

Solche WICHTIGEN Meldungen haben im Launcher zu stehen, fertig.

Tannenhirsch

Komm schon, da stand was so wegen Forumproblem oder so, bestimmt mindestens 2 Tage lang ganz oben. Man kann schon von allen Spielern verlangen, dass sie jeden Tag wenigstens einmal den Launcher anschmeißen und sich für Forumprobleme oder so interessieren. Ist ja nicht so, dass HdRO Gelegenheitsspieler anspricht. Jetzt muss halt wieder für Shopartikel geworben werden, damit ganz viel Geld reinkommt um die Sicherheitsstandards noch minimal zu optimieren.

1. Profit

2. mehr Profit

3. Sicherheit

4. noch viel mehr Profit

87. Namensregeln (Ich grüße Heinvondmrhein oder so.)

Link to comment
Share on other sites

Hallöchen,

Soviel ich weiß, wurden (sehr spät)E-Mails versendet, in welcher stand, das es ratsam sei, sein PW zu ändern.

also mir wurde keine email zugesandt das es mit dem Foren PW und dem Spiele Account PW Probleme gibt, ich verstehe es sowieso nicht, seit dem das Forum off war konnte ich mich mit meinem alten Benutzernamen und dem Passwort hier nicht mehr ein loggen.

Drum habe ich jetzt mir einen neuen Benutzernamen und ein anderes vom Spiel unabhängiges Passwort zugelegt!

Ich hoffe nur das mein Account wieder frei und meine Charaktere mit allen Spiele intems wiederhergestellt werden.

Ich meine es wäre schon ganz nett von Turbine wenn man hin und wieder mal was hören würde wie es nun weiter geht, außer es dauert drei Tage.

Link to comment
Share on other sites

Die Email ueber die Passwoerter wurde in einer Art und Weise versandt die ziemlich garantierte dass sie in allen erdenklichen Spamfiltern haengenblieb. Massenemail mit voellig Wirren headern von einem Mass-mailer service. Fast so schlimm wie Canon's emails :)

Ich hab zwei Wochen gebraucht um die Mail zu finden.

Link to comment
Share on other sites

Habe gerade Post bekommen

Gruß xxx,

Grüße,

Wir haben wieder die gelöschten Charakter, dass wir bestätigt haben, als Ergebnis eines Kompromisses wurden gelöscht. Wenn wir alle verpasst haben, senden Sie bitte ein neues Ticket und wir werden untersuchen. Bitte loggen Sie sich in jeden Charakter und legt eine neue In-Game-Ticket für jedes Zeichen, dass Gegenstände oder Währung verloren, und wir werden entsprechende Kostenerstattung zu untersuchen.

Turbine, powered by our fans.

Mit was für einem Programm haben die das bloß übersetzen lassen (8> selbst Google wäre besser, na jetzt bin ich nach einer solchen Mail aber mal gespannt

Link to comment
Share on other sites

Kumpel wurde auch gehackt, aber haben ihm zum Glück nur das Gold abgezockt. Passwort nicht geändert. E-Mail nicht geändert. Keine Chars gelöscht.

Er hatte sein pw seit dem 11.10. nicht geändert. Hat es jetzt nachgeholt. Alles wieder gut? Nein, nicht unbedingt!

Warum poste ich das? Falls ihr in einer ähnlichen Lage seid und für euren Mail-Account das gleiche PW hattet wie für Lotro, dann müsst ihr dieses auch unbedingt mit ändern.

Sonst nutzen die Hacker noch die "PW-Vergessen-Funktion" und loggen sich in euren Mail-Account ein und sind somit wieder in eurem Lotro-Account. (Neben anderen sensiblen Daten, die evtl. in eurem Mail-Account rumschwirren.)

Auch wenn man eh nicht das gleiche PW mehrfach verwenden sollte, so zeigt zumindest meine Erfahrung, dass dies trotzdem weit mehr als jeder Zweite so macht und maximal eine Hand voll PWs hat, die er an versch. Stellen mehrfach nutzt.

Link to comment
Share on other sites

d.h. DU musst auflisten' date=' was fehlt ? ...wird ja immer besser :D ... -.-[/quote']

das wird schwierig, weiß irgendwer noch was er letzte Woche in den Beuteln und auf der Bank hatte?

Muss ich mir jetzt täglich einen screenshot machen, damit ich weiß was mir nach dem wieder einloggen so alles fehlt!

Ich hoffe die finden den ***** und er bekommt eine deftige anzeige!

Link to comment
Share on other sites

das wird schwierig, weiß irgendwer noch was er letzte Woche in den Beuteln und auf der Bank hatte?

Muss ich mir jetzt täglich einen screenshot machen, damit ich weiß was mir nach dem wieder einloggen so alles fehlt!

Warum soll man Turbine sagen, was man auf der Bank / im INV hatte ? 1 Blick in die Datenbank und sie wissen´s doch eh´... zumal die Angaben des Spielers überprüft werden. ...was für ein *Support* ...

Tannenhirsch

Link to comment
Share on other sites

Warum soll man Turbine sagen, was man auf der Bank / im INV hatte ? 1 Blick in die Datenbank und sie wissen´s doch eh´... zumal die Angaben des Spielers überprüft werden. ...was für ein *Support* ...

Tannenhirsch

Die Datenbank hat aber nur den Status nachdem die Sachen verkauft wurden.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share

×
×
  • Create New...