Blizzard veröffentlichte auf der offiziellen Website von Battle.net ein Statement, mit dem sie mitteilen, dass das eigene Sicherheitsteam einen nicht authorisierten und illlegalen Zugriff auf das interne Netzwerk festgestellt habe.
Das Battle.net wurde gehackt - Blizzard untersucht den Fall und führte bereits Sicherheitsmaßnahmen durch. Unter dem Text haben wir nochmals die wichtigsten Links eingefügt.Entsprechende Schritte wurden bereits eingeleitet, um den Zugriff der Angreifer zu unterbinden. Außerdem habe man sich mit den Behörden und anderen Sicherheitsexperten in Verbindung gesetzt, um den Vorfall zu untersuchen.
Derzeit würde es laut Blizzard keinen Hinweis darauf geben, dass Kreditkartendaten, Rechnungsadressen und auch die richtigen Namen der User stibitzt wurden. Ganz ausschließen will es Blizzard wohl nicht, die Untersuchungen laufen aber im Moment noch.
Die Angreifer hatten allerdings Zugang zu einer Liste mit den Email-Adressen aller Battle.net-Nutzer außerhalb Chinas. Spieler aus Nordamerika bzw. Nutzer, die Zugriff auf die nordamerikanischen Server haben (User aus Nordamerika, Lateinamerika, Australien, Neuseeland und Südostasien), müssen ein wenig mehr fürchten. Dort soll auch ein Zugriff auf die persönlichen Sicherheitsfragen und den dazugehörigen Antworten im Zusammenhang mit dem Authenticator erfolgt sein. Dennoch sollen diese Daten nicht ausreichen, damit die Angreifer Zugriff zum Account der betroffenen Nutzer erhalten.
Weiter heißt es: "Wir wissen außerdem, dass auf kryptographisch unleserlich gemachte Versionen von Battle.net-Passwörtern (keine tatsächlichen Passwörter) von Spielern auf nordamerikanischen Servern zugegriffen wurde. Wir benutzen das „Secure Remote Password“-Protokoll (SRP), um diese Passwörter zu schützen. Dadurch wird die Extraktion des eigentlichen Passworts extrem erschwert und es bedeutet außerdem, dass jedes Passwort einzeln entschlüsselt werden müsste."
Blizzard rät nun, dass alle User der nordamerikanischen Server ihr Passwort ändern sollten. Sollte jenes auch bei anderen Diensten zum Einsatz kommen, dann sollte es auch dort mit geändert werden.
Blizzard: "In den kommenden Tagen werden wir Spieler auf nordamerikanischen Servern dazu auffordern, ihre Geheimen Fragen und Antworten über einen automatisierten Prozess zu ändern. Zusätzlich werden wir Nutzer des Mobile Authenticators dazu auffordern, ihre Authenticator-Software zu aktualisieren. Nur zur Erinnerung: In Phishing-E-Mails wird oft nach Passwörtern oder Login-Informationen gefragt. In E-Mails von Blizzard Entertainment wird niemals nach Passwörtern gefragt. Wir bedauern alle Unannehmlichkeiten, die für euch entstehen, und verstehen natürlich, dass ihr Fragen habt. Weitere Informationen findet ihr deshalb hier."
09.08.2012 Blizzard -> geklaute Daten: Zugriff auf BattleNet, Userkonten ausserhalb Chinas, Geheimfragen
19.07.2012 DropBox -> geklaute Daten: ~300 Nutzerdaten, eMailadressen und Passwörter
06.07.2012 GMX -> geklaute Daten: eMail-Adressen, persönliche Daten, Anzahl unbekannt
04.07.2012 Yahoo! -> geklaute Daten: 450.000 eMail-Adressen und Passwörter in Klartext
08.06.2012 eHarmony -> geklaute Daten: 1.500.000 Datensätze und Passwörter, die entschlüsselt werden konnten
08.06.2012 League of Legens gehackt -> geklaute Daten: persönliche Daten, eMail, Passwörter
07.06.2012 Last.fm -> geklaute Daten: 2.500.000 Zugangsdaten inklusive Passwörtern, die entschlüsselt werden konnten
06.06.2012 LinkedIn gehackt -> geklaute Daten: 6,5 Millionen verschlüsselte Zugangsdaten
14.04.12 Computec Media gehackt -> geklaute Daten: unbekannt
02.03.12 Gamigo gehackt -> geklaute Daten: 11 Millionen Passwörter, 8 Millionen eMails
23.12.11 Trion Worlds gehackt -> geklaute Daten: unbekannt
12.12.11 Square Enix gehackt -> geklaute Daten: unbekannt
28.11.11 Nexon gehackt -> 13.000.000 Spielerdaten
11.11.11 Steam gehackt -> 35.000.000 Kundendaten
14.10.11 XBOX Live & Origin gehackt -> geklaute Daten: unbekannt
12.10.11 Sony gehackt (zum 2. Mal!) -> 93.000 Benutzerkonten
25.06.11 EA gehackt -> 18.000 Datensätze
17.04.11 Sony gehackt -> über 1.000.000 Kundendatensätze
Dezember 2010 Cryptic gehackt -> geklaute Daten: unbekannt
(mehr -> www.theorigin.de/content.php)
Und das ganze paranoide geschwafel trägt nur zur belustigung bei.
Jap. Hinzu kommt noch der mit "Sicherheit" begründete Onlinezwang für diablo 3. Hat ja gut geklappt. Da gibt man doch gleich seine Konto-Daten doppelt so gerne ein, damit man im Botverseuchten Echtgeld-Auktionshaus seine Kohle verzocken kann.
Viele haben nach dem Debakel bei Sony und ähnlichen Sprüchen in den Blizzard Foren noch laut getönt, wie sicher dort alles wäre und das man denen vertrauen könnte. Damals kam man mit dem Satz "kein System ist vollständig sicher" nicht weit...
Gut gemeinter Rat, er hat nicht ganz unrecht und dies ist keine Paranoia.
Nicht umsonst wird in den USA von Firmen mittlerweile die Zugangsdaten von Facebook gefordert sowie alle Nicht-Nutzer von Facebook kategorisch als potentielle Straftäter und psychisch angeknackste menschen gesehen. :)
www.dailymail.co.uk/.../Is-joining-Facebook-sign-youre-psychopath-Some-employers-psychologists-say-suspicious.html
Man würde gerde bei einer größeren Firma anfangen wollen (oder hat kontakt zu einem Headhunter), dann soll es ja illegale Informationen geben, wer was gemacht hat oder nicht (teilweise auch in google, einfach mal den Namen eingeben). Gedanke ist, ob man durch solche geleakten Daten (hat vielleicht Rechnungsdaten irgendwo Hinterlegt oder k.a. was) sich schneller disqualifiziert als wenn die Daten nicht geleakt wären (und weiße mal nach, das die Absage wegen nicht erlaubten Infos gekommen ist; die haben sich einfach für einen anderen Entschieden, müssen keine Begründung angeben).
Wer sich mit der Bewerbungs-Mailadresse irgendwo Registriert ist selber schuld. Mal abwarten wann die ersten Handy-Itemshop kommen.
Mal ganz davon
Mal ganz davon abgesehen, wird das vielleicht bei Illegalen Arbeitgeber-Seiten landen wer WoW zockt..., was bei einer Einstellung dann sehr Negativ auffallen kann?
:D
Du lebst in einer sehr verdrehten, paranoiden Welt, oder?
Mal ganz davon
Mal ganz davon abgesehen, wird das vielleicht bei Illegalen Arbeitgeber-Seiten landen wer WoW zockt..., was bei einer Einstellung dann sehr Negativ auffallen kann?
1. Lol mit dem Arbeitgeber xD
2. Wer benutzt seine Arbeitsemail Adresse bzw Bewerberadresse für spiele ? selbst schuld.
Mal ganz davon abgesehen, wird das vielleicht bei Illegalen Arbeitgeber-Seiten landen wer WoW zockt..., was bei einer Einstellung dann sehr Negativ auffallen kann?
Wer also bis dahin nicht sein Passwort geändert hat, ist schon fast selbst schuld.
Im Internet GIBT ES KEINE SICHERHEIT. Wer das nicht einsieht ist tatsächlich selbst schuld.
Und wer generell starke passwörter nutzt, diese gelegentlich ändert und ein bisschen aufpasst, wohin er suft und welche E-Mails man anklickt kann doch recht viel selbst machen und muss die verantwortung nicht immer auf andere schieben.
Wie soll ers denn deaktivieren, wenns fürs einloggen auf der seite auch den authenticator brauchst.
Wer also bis dahin nicht sein Passwort geändert hat, ist schon fast selbst schuld.
Im Internet GIBT ES KEINE SICHERHEIT. Wer das nicht einsieht ist tatsächlich selbst schuld.
Und wer generell starke passwörter nutzt, diese gelegentlich ändert und ein bisschen aufpasst, wohin er suft und welche E-Mails man anklickt kann doch recht viel selbst machen und muss die verantwortung nicht immer auf andere schieben.
Klar besteht eine. Es wird aber eine anderer Server befragt als der PW Server. In einem Firmennetzwerk mit Token sind die beiden Server normalerweise (wer so schlau ist und beides auf dem DC installiert gehört...) getrennt. Einer für die normale Anmeldung und dann wirste vom anderen Server nochmal abgefragt. Knackbar ist alles wenn man genug Zeit hat. Aber die dürfte kaum gereicht haben.
Natürlich kann das sein - aber eine Verbndung muss irgendwie bestehen.
Es geht hier aber doch darum, dass der Angreifer DB-Zugriff hat. Nicht um gesammelte Passwörter durch Keylogger.
Dass es andere Mechanismen gibt, ist mir klar.
Dazu müssten sie den Code vom Authenticator kennen, ich glaube kaum das er zusammen mit den anderen zusammen liegt....
Wenn man nur den Namen und PW wissen müsste, wäre er ja sinnlos, denn das ist das einfachste was man raus bekommt, dafür muss man nicht mal Blizzard Hacken sonder nur den User.
Selbst wenn das Passiert, wird man ja per SMS benachrichtigt und kann Schnell Handeln.
Dass es andere Mechanismen gibt, ist mir klar.
Es würde mich aber schon wundern wenn der Authentikator-Token nicht in ner anderen gesondert gesicherten DB abgelegt wird.
Da stelle ich wenigstens alle Daten selbst ins Netz...
Wenn es stimmt, dann sind nur die Nord-Amerika Accounts gefährdet auch
mit Authentifikator ein Problem zu haben. Falls auf den Server zugegriffen wurde.
Wenigstens war hier ein wenig mehr Sicherheit im "Spiel" als bei Zony und Rüft
damals...und eine klare Informationspolitik.
Dennoch - der Authenticator bietet in diesem Fall keinen Schutz mehr. Das wollte ich sagen. Weil man die generierten Keys reproduziern kann.
Dass es andere Mechanismen gibt, ist mir klar.
Und der Authenticator-Code wird mittels des Tokens und der Serverzeit generiert.
Ich glaub du stellst dir das zu einfach vor. Neben dem zusatz ist auch noch immer die standort controlle mit im spiel.
Naja, der hilft dir in dem Falle auch nicht weiter. Wenn der Angreifer an Benutzername und Passwort ran kommt, kann er auch an den Authentikator-Token ran.
Und der Authenticator-Code wird mittels des Tokens und der Serverzeit generiert.
ABER - immerhin informeiren sie ihre Kunden sofort und umfassend. Das passiert leider nicht immer so.
Bekannt ist das seit 4. August. Aber kann halt jedem mal passieren.
Schön ist allerdings, das die Begründungen für den DIII-Online-Zwang obsolet geworden sind. Angesichts der großen Anzahl von Bots sollte es wohl mittlerweile auch dem größten Blizzard-Fan aufgefallen sein...
ABER - immerhin informeiren sie ihre Kunden sofort und umfassend. Das passiert leider nicht immer so.
Und: Ob man nun 3 oder 4 Spammails bekommt, die angeblich von Blizz kommen macht den Braten auch nicht fett...ich werd auch als Nicht-Nordeuropäer einfach mal wieder das PW ändern - vorsorglich.