Jump to content
LOTROCommunity

Fragen zur Sicherheit bei LOTRO


KIKA
 Share

Recommended Posts

Habe hier gelesen, das es eine Sicherheitslücke bei LOTRO geben soll. Der Thread ist leider geschlossen.

Das Turbine Forum auch, ich soll Twitter und Facebook beobachten, leider ist aber beides beim mir gespeert.

Hat wer Informationen für mich, was auf diesen Platformen verbreitet worden ist?

Welche Accountinformationen waren zugänglich?

Wenn ich in der Accountverwaltung von Turbine mein PW ändere, ändere ich es dann für die Acc-verwaltung, Spiel und Turbine-Forum?

Kann man auch seinen Anmeldenamen ändern?

Link to comment
Share on other sites

Welche Infos genau zugänglich waren ist schwer zu sagen. Ein paar Punkte findest du unter . Eine Stellungsnahme von Turbine steht aus. Aber ich habe die Vermutung, daß es keine geben wird. Mal sehen ob sie wenigstens den Passwortwechsel empfehlen werden.

Wenn du das Passwort im Accountsystem änderst, dann änderst du es sowohl für den Spiellogin als auch für Forum/MyLotro. Allerdings kannst du dich im Forum noch solange mit dem alten Passwort anmelden, bis du erstmalig das neue dort benutzt. Die Funktion "Passwort und Benutzernamen fürs Forum" im Accountsystem kannst du ignorieren. Die haben keine Funktion mehr (sind überreste des alten Forensystems). Solltest du eine Fehlermeldung beim Passwortändern bekommen, daß dein altes Passwort nicht stimmen würde, dann kannst du die meist ignorieren. Der Passwortwechsel hat trotzdem geklappt. Das kannst du testen indem du dich mit dem neuen Passwort im Accountsystem oder im Spiel anmeldest.

Den Anmeldenamen kann man leider nicht ändern.

Link to comment
Share on other sites

Hat wer Informationen für mich, was auf diesen Platformen verbreitet worden ist?

Bisher beschränkt sich die Information darauf, daß Turbine noch keinen Zeitpunkt angeben kann, wann die Foren wieder verfügbar sein werden.

Welche Accountinformationen waren zugänglich?

Gestern waren hier unter anderem Vornamen, Benutzernamen und Passworthashes aufgetaucht. Im Zweifelsfall solltest du damit rechnen, daß momentan Zugriff auf die komplette Datenbank besteht.

Persönliche Meinung von mir: Solange diese "Lücke" nicht gestopft ist, macht es wenig Sinn, sein Passwort zu ändern.

Link to comment
Share on other sites

Hallo zusammen.

Ich spiele noch nicht so lange Lotro. Erst nachdem es bei Turbine war.

Gestern hab ich das ein wenig im Forum mitverfolgt, kenn mich da aber nicht so richtig aus damit.

Vielleicht könnt ihr mir ja ein paar Fragen beantworten?

Betrifft das jetzt nur die Spieler, die schon bei Codemasters dabei waren? Denn die haben ja mal gesagt, dass bei denen Daten abhanden gekommen sind. Obwohl das wohl nicht die Accountdaten gewesen sein sollen.

Sind die Daten, die aufgetaucht sind, vom Accountsystem oder vom Forum? Das sind ja doch zwei verschiedene Dinge. Nehm ich zumindest an.

Und wie ich mitbekommen habe wurden zwar Namen und Hashwerte von Passwörtern gepostet, aber damit kann ich doch nix anfangen. Es fehlt doch der Benutzername und aus dem Hashwert muss man ja erst mal ein Passwort errechnen können.

Ich hab da mal von Hashwerten gehört, die man angeblich nicht rückwärtsrechnen kann.

Wie gesagt, ich kenn mich da nicht so aus und wollte nur mal fragen, was man da im Moment machen kann.

Link to comment
Share on other sites

Sind die Daten, die aufgetaucht sind, vom Accountsystem oder vom Forum? Das sind ja doch zwei verschiedene Dinge. Nehm ich zumindest an.

Für das Forum braucht man keinen Vornamen anzugeben, von daher ist nicht auszuschliessen, dass weitaus mehr Daten zugänglich sind.

Und wie ich mitbekommen habe wurden zwar Namen und Hashwerte von Passwörtern gepostet, aber damit kann ich doch nix anfangen. Es fehlt doch der Benutzername und aus dem Hashwert muss man ja erst mal ein Passwort errechnen können.

Ich hab da mal von Hashwerten gehört, die man angeblich nicht rückwärtsrechnen kann.

Für einfach Hash-Werte existieren im web unterschiedliche Tabellen, sodaß da gar nichts mehr zurückgerechnet werden muss (Stichwort: Rainbowtables). Mit ein bisschen Salz garniert, wird es schon aufwändiger. Sobald das "Salz" aber bekannt ist, ist auch dieser Schutz nicht mehr so effektiv.

Wie gesagt, ich kenn mich da nicht so aus und wollte nur mal fragen, was man da im Moment machen kann.

Nachträglich? Abwarten bis die Lücke geschlossen ist und danach das Passwort ändern. siehe oben, es nützt nichts, wenn du jetzt dein PW änderst und es ist (bzw. der Hashwert) weiterhin für Unbefugte lesbar.

Proaktiv verwendet man unterschiedliche Passwörter für unterschiedliche Dienste (also z.B. nicht für ein Forum das gleiche Passwort wie für den Mailaccount).

Link to comment
Share on other sites

....Sind die Daten, die aufgetaucht sind, vom Accountsystem oder vom Forum? Das sind ja doch zwei verschiedene Dinge. Nehm ich zumindest an.

Leider liegst du da falsch. Bei Turbine sind die Daten praktisch identisch, auch wenn es ggf. verschieddene Datenbanken sind.

...Und wie ich mitbekommen habe wurden zwar Namen und Hashwerte von Passwörtern gepostet, aber damit kann ich doch nix anfangen. Es fehlt doch der Benutzername und aus dem Hashwert muss man ja erst mal ein Passwort errechnen können.

Siehe den Post von Agro oben: auch Benutzernamen waren lesbar.

...Wie gesagt, ich kenn mich da nicht so aus und wollte nur mal fragen, was man da im Moment machen kann.

Nicht viel. Da nicht bekannt ist, ob der Netzzugriff auf die Datenbank komplett gesperrt wurde oder nur kein "normalen" Nutzerzugriffe möglich sind würde ich nur das Passwort ändern (wegen eventuellen bisherigen Zugriffen) und dieses nach dem Flicken der Sicherheitslücke nochmals ändern.

Link to comment
Share on other sites

Interessanterweise habe ich zwei Accounts und wenn ich das Passwort in einem Account ändere, ändert sich das Passwort im zweiten Account mit. Ich habe damals Sapience gesagt, dass ich zwei Forenaccounts habe und wie die heißen.

Das Problem scheint jetzt behoben zu sein, dafür hatte ich eben das Problem, dass ich eine Fehlermeldung beim Passwort ändern bekam. Das Passwort war aber TROTZDEM geändert.

Hoffentlich hat EA da bessere Tools.

Link to comment
Share on other sites

Danke für die Antworten. Ich habe nun mein PW geändert, wobei ich auch diese "Falschmeldung" erhalten habe, das das alte falsch wäre.

Werde nun abwarten und dann wieder ändern.

Link to comment
Share on other sites

Hallo,

wollte als Betroffener nur kurz mal erzählen wie das bei mir gestern abgelaufen ist...

Mitten im Spiel schwarzer Bildschirm mit kleinem Fenster und Nchricht :Du bist schon eingeloggt ect...

Danach versucht mit meinem PW wieder einzuloggen ,ging natürlich nicht ,dann sah mein Gruppenmitglied wie mein Char wieder auftauchte und geportet ist.

Da war uns natürlich klar was da vor sich ging...ich zum Tele und den deutschen support angerufen..Sicherheits blabla auch in meinen Acc meine noch vorhandenen Charaktere gesichtet hatte ,er meinte ein Ban wäre jetzt zu spät das passiert innerhalb von 5 Min das die Chars leergeräumt werden und ich sollte mir keine Sorgen machen wird alles wieder hergestellt..

War mir in dem Moment auch egal weil mich eigentlich nur interessierte wie derjenige an mein PW gekommen ist .

Ok... habe dann ein PW bekommen per EMail das aber nicht an meine angegebene Adresse angekommen..also gab der Mitarbeiter es mir mündlich ,bin also auf meinem Account My Lotro eingeloggt um dieses PW durch ein eigenes zu ersetzen...(MItarbeiter immer noch am Tele) und fliege in diesem Moment wieder aus meinem eingeloggten Lotro-Account ,auf dem mittlerweile auch keine Chars mehr existierten ,raus .

Das PW war wieder ungültig ,also hat sich jemand wieder Zugriff verschafft ,Pw gewechselt ,Chars gelöscht ect....

Dann war das Akku vom Tele leer *lach*

Ich wieder angerufen ,dieses Mal aber den Ami-Support...

So gleiches Spiel von vorn ..Pw gesendet was nicht ankam ,mit mündlichen konnte ich mich einloggen und habe erstmal email ect gändert ,aber ich denke solange die Account-Dienste online waren hätte das eh nichts genutzt und im Moment hat sich der Acc-Stehler nur nicht wieder auf meinem Acc eingeloggt weils da ja nichts mehr zu holen gab/gibt...

Was da jetzt bei Turbine angezapft war kann ich nur vermuten oder den Fehler auf dem eigenen PC suchen ,aber ich glaube bei den mittlerweile gehäuften übernommenen Acc's, sicher eher das erstere...

Und egal wie oft das PW schriftlich zugesendet wurde ...derjenige konnte es einsehen..(nur meine Meinung)bei den betroffenen Acc's natürlich nur und im Moment da ja alles abgeschaltet ist heher auf der sicheren Seite *hoff*

So.. sorry für die lange Story..

Have a nice day^^

Link to comment
Share on other sites

Na wenigstens kennt man ja jetzt denjenigen, der für die ganze Sauerei verantwortlich ist.

Sorry, aber wie blöd muss man sein, dass man hier auch noch eine Anleitung zum Ausspähen der Account-Daten postet?

So einer sollte sofort angezeigt werden.

Ich hoffe, dass zumindest hier die IP gespeichert wurde.

Link to comment
Share on other sites

Na wenigstens kennt man ja jetzt denjenigen, der für die ganze Sauerei verantwortlich ist.

Sorry, aber wie blöd muss man sein, dass man hier auch noch eine Anleitung zum Ausspähen der Account-Daten postet?

So einer sollte sofort angezeigt werden.

Ich hoffe, dass zumindest hier die IP gespeichert wurde.

Du solltest dir das Thema nochmal in Ruhe durchlesen. Es hat hier nicht gepostet um damit anzugeben sondern um Turbine zu einer Reaktion zu zwingen. Ohne seine Infos hier wären die seit Wochen laufenden Hacks weitergegangen. Die meisten Hacks werden da wohl kaum auf seine Kappe gehen. Da hatten noch andere Zugriff auf die Datenbank. Das er (wenn auch in gut gemeinter Absicht) deutlich zuweit gegangen ist hat er ja inzwischen mehr oder weniger eingesehen.

Link to comment
Share on other sites

Wie man hier lesen kann wurden vermehrt auf Morthond Accounts gehackt, nachdem der komische Typ gepostet hat, dass es da eine Lücke gibt und wie man sie ausnutzen kann.

Abgesehen davon hat er dann auch noch Daten veröffentlicht. Das heisst, er selber ist bei Turbine eingebrochen.

Es liegt ja nahe, dass er das schon vorher gemacht hat.

Da kann man eigentlich nur jeden auffordern, dessen Account gehackt wurde, eine Anzeige gegen diesen Typen zu machen.

Da geht mir echt der Hut auf.

Und selber ist er auch noch stolz darauf, was er gemacht hat.

Link to comment
Share on other sites

Wie man hier lesen kann wurden vermehrt auf Morthond Accounts gehackt, nachdem der komische Typ gepostet hat, dass es da eine Lücke gibt und wie man sie ausnutzen kann.

Abgesehen davon hat er dann auch noch Daten veröffentlicht. Das heisst, er selber ist bei Turbine eingebrochen.

Es liegt ja nahe, dass er das schon vorher gemacht hat.

Da kann man eigentlich nur jeden auffordern, dessen Account gehackt wurde, eine Anzeige gegen diesen Typen zu machen.

Da geht mir echt der Hut auf.

Und selber ist er auch noch stolz darauf, was er gemacht hat.

Vielleicht war es ja auch ich. ^^

Warum sollte er dann eine funktionierende Lücke öffentlich machen?

Aber vielleicht warst es ja auch du, der in den Accounts war, und bist nun sauer auf ihn, das es nicht mehr geht.

Link to comment
Share on other sites

Vielleicht solltest du mal etwas runterkommen Gerd. Verwechsle bitte nicht das posten einer Anleitung und das Warnen vor selbiger Möglichkeit. Dass es zu den vermehrten Hacks gestern Abend kam, kann ebenso gut daran liegen dass jeder nur erdenkliche Hacker meinte diese Lücke nochmals nutzen zu müssen bevor diese geschlossen wird(was mit offgehen der Foren angedeutet wurde). Hier zur Selbstjustiz aufzurufen halte ich für falsch. Ich persönlich bin "freundlich" dankbar dass er auf diese Lücke aufmerksam gemacht hat, wenn auch die von Ihm gewählte Form diskutabel ist. Nichts desto trotz scheint nicht er sondern mehrere andere das Problem zu sein und das musst du wohl oder übel so hinnehmen. Wie war der Spruch mit der schlechten Nachricht und dem Boten?

LG Sala

Link to comment
Share on other sites

Er ist selber bei Turbine eingebrochen und Daten veröffentlicht.

Mehr muss man da jetzt nicht sagen.

Das ist strafbar und gehört für meine Begriffe geahndet.

Dass man so einen noch schützt ist mir unbegreiflich.

Hätte er meine Daten veröffentlicht wäre ich schon bei der Polizei gewesen.

Link to comment
Share on other sites

Wie man hier lesen kann wurden vermehrt auf Morthond Accounts gehackt, nachdem der komische Typ gepostet hat, dass es da eine Lücke gibt und wie man sie ausnutzen kann.

Abgesehen davon hat er dann auch noch Daten veröffentlicht. Das heisst, er selber ist bei Turbine eingebrochen.

Es liegt ja nahe, dass er das schon vorher gemacht hat.

Da kann man eigentlich nur jeden auffordern, dessen Account gehackt wurde, eine Anzeige gegen diesen Typen zu machen.

Da geht mir echt der Hut auf.

Und selber ist er auch noch stolz darauf, was er gemacht hat.

Die Accounst wären auch ohne seinen Post gehackt worden und sehr wahrscheinlich noch einige mehr. Du darfst nicht davon ausgehen, dass demjenigen, der sich dort Zugriff verschafft sofort das Passwort zur Verfügung steht. Die Passwörter sind verschlüsselt und bei entsprechender Güte nicht mal eben in 10 Minuten zu entschlüsseln. Bei 123456 dürfte es allerdings durchaus schnell gehen.

Das er es war, der die Accounts in letzter Zeit gehackt haben soll kannst du nicht beweisen, also solltest du es auch nicht behaupten.

Die Art und Weise wie er die Sicherheitslücke öffentlich gemacht hat war definitiv falsch, aber das Veröffentlichen generell durchaus richtig und einen Dank wert.

Den Gang zum Anwalt kann man sich im Übrigen auch sparen, selbst wenn man seine IP haben sollte. Die IP's sind ganze 7 Tage bei den Providern dem jeweiligen Nutzer zuzuordnen, danach nicht mehr da diese Daten nicht länger gespeichert werden dürfen. Ich bin mir auch nicht ganz sicher, ob man hier denn überhaupt einen Fall vorliegen hat, den ein Anwalt bearbeiten könnte.

MfG hithu

Link to comment
Share on other sites

Er veröffentlichte ein sehr kleines (begrenzte Daten von 3 Konten) Abschnitt, um seine These zu beweisen. Turbine war nicht auf ihn zu hören, so suchte er einen öffentlichen Ort, um es zu posten. Wenn er wollte, könnte er alles für sich behalten haben und verkaufte die Konten an den Meistbietenden. Er tat nichts davon. Ich verstehe nicht, warum du derjenige, der das klaffende Loch Berichte zu bestrafen wollen.

Sorry for the Google Translate :P

  • Upvote 1
Link to comment
Share on other sites

...Das ist strafbar und gehört für meine Begriffe geahndet.

Ist es wahrscheinlich. Aber Aufgrund der Umstände (vorher Kontakt zu Turbine und ihr ignorieren des Problems) würde ich auf "Bewährung" plädieren. Sollen sie lieber die suchen, die Gold "gestohlen" und Chars gelöscht haben.

...Dass man so einen noch schützt ist mir unbegreiflich.

Was wäre denn passiert, wenn er nicht getestet und das Problem nicht öffentlich gemacht hätte? Da Turbine es ignoriert hat wären noch wochen- oder monatelang Accounts gehackt worden. Als seine Fehler sehe ich:

- den Besitz des Programmes an sich (brauch man das auch für die normale Arbeit?)

- zuviel im Forum verraten

- Veröffentlichung von Daten ohne sie zumindest teilweise unkenntlich zu machen. Bruchstücke hätten zur Bestätigung auch gereicht.

Link to comment
Share on other sites

Er veröffentlichte ein sehr kleines (begrenzte Daten von 3 Konten) Abschnitt, um seine These zu beweisen. Turbine war nicht auf ihn zu hören, so suchte er einen öffentlichen Ort, um es zu posten. Wenn er wollte, könnte er alles für sich behalten haben und verkaufte die Konten an den Meistbietenden. Er tat nichts davon. Ich verstehe nicht, warum du derjenige, der das klaffende Loch Berichte zu bestrafen wollen.

Sorry for the Google Translate :P

Ein bisschen besser als der Google-Übersetzer, denke ich zumindest. :P

Er veröffentlichte einen sehr kleinen Abschnitt (begrenzte Daten von 3 Konten), um seine These zu beweisen. Turbine wollte davon nichts wissen und so suchte er einen öffentlichen Ort um es zu posten. Wenn er gewollt hätte, hätte er alles für sich behalten und die Daten im Netz verkaufen können. Er tat das aber nicht. Ich verstehe nicht, warum du den, der die Existenz des Sicherheitsleck erst veröffentlicht hat, bestrafen willst.

MfG hithu

  • Upvote 1
Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share

×
×
  • Create New...