Jump to content
LOTROCommunity
KIKA

Fragen zur Sicherheit bei LOTRO

Recommended Posts

Wenn ich den Tweet richtig lese, wollte Cutholen die Beispiele haben, die "freundlich" veröffentlicht hat. Zu beweisen, dass Vala gleich noch IP etc. mitgeschickt hat., dürfte zumindest schwer fallen. Die Tweets sehen so aus, als ob er Daten aus den gesperrten/gelöschten Posts geschickt hat.

Wie schon auch öffentlich in diesem Forum geschrieben wollte ich lediglich wissen welche auf meine Person bezogene Daten er veröffentlicht hat. Da ich die Orginalposts nie gelesen habe. Euch mag das egal sein, mir ist es aber nicht egal das die zu meinem Ingameaccount zugehörige Email adresse und das Passwort Hash veröffentlicht wurde, beides sind potentiele Sicherheitsrisiken. Email Adressen von mir wird man hier und dort öffentlich finden, auch andere personenbezogene Daten, diese stelle ich dann aber freiwillig der öffentlichkeit zur Verfügung.

Freundlich hat sich widerrechtlich durch einen Einbruch personenbezogene Daten verschafft und diese veröffentlicht, das dies nicht Rechtens ist sollte jedem der ein bischen Verstand hat, klar sein. Inwieweit das durch den Landesdatenschutzbeauftragten oder Turbine verfolgt wird, sei mal dahingestellt. Schaden tut es mir nicht, diese Stelle eben mal auf den Sachverhalt hinzuweisen.

Letztendlich hoffe ich das freundlich aus solchen Vorgehen lernt, diesmal waren es nur 3 Emailadressen die man jetzt in Verbindung mit dem Account bringt und 3 Passwort Hashes die crackbar sind. Beim nächstenmal sind es vielleicht noch mehr vertraulicher Daten. Deshalb sollte man früh aufzeigen hier und nicht weiter. Und dies am besten durch offiziele Wege.

Wenn mit dem Vorgehen jemand ein Problem hat, so sei ihm das zugestanden. Allerdings seid ihr nicht betroffenen, also solltet ihr den Betroffenen die eigene Entscheidung zustehen, wie sie in diesem Fall vorgehen.

Grüße

Cutholen

Share this post


Link to post
Share on other sites

Du solltest mal die Post von anderen richtig lesen. Von einem Freibrief war keine Rede. Ich habe die Form der Datenveröffentlichung auch kritisiert.

Und du solltest mit deiner Haarspalterei da hingehen, wo du nemanden stört.

Jeder weiss, wie es gemeint war was ich geschrieben hab.

Trollen kannst du woanders.

Mt der PN ist es ja wohl klar, dass Valandir das alles nur macht um diesen freundlich/niake/User-X-aus-dem-Turbine-Forum ans Bein zu pissen.

Und dass Cutholen gegen freundlich vorgehen will ist doch verständlich.

Ich würd mir das auch nicht gefallen lassen, wenn jemand meine Daten veröffentlichen würde.

Share this post


Link to post
Share on other sites

@Saphi: oder dass wir in den Etten besser Hacker-Kiddies großziehen? -.- "der hat mich gegankt den char lösch ich mal"

@Mabusian: Soweit ich richtig informiert bin ist der von dir geschilderte Sachverhalt nicht richtig bzw habe ich niemand übel nachgeredet. Zu dem Zeitpunkt als Cutholen die Daten haben wollte war der Thread im Forum nicht mehr zugänglich sprich die Daten aus dem Netz (Zeuge: me myself and I und n bisschen Popcorn beim verfolgen der Threads). Das weitergeben dieser Daten an dritte(Cutholen) von Valandir ist somit nicht zulässig auch nicht wenn er(Cutholen) Mitglied des Forums ist bzw die Daten Ihn(Cutholen) betreffen, so wie ich das verstanden haben unter andere deswegen weil der entsprechende Beitrag nicht mehr online war. Btw interessiert mich das auch gar nicht im Detail, macht doch alle was ihr wollte, wollte nur meine Meinung kundtun, euch den Gang zum Anwalt sparen, eine Rat geben, in den Wind schlagen darf man Ihn auch und btw is es das was ich meine, darum geht es hier doch gar nicht bzw sollte es nicht gehen...

@Cutholen: nicht falsch verstehen bitte, dein Vorgehen ist nachzuvollziehen und auch nach meinem Wissen her gesetzeskonform, aber wer mit Steinen ála "das darfst du net machen" wirft(damit mein ich wieder nicht dich sondern andere die sich nun angesprochen fühlen), sollte auch wissen dass die Weitergabe solcher Daten an deine Person ebenso zu einem Problem werden kann. Mehr wollte ich damit nicht sagen...

Share this post


Link to post
Share on other sites

@ cutholen

hier scheint es ein problem mit der zuständigkeit zu geben.

da nach tagen keine reaktion von turbine auf die hinweise der lücken kamen,

sind einige der meinung GM und Suport sind nicht zuständig.

an wem kann man sich wenden wenn man sicherheitslücken findet ?

Share this post


Link to post
Share on other sites

So wie ich das mitbekommen habe sind die hash nicht crackbar, da der salt nicht gepostet wurde.

Außerdem hast du Cutholen dem Valandir eine Straftat "untergejubelt", obwohl das nicht in deinem Sinne war und Valandir wohl nur helfen wollte.

Share this post


Link to post
Share on other sites

@ cutholen

an wem kann man sich wenden wenn man sicherheitslücken findet ?

Natürlich an Sapience.

Nur darf man eben nciht erwarten, dass innerhalb von 5 Minuten eine Antwort erfolgt.

So wie es aussieht hat es ja nur ein paar Stunden gedauert, bis das Forum dicht gemacht wurde.

Die müssen das ja erst mal prüfen und nachvolziehen können.

Ich kann mir nämlich nicht vorstellen, dass es wie es hier geschrieben wurde tagelang gedauert hat.

Wie ich die Threads im Turbine-Forum verfolgt habe, hat das höchstens 24 Stunden gedauert. Und das ist eine völlig annehmbare Zeitspanne.

Share this post


Link to post
Share on other sites

@Cutholen: nicht falsch verstehen bitte, dein Vorgehen ist nachzuvollziehen und auch nach meinem Wissen her gesetzeskonform, aber wer mit Steinen ála "das darfst du net machen" wirft(damit mein ich wieder nicht dich sondern andere die sich nun angesprochen fühlen), sollte auch wissen dass die Weitergabe solcher Daten an deine Person ebenso zu einem Problem werden kann. Mehr wollte ich damit nicht sagen...

Die Weitergabe des Posts der gelöscht wurde, mit genau meinen Daten, nicht denen der anderen beiden betroffenen ist bestimmt nicht in irgendeiner Form gesetzeswidrig, und nach mehr habe ich auch nie gefragt, siehe auch

hier scheint es ein problem mit der zuständigkeit zu geben.

da nach tagen keine reaktion von turbine auf die hinweise der lücken kamen,

sind einige der meinung GM und Suport sind nicht zuständig.

an wem kann man sich wenden wenn man sicherheitslücken findet ?

Ich habe mich bei solchen Problemen immer direkt an die zuständige Stelle gewandt, Gab es grobe Exploitmöglichkeiten oder ähnliches die ich entdeckt habe oder von denen mir berichtet wurde, aber ich immer den Weg über Maneki/Amaurea und von dort nach Turbine gewählt. Oft hat mir Aglarinarmarth geholfen diese Sachen weiterzuleiten, er hatte nen guten Draht zu den zuständigen Personen. Der direkt nicht öffentliche Weg scheint der richtige. Sollte die entsprechende Stelle nicht innerhalb faire Reaktionszeiten reagieren, kann man immernoch den Weg der Öffentlichkeit wählen. Ich habe dies bei Lotro einmal während des LI-Exploits gewählt, daraufhin wurde reagiert. Das war aber nachdem die üblichen Stellen nicht reagiert hat.

An Freundlich stelle hätte ich den direkten Kontakt mit Sapience oder Celestra gewählt, ggf. einen Deutschen Forenmod als Kontaktperson genutzt. Gezielt gute Informationen an der richtigen Stelle führen oft zu deutlich schnelleren Reaktion.

So wie ich das mitbekommen habe sind die hash nicht crackbar, da der salt nicht gepostet wurde.

Außerdem hast du Cutholen dem Valandir eine Straftat "untergejubelt", obwohl das nicht in deinem Sinne war und Valandir wohl nur helfen wollte.

1. Weiß ich nicht wie Turbine die Passwörter speichert, aber das veröffentlichen der Email adresse zum entsprechenden Account mit passenden Hash-Passwort ist aufjedenfall eine deutliche Sicherheitsgefährdung meines Accounts, wer das nicht so sieht ist blind.

2. Habe ich das? Benenne mir die Straftat die ich Valandir untergejubelt habe. Um Welche Daten ich gebeten habe, habe ich hier mehrfach benannt.

Share this post


Link to post
Share on other sites

2. Habe ich das? Benenne mir die Straftat die ich Valandir untergejubelt habe. Um Welche Daten ich gebeten habe, habe ich hier mehrfach benannt.

Schon klar, aber er hat wohl aus gefälligkeit oder freunschaft dir ips laut dem Beweisbild gegeben um "freundlich" dingfest zu machen

(Das durfte er nicht und er kann jetzt deswegen belangt werden (laut Sala), du hast natuerlich keinen fehler gemacht)

Aber das musst du aber mit ihm abklären.

Share this post


Link to post
Share on other sites

@Cutholen

Deine Daten sind mittlerweile im Netz unterwegs und werden an einigen Stellen im Zuge der Nachrichten zu diesem Vorfall genannt. Das mögen nicht viele Daten sein, aber in meinem Falle könnten ähnliche Informationen dazu führen, dass jemand dahinter kommt, welche nichtöfffentliche Email-Adresse ich verwenden. Das würde mir auch nicht schmecken, und dass jemand mal eben in die Datenbank eindringt, um sich widerrechtlich sensibler Daten zu bemächtigen, um seinen Standpunkt in einer Forendiskussion zu untermauern, ist ein Unding. Ich würde da auch kräftig auf den Tisch hauen, hoffe allerdings, dass es auch dabei bleibt.

@All

Jetzt tut doch nicht so, als sei Valandir ein noch schlimmerer Finger. Was Valandir getan hat oder angedeutet hat, ist auch nicht in Ordnung, aber mitwillig in eine Datenbank einzudringen um ... na steht doch alles schon oben ... ist eine ganz andere Geschichte. Alle Seiten haben hoffentlich ihre Lektion gelernt.

@freundlich

Das ist hoffentlich kein Sreenshot einer PM. Private Korrespondenz hat in einem Thread nichts zu suchen.

Share this post


Link to post
Share on other sites

@Cutholen: Ob die geposteten Daten deinen entsprechen weiss keiner ausser Dir, der Thread wurde gelöscht/gesperrt bevor du dazu Stellung nehmen konntest. Ausserdem wurden in dem Post nicht nur DEINE angeblichen Daten offengelegt sonder auch die angeblichen Daten anderer User. Wenn Valandir Dir diesen Post weitergibt dann hat er zum einen zwei andere Userdaten an dich weitergegeben, wenn er das weggelassen hat dann hat er dennoch angenommen dass der Post/die Daten richtig ist/sind und sie wirklich den Deinen entsprechen, woher er das weiss ka, sagt ihr es mir. Was aber wenn es nicht deine Daten gewesen wären und er somit Daten dritter weitergegeben hat, ausserdem is ne HASH auch sowas von intim da kann deine Adresse nicht mithalten...alles hätte wäre wennste könnste und das eigentliche Thema geht verloren...daher bin ich raus, macht was ihr wollt, sollte es mal wieder zu einer sinnvollen Diskussion zu einem Sicherheitsproblem bei HDRO kommen informiert mich üder meine Turbine-Daten ersichtlich in der DB.../wsp freundlich oder so(Achtung Sarkasmus)

Share this post


Link to post
Share on other sites

Cutholen hat anzeige erstattet oder sonst was *punkt*

Valandir hat sich Strafbar gemacht *punkt*

Freundlich hätte lieber die Daten zensieren soll *punkt*

Anstatt hier ueber Nichtigkeiten zu reden, die eh keiner mehr Ändern kann drückt mal lieber den "Gefällt mir" button auf facebook damit wir updates bekommen.

Denn mich interessiert es nicht die Bohne (ich glaube die meisten Interessiert es nicht außer die drei da oben) ob jetzt Anzeigen erstattet worden sind oder nicht, ich will Updates haben.

Share this post


Link to post
Share on other sites

Oh ja. Und die Image-URL habe ich gespeichert. Sorry, Vala, aber das war völlig daneben.

Vllt hätte er bei der Fifa anfangen sollen, wobei ich gar nicht wissen will was er noch so alles weitergibt an 3te leute.

Share this post


Link to post
Share on other sites

@freundlich

Das ist hoffentlich kein Sreenshot einer PM. Private Korrespondenz hat in einem Thread nichts zu suchen.

ist es - und natürlich auch ungenehmigte Veröffentlichung...

aber nach dem "Einbruch" bei Turbine fällt das eher unter ferner liefen

nach all dem Kindergartenzirkus hier bleibt nur abzuwarten, was Turbine macht...

:z

Share this post


Link to post
Share on other sites

Ich denke, hier haben alle nur in guter Absicht gehandelt, "freundlich" im Sinne der Community und der Sicherheit der Accounts, Valandir im Sinne der Betreiber des Forums. Leider haben beide in dieser sensiblen und schwierigen Angelegenheit Fehler gemacht. Letztendlich ist aber kein Schaden entstanden und es wird wohl auch kein Schaden entstehen, und daher hoffe ich, dass alle Seiten einen Haken unter das Thema machen können, ohne weitere Schritte einzuleiten. Dass man mit Benutzerdaten sehr vorsichtig umgehen muss, dürfte nun ohnehin jedem klar geworden sein. Man sieht je, welche Kreise das in Windeseile ziehen kann, und ehe man es sich versieht, redet man von Datenschutzbauftragten und rechtlichen Schritten.

ist es - und natürlich auch ungenehmigte Veröffentlichung...

Ok, vielleicht war der Lerneffekt in Sachen Privatsphäre und Datensicherheit doch noch nicht groß genug :)

Freundlich hätte lieber die Daten zensieren soll *punkt*

Freundlich hat sich gar nicht erst irgendwelcher Daten bemächtigen geschweige denn veröffentlichen dürfen, sondern sein Wissen an Sapience o.Ä. weiter leiten müssen *doppelpunkt* *dreifachesausrufezeichen* *einseinself*

Share this post


Link to post
Share on other sites

Ist ja bezeichnend, dass der Admin die Weitergabe von sensiblen Daten durch ihn als Kindergartenzirkus abtut.

Ob ein Schaden entstanden ist sieht man erst, wenn in kürze die Accounts der drei User leergeräumt werden.

Denn wie es aussieht sind das nun die einzigen Daten die noch frei einsehbar sind, nachdem sie hier veröffentlicht wurden.

Share this post


Link to post
Share on other sites

Offensichtlich ist noch nicht allen klar geworden, was hier abgelaufen ist. Der eine postet Daten, die er aufgrund einer Sicherheitslücke auslesen konnte, der andere gibt Daten, die nichts in Dritte Hände verloren haben, genau an diese Dritten weiter.

Kurz: freundlich und Valandir spielen in der gleichen Liga.

MueR täte gut daran, dem auskunftsfreudigen Admin die Rechte zu entziehen. Nur mal so meine Meinung...

@Cutholen: Da Du die Daten auf einem Wege erhalten hast, der rechtlich nicht abgedeckt ist, kannst Du damit genau so gut Deine Wohnung tapezieren. Sie sind wertlos. Kein Rechtsbeistand wird sie verwenden können. Klassischer Fall von Verfahrensfehler.

Share this post


Link to post
Share on other sites

Offensichtlich ist noch nicht allen klar geworden, was hier abgelaufen ist. Der eine postet Daten, die er aufgrund einer Sicherheitslücke auslesen konnte, der andere gibt Daten, die nichts in Dritte Hände verloren haben, genau an diese Dritten weiter.

Kurz: freundlich und Valandir spielen in der gleichen Liga.

MueR täte gut daran, dem auskunftsfreudigen Admin die Rechte zu entziehen. Nur mal so meine Meinung...

+1

Was hier gerade abgeht ist unterste Schublade, speziell von einem Mod in Valandirs Position. Ich werde mein Account hier löschen bzw. löschen lassen.

Snow

Share this post


Link to post
Share on other sites

Ersteinmal, erste Post ja ich weis, man wird dann nicht ernst genommen, lebe ich mit.

Zweitens, danke freundlich, das du mich darauf aufmerksam gemacht hast das ich meib Pasw. ändern muss.

Drittens Cuthelion verhält sich richtig, und nimmt sein recht war dagegen anzugehen was von Ihn veröffentlicht wurden ist, dazu gibt es nichts zu disskutieren.

Viertens, warum regt man sich nur über die Straftat von freundlich auf, aber nicht die von Valendir, beides straftaten.

Und jetzt zum eigentlichen Thema: Ich war selbst opfer eines Hack angriff, und wurde anschliesend noch Lebenslang gespeert wegen Goldesellen, dies ist WÄHREND der gehackten Zeit geschehen, dies hat aber weder den Support in den USA noch den Support in Deutschland interessiert, die haben beide nur Geschrieben das Sie auf keine meiner Mails oder Telefonate mehr reagieren werden. Erst ein Brief von meinem Rechtsbeistand ( ja ich habe es wirklich gemacht und habe meinen Anwalt eingeschaltet, da ich eine menge Zeit und Geld in meine Chars gesteckt hatte/habe) hat erbracht das mein Account wieder frei geschaltet wurden ist. Achja, dies geschah vor ca. 3 Monaten und ein Brief in dem sinn gemäss stand: Ich nicht schuld, da account gehackt wurden ist durch vermeintliche sichertslücke in Ihren system, geben mandat geld wieder oder account.....

Das ganze bitte ins anwalt Deutach übersetzen und schon habt Ihr den Brief, by the way, meine Rechtschutz versicherung hat das bezahlt, möchte keine Werbung machen, aber die Gesselschaft fängt mit "A" an :)

Dieses erlebnis hat mich zu dem entschluss gebracht, das der Support von Turbin der schlechteste ist den ich je erlebt habe. Das so eine, wohl recht einfache, Sicherheitslücke schon länger

besteht wundert mich erlich gesagt nicht, aber es erschreckt mich trotzdem..... Ich bin nun ein wenig paranoid und änder mein Pasw. Jeden Abend *g*.

Die frage ist nun ob sich das ganze lohnt.

An freundlich gerichtet, mit veröffentlichungen von PNs machst du die sache nicht besser, du scheinst massives wissen bezüglich Internet und sicherheitslücken zu haben, nutze Sie lieber auf eine andere art und weise, und mache es nicht noch schlimmer, dies ist nur ein gut gemeinter rat!

Share this post


Link to post
Share on other sites

@Cutholen: Da Du die Daten auf einem Wege erhalten hast, der rechtlich nicht abgedeckt ist, kannst Du damit genau so gut Deine Wohnung tapezieren. Sie sind wertlos. Kein Rechtsbeistand wird sie verwenden können. Klassischer Fall von Verfahrensfehler.

Es gibt kein wirksames "Beweisverwertungsverbot" in DE. Eine große Schwäche in unserem Rechtssystem.

Share this post


Link to post
Share on other sites

Fassen wir mal zusammen:

Cutholen gegen freundlicher

Nach meine Einschätzung wird sich das ganze verlaufen, Cutholen hat vielleicht die IP mit der man im besten fall auf User freundlicher kommt, aber was dann? Cutholen müsste beweisen dass die Daten die er gepostet hat stimmen und wirklich von der Turbine DB ausgelesen wurden, kann er sich ja auch nur ausgedacht haben, solange Turbine hier nicht mitklagt wird freundlicher nicht viel passieren. Meiner Meinung nach ist Turbine gut beraten dort nicht zu klagen.

Turbine gegen freundlicher

Meiner Meinung nach werden die Anwälte von Turbine nichts unternehmen. Die daraus folgenden negativ Schlagzeilen sind für ein Unternehmen nicht förderlich, vor allem wenn rauskommt dass man zu langsam war und dass man z.B. Kreditkarten Nr. auslesen konnte. Des Weiteren ist User freundlicher so viel mir bekannt kein in den USA lebhafte Person, also Ausländer, was die Sache noch mal verkompliziert. Außerdem war bei nachgewiesen fahrlässigen Umgang mit Userdaten eine gegenprotzes den Turbine unter umständen verlieren könnte und Leute Schadensersatz fordern könnten ebenfalls nicht gut.

Freundlicher gegen Forenbetreiber + Valandir

Wird nur zustande kommen wenn Cutholen Rechtlich Erfolg gegen freundlicher hat. Wird aber auch nicht viel rauskommen. Dennoch muß man zugeben das in dieser Situation der Admin Valandir großen Mist gebaut hat, man gibt nicht so einfach Daten raus. Also Admin einer Hompage hat man gewisse Pflichten und muß diesen nachkomme. Das betreiben eines Forums ist in… Kommando zurück, in Deutschland ist das betreiben eines Forums etwas komplizierter, da ich aber gerade sehe das der Domainen Inhaber in NL Wohnhaft ist und die Server in NL vermutlich stehen gilt hier kein deutsches Recht. Das Forum hat z.B. auch kein Impressum usw… Es gilt also das NL Recht, und ich meine gelesen zu haben das es dort sehr locker zugeht.

Fazit

Wird nicht viel passieren

Ich könnte mir gut vorstellen dass der User freundlicher gemütlich im Starbucks seines Vertrauens war und dort gewisse Sachen erledigt hat ;-) Ich meine man stößt nicht einfach so auf ein Sicherheitsloch, man probiert gewisse Sachen aus, die Leute die das machen Wissen normalerweise genau dass dies nicht erlaubt ist.

Anmerkung

Da im Forum kein Impressum und Kontaktdaten ersichtlich sind, würde ich mir noch mal Gedanken machen ob dieses Forum Vertrauenswürdig ist!

PS: Das sind persönliche Einschätzungen, ich habe kein Jura studiert.

Share this post


Link to post
Share on other sites

...Sorry, Vala, aber das war völlig daneben.

Das war es und Valandir ist daher als Mod zurückgetreten:

As some of you have no doubt read, there were some allegations made by freundlich in his thread describing the discovery of the massive security issue with Turbine's system. He claimed that Valandir, one of my moderating staff, provided his IP address and other private information to a user. I have investigated this claim and found them to be true.

Valandir has apologized for what he called "a stupid mistake". I've asked him to give up his administrator position, which he accepted. Hopefully, no one will hold grudges against him, as he has been a great help in establishing this community and in archiving the Codemasters forums.

I would like to apologize for this incident. Moderator conduct and instructing moderators how to handle private information is my responsibility. I failed to provide accurate instructions on that part. I can only hope that incidents like this will never happen again, I will try to provide a more accurate set of instructions towards everyone on the moderating team. I consider this matter closed now, I hope you can do too.

Share this post


Link to post
Share on other sites

http://www.lotro.com/news/latestnews/1497

Vor Kurzem wurden wir darüber in Kenntnis gesetzt, dass unsere HdRO Community Web-Anwendungen Sicherheitslücken aufweisen. Der Schutz unserer Spieler hat für uns höchste Priorität und wir nehmen alle potentiellen Probleme in diesem Zusammenhang sehr ernst. In direkter Konsequenz haben wir alle unsere Foren bis auf Weiteres geschlossen, um die Situation zu untersuchen. Diese Untersuchung dauert gegenwärtig noch an und die Foren werden erst dann wieder geöffnet werden, wenn dieser Prozess abgeschlossen ist.

Als zusätzliche Sicherheitsmaßnahme raten wir allen Spielern auf http://myaccount.turbine.com ihre Passwörter zu ändern. Bitte denkt daran einzigartige, schwer zu erratende Passwörter zu wählen, die Ihr nicht gleichzeitig auch für andere Onlinedienste verwendet. Darüber hinaus sollten alle Nutzer auf ungewöhnliche Konto-Aktivitäten achten und diese umgehend dem Turbine-Kundendienst melden.

Vielen Dank für Eure Geduld. Wir freuen uns darauf, in Kürze alle Bereiche der Community wieder für Euch bereitstellen zu können.

Bitte folgen Sie uns @LOTRO auf Twitter oder klicken Sie auf den „Gefällt mir“-Button auf Facebook, um während der Webserver-Wartungsarbeiten Updates zu erhalten.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×