# Datensicherheit bei Trion



## La Saint (16. März 2011)

Im offiziellen Forum kreist gerade der Hammer. In unzählichen Posts beschreiben Leute, wie ihre Accounts gehackt wurden. Schon allein die Menge und die kurze Zeit, in der es passiert ist, erscheint seltsam. Vor allem bei einem Spiel, das gerade mal ein paar Tage auf dem Markt ist. Soviel ungeschützte Rechner oder DAUs, die auf einer dubiosen Webseite ihr Passwort veröffentlichen, kann es garnicht geben.

Natürlich werden die Opfer des Accountdiebstahls, wie bei Onlinespielen üblich, im Herstellerforum nur mit Häme überschüttet. Wobei "garantiert selber Schuld" noch die harmloseste Variante ist. Und offizielle Hilfe gibt es auch nicht, weil der Support bei Trion anscheinend die gleiche Qualität hat wie der bei Funcom nach dem Release von AoC.

Jetzt zeichnet sich aber ein anderes Bild ab. Es gibt inzwischen genügend Posts von Leuten mit offensichtlichem Sachverstand, die logisch verständlich und technisch nachvollziehbar schildern, das ihr Account nicht lokal bei ihnen gehacked worden sein kann. Das die Accountdaten aus einer anderen Quelle geleaked worden sein müssen.

Und jetzt reagiert Trion auf einmal. Man will eine sogenannte "Münzsperre", die wörtliche Übersetzung von coin lock, einführen. Hier mal ein Zitat aus einem Community Manager Post (oder wie immer sich diese Leute bei Trion nennen):

*


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 Zitat von **Ravna 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 Euer Account wird in Zukunft nur noch begrenzten Zugriff auf eure Charaktere haben, solltet ihr euch von einem deutlich anderen Standort oder von einem andere PC aus ins Spiel einloggen.
 Falls euer Account von einem „Coin Lock" betroffen ist, dann werden wir euch eine Email an die Email Adresse, die in eurem Account hinterlegt ist, senden (normalerweise eure Spiel Login Email Adresse). 
Ravna *​Diese Aktion sagt mir, das die Accounts nicht von asiatischen Goldfarmern gehackt werden, sondern die Accountdaten vermutlich auf einem USB-Stick bei Trion rausgewandert sind.

Nette Info am Rande. Als ich gerade das erste Mal seit ca. einer Woche die Accountverwaltung betreten habe, mußte ich mit erschrecken feststellen, daß ich noch angemeldet bin. Das ist mehr als seltsam, denn ich melde mich prinzipiell IMMER händisch ab. Egal, ob Online-Banking, Spieleaccount oder beim Deutschen Rechtschreibforum (hrhr).

Okay, ich KANN es auch vergessen haben. Das ist zwar unwahrscheinlich, aber immerhin möglich. Aber wieso wird die Accountverwaltung dann nicht nach 15 Minuten automatisch geschlossen, wenn keine Aktivität mehr vorhanden ist? Sowas läßt auf einen ziemlich fahrlässigen Umgang mit Kundendaten bei Trion schließen.

cu
Lasaint


----------



## Lari (16. März 2011)

Alles nur Spekulation.
Desweiteren zum Support von Trion:
Ja, die Tickets dauern ewig lange. Wenn ich dann aber von Gildies höre, sie werden von GMs angesprochen, weil sich jemand per Ticket über Artefakt-Klau oder Quest-Mobdiebstahl beschwert haben und was sie dazu zu sagen hätten, dann wunderts mich ehrlich gesagt nicht.
Der Support wird überschwemmt von absolut hirnrissigen Tickets, so dass mitunter auch die wirklich wichtigen untergehen.

Frage an dich: was hat bitte eine Münzsperre mit einem USB-Stick zutun?
Der Coin-Lock ist eine super Methode um Hackern aus dem Ausland das Hacken zu vermiesen, da sie eh nichts machen können. Das System ist kein Eingeständnis, sondern ein Lösungsansatz.

Weiter im Text: wieso erwischt es zum Beispiel keinen in meinem Umfeld? Wenn das Leck bei Trion zu finden wäre, dann hätte es auch Hacks bei uns geben müssen. Hacks über die nicht abgemeldete Session halte ich für unwahrscheinlich, zumal ich immer ausgeloggt werde, obwohl ich es nicht händisch mache.


Ohne konkrete Hinweise oder Eingeständnisse seitens Trion würde ich ihnen erstmal nicht den schwarzen Peter zuschieben.


----------



## Azerak (16. März 2011)

La schrieb:


> Natürlich werden die Opfer des Accountdiebstahls, wie bei Onlinespielen üblich, im Herstellerforum nur mit Häme überschüttet. Wobei "garantiert selber Schuld" noch die harmloseste Variante ist. Und offizielle Hilfe gibt es auch nicht, weil der Support bei Trion anscheinend die gleiche Qualität hat wie der bei Funcom nach dem Release von AoC.



Das Forum besitzt KEIN Unterforum für Support im Bereich Accounts/Hacks. Die CMs KÖNNEN nicht helfen.
Die könnten maximal weiterleiten und das ist NICHT ihr Job. Es ist eine Frechheit sich an Support Email/Ticket vorbei drängeln zu wollen indem man ein Forum Thread eröffnet
und dann rumflennt.





La schrieb:


> Und jetzt reagiert Trion auf einmal. Man will eine sogenannte "Münzsperre", die wörtliche Übersetzung von coin lock, einführen. Hier mal ein Zitat aus einem Community Manager Post (oder wie immer sich diese Leute bei Trion nennen):



FALSCH. Sie reagieren nicht "auf einmal". Es gab während der Beta / Headstarts bereits einige gehackte Accounts und bereits da haben sie angefangen nach Lösungen zu suchen.
Solch eine Sicherung schütteln die sich nicht aus dem Ärmel.






La schrieb:


> Diese Aktion sagt mir, das die Accounts nicht von asiatischen Goldfarmern gehackt werden, sondern die Accountdaten vermutlich auf einem USB-Stick bei Trion rausgewandert sind.



Diese Aktion sagt dir rein  GAR NICHTS.





La schrieb:


> Nette Info am Rande. Als ich gerade das ee Mal seit ca. einer Woche die Accountverwaltung betreten habe, mußte ich mit erschrecken feststellen, daß ich noch angemeldet bin. Das ist mehr als seltsam, denn ich melde mich prinzipiell IMMER händisch ab. Egal, ob Online-Banking, Spieleaccount oder beim Deutschen Rechtschreibforum (hrhr).



Nette und völlig unnötige sowie nichts sagende "Info".
Man kann viel sagen wenn der Tag lang ist. Vlt hast du auch den Browser falsch eingestellt sodass er dich automatisch anmeldet.
Natürlich wirst du dies nun verneinen - was du nicht brauchst da es eh keine Absicherung gibt.


----------



## Berserkius (16. März 2011)

Zu geil über mehr, ganz deiner Meinung 

edit:

Der über über mir^^ warst schneller


----------



## Ginkohana (16. März 2011)

Sorry, ich komme auch aus der Sparte und muss sagen, dass die Vermutungen doch recht haltlos sind.

1. Accountdaten auf einen USB Stick ziehen und damit rauslatschen ist nicht so einfach wie man sich das als Laie vorstellt.
Interne bzw. kundenspezifische Daten sind in einem solchen unternehmen von mehreren Firewalls geschützt, sowohl interne- als auch externe-Firewalls, Access Control Lists, Packet Filter und Intrusion Detection System's was soviel heisst, dass nicht jeder X-Beliebige Mitarbeiter Zugriff auf diese hat und bei einem versuch auf diese zuzugreifen sofort geblockt wird.
2. Sind die Serverfarmen für die Kundendaten mit einer Sicherheit von 99,99% von den anderen Serverfarmen räumlich getrennt und extra Codeschlossgesichert, da kommt auch kein Praktikant mitm USB Stick inner Hand rein...
3. Kann man sich nicht zu 100% auf ein Avira, Norton oder MCAffee verlassen da viele nicht auf diverse Keylogger reagieren und kaum bis garkeinen Informationsaustausch untereinander haben was die Virussignaturen betrifft.
4. Wer sagt die Windows Firewall wäre sicher outet sich perse als Wannabe. Windows's Firewall hat an allen Ecken und Enden Löcher welche man nur nutzen muss.
5. Bin ich der Ansicht, dass Keiner der sogenannten Experten Zuhause auch nur ansatzweise die Ressourcen aufgewartet hat welche Mittelständischen Unternehmen zur Verfügung stehen um sein eigenes Home-System abzusichern und selbst dabei ist es nicht garantiert, dass das System sicher ist.
(Ich besitze kein IDS, ACLs, 2-3 Firewalls, eine DMZ etc.)
6. Man muss nun kein Hellseher sein um sagen zu können, dass ein Mensch offt mehrere Accounts in den Weiten des Netzes rumgammeln hat mit den gleichen Accountdaten wie er sie bei einem MMO nutzt.
Diese Accountdaten liegen häufig viel leichter erreichbar da als man es denkt, privat gehostete Foren bsp. sind NIE so sicher wie eines welches von einer Firma alá Trion gehostet wird.
(Ein schönes Beispiel findet man in der c't Ausgabe 1 2011 20.12.2010 Datenschutz-Fallrückzieher)

Ich hoffe ich konnte das etwas deutlich machen, dass die ganze Disskusion und die Anschuldigungen etwas absurd sind.
Sorry an alle RIFT Spieler, dass ich mich als Nicht-Rift'ler einmische aber das Wort "Datenschutz" hat mich angezogen. ^_^


----------



## Jesbi (16. März 2011)

Lari schrieb:


> Wenn ich dann aber von Gildies höre, sie werden von GMs angesprochen, weil sich jemand per Ticket über Artefakt-Klau oder Quest-Mobdiebstahl beschwert haben und was sie dazu zu sagen hätten, dann wunderts mich ehrlich gesagt nicht.



Oh mein Gott, sowas gibt es wirklich? 

Ansonsten hat der ganze Topic mal wieder einen faden Beigeschmack..
Hacks gab, gibt und wird es immer geben solange es Online Games gibt. 

Ich hoffe die Wiederherstellung läuft für die "Opfer" einigermaßen schnell ab.

OK, wenn ich mal betroffen sein sollte und gerade dann unbedingt zocken will, sind 5min schon zu lang. Auch wenn ich sonst nur 30min am Tag zocke. 

mfg


----------



## Schrottinator (16. März 2011)

Da wir es gerade von Datensicherheit haben und es hier einige gibt, die zumindest bei mir den Eindruck erweckt haben, dass sie sich mit dem Thema auskennen, stelle ich mal noch eine Frage dazu:

Und zwar geht es um den loggin. Man loggt sich nähmlich nicht mit einem Accountnamen sondern mit einer Email-Adresse ein. Ich habe als immer den faden Beigeschmack, dass dies ein ernsthaftes Risiko darstellen könnte, sowohl für den normalen Account als auch für den Email-Account.

Was meint ihr dazu?


----------



## Ginkohana (16. März 2011)

Schrottinator schrieb:


> Da wir es gerade von Datensicherheit haben und es hier einige gibt, die zumindest bei mir den Eindruck erweckt haben, dass sie sich mit dem Thema auskennen, stelle ich mal noch eine Frage dazu:
> 
> Und zwar geht es um den loggin. Man loggt sich nähmlich nicht mit einem Accountnamen sondern mit einer Email-Adresse ein. Ich habe als immer den faden Beigeschmack, dass dies ein ernsthaftes Risiko darstellen könnte, sowohl für den normalen Account als auch für den Email-Account.
> 
> Was meint ihr dazu?



Jain
Sicher ist es auf einem ungeschützten System ein Sicherheitsrisiko jedoch wie gesagt, von Seite der Entwirkler/Vertrieb/Hoster ist es kein Problem da die Daten dort sicher sind.
Wenn du dein System durch 1-2 Firewalls schützt, 2 Virenscanner hast + Sybot dann sollte das Gross der Trojaner etc. gefiltert werden.
(Ich sage nicht, dass Liveguard aktiv sein muss)

Weiterhin empfehle ich bei sowas für jedes Spiel eine eigene addy zu nutzen.
Eine Emailaddy heisst btw. nicht, dass man sich mit dieser einloggen kann.
Bei Arcor bsp. loggt man sich mit einem login namen ein nicht mit der Adresse


----------



## EisundFeuer (16. März 2011)

Ich kann (auch als Nicht-Rift´ler) nur empfehlen für solche Spiele eine separate Emailadresse einzurichten die man NIRGENDS sonst verwendet. Ansonsten liefert ihr nämlich mit etwas Google-fu den Leuten euren Accountnamen freihaus.


----------



## Tikume (16. März 2011)

Auch wenn es sicher nicht unmöglich ist, würde ich das doch eher als unwahrscheinlich einstufen. Es ist halt einfacher die Schuld woanders zu suchen.
Man muss ja auch nicht zwingend ein DAU sein (Der Ex-Buffed-Aggro Gnom wurde ja letztens auch gehacked), man kann auch einmal unvorsichtig gewesen sein oder Pech gehabt haben.


----------



## Grexan (17. März 2011)

Ich musste gestern Abend leider mit bedauern feststellen, dass meine 2 Chars pleite waren sowie alle items die nicht in irgend einer weise Seelengebunden sind verschwunden waren.


Dieser Computer wird nur für MMORPG benutzt. ( Browser oder auch emails brauch ich da nie )

Hab Computer mehrmals mit allerlei Software überprüft und nichts gefunden.

Email Adresse und Passwoert ist in dieser kombination wie ich Sie verwende einzigartig. Heisst ich habe nie die selben Passwörter und die lauten auch nicht auf irgend welche namen oder daten sondern sind willkürlich gemacht.


Vom GM noch keine Antwort bekommen diesbezüglich.

Ich bin kein Laie aber auch kein Genie was das angeht. Hat evtl irgendwer schon erfahrung damit gemacht ?

Ist mir in EQ / EQ2 / WOW / AION / DAOC usw nie passiert.

Grüsse
Grexan


----------



## La Saint (21. März 2011)

Tikume schrieb:


> Auch wenn es sicher nicht unmöglich ist, würde ich das doch eher als unwahrscheinlich einstufen. Es ist halt einfacher die Schuld woanders zu suchen.
> Man muss ja auch nicht zwingend ein DAU sein (Der Ex-Buffed-Aggro Gnom wurde ja letztens auch gehacked), man kann auch einmal unvorsichtig gewesen sein oder Pech gehabt haben.



Schön finde ich immer wieder diesen Beißreflex der Fanboys, wenn sie das Gefühl haben jemand wolle ihnen ihr Lieblingsspielzeug madig machen. Dann kann man mit noch so viel Logik kommen, für sie existiert einfach nicht was nicht existieren darf. Wobei ich dich jetzt aber nicht als Fanboy im Sinne des Wortes bezeichnen will ^^.

Tja, offensichtlich ist das Unwahrscheinliche und nahezu Unmögliche doch eingetreten. Nicht die Spieler waren an den Accounthacks schuld, sondern Trion selbst hat sich als die Ursache herausgestellt.

Das die Münzsperre keine Accounthacks verhindern kann, sondern allenfalls eine Maßnahme zur Schadensbegrenzung darstellt, war von vornherein klar. Da warf sich nur die Frage auf, warum ein Hersteller in aller Eile eine technisch so halbgare Lösung durchboxt. Die einzige logische Antwort darauf war, das der Schaden schon längst eingetreten ist. Das die Accountdaten schon längst durch einen Massenhack oder durch ein Datenleak verbreitet wurden.

Und genau das ist prinzipiell passiert. Trion hat seit Release ein Loch in der Größe eines Scheunentors in seiner Accountanmeldung. Jeder konnte sich ohne Passwort in einen fremden Account einloggen, sogar in die mit Sonderrechten versehenen Accounts der GMs. Erst nachdem ein Insider der Hackerszene den Exploit herausfand und Trion mitteilte wo ihr Fehler lag, wurde diese Lücke geschlossen. Nachdem Trion sich mehrere Wochen lang als unfähig erwiesen hat das selber zu tun. 

Laut Trion wurde 1% der Accounts gehackt. Das hört sich jetzt nicht nach viel an, sind aber immerhin mehr als 10.000 (In Worten: Zehntausend). Üblicherweise neigt ein Hersteller in solchen Fällen dazu die Zahlen dramatisch herunterzuspielen, es können also auch durchaus mehr sein. Dazu kommt noch die Dunkelziffer der Accounts, die gehackt wurden ohne das es aufgefallen ist. 

Man überlege sich einmal was passiert wäre, hätte nicht ein Externer den Exploit herausgefunden und veröffentlich. Trion hätte weiterhin eine nicht existierende professionelle Hackermafia vorgeschoben, irgendwann einmal still leise die Lücke zugemacht und weiterhin behauptet, die dummen Kunden wären selber schuld gewesen. Weil sie ja angeblich Trojaner auf dem Rechner haben und weiche Passwörter benutzen. Es ist schön, das mal ein Hersteller mit so einer Schweinerei aufgeflogen ist. Auch wenn es nichts nützen wird. Fanboy bleibt Fanboy.

Na ja, die Chance, das es demnächst auch die Fanboys trifft ist nicht schlecht. Meiner Meinung nach ist die Situation nämlich alles andere als bereinigt. Aber warum darüber reden? Siehe meinen ersten Absatz bezüglich Logik ^^.

cu
Lasaint


----------



## Lari (21. März 2011)

Und weil Sicherheitslücken so einfach zu schließen und zu finden sind gibts Montags regelmäßig Patches seitens Microsoft 

Dann gab es eben einen Fehler/eine Sicherheitslücke bei Trion, soll nicht vorkommen, kann aber passieren (siehe Frogster).

Das Coin-Lock System halte ich weiterhin für wegweisend, wenn auch noch nicht ausgereift. Aufwand = 1 Minute, dafür ist der Account weitestgehend geschützt. Ein Phisher/Hacker kann zwar einloggen, aber nichts machen.

Und als ob Trion die User für dumm erklärt... sie haben lediglich Tipps gegeben, wie man seinen Account möglich sicher hält.
Einfach mal den Ball flach halten.

Edit:
Auch meine eMail-Adresse ist bei den, ich sag mal geleakten, Adressen dabei gewesen. Bekam die Anzeige, dass 48 mal versucht wurde, auf meinen Freemail-Account einzuloggen. Geschafft wurde es aber nicht. Verschiedene Passwörter eben.
Trotzdem sehe ich das relativ gelassen.

Und ich mein diese Verschwiegenheit ist doch nur natürlich. Soll Trion öffentlich machen, dass es eine bisher nicht gefundene Sicherheitslücke bei ihnen gibt, um noch mehr Hacker auf sich aufmerksam zu machen? Kein Publisher wird vor der Schließung der Lücke auch nur annährnd etwas von möglichen Lücken schreiben, das wäre einfach nur dumm.


----------



## La Saint (21. März 2011)

Lari schrieb:


> Dann gab es eben einen Fehler/eine Sicherheitslücke bei Trion, soll nicht vorkommen, kann aber passieren (siehe Frogster).
> 
> Das Coin-Lock System halte ich weiterhin für wegweisend, wenn auch noch nicht ausgereift. Aufwand = 1 Minute, dafür ist der Account weitestgehend geschützt. Ein Phisher/Hacker kann zwar einloggen, aber nichts machen.
> 
> ...


Danke für die Antwort. Das ist genau das Beispiel, das ich mir wünschte als ich sagte, man bräuche nicht mit Logik oder mit Fakten zu kommen. Und wenn die Fakten einfach nicht mehr ignoriert werden können, dann werden sie halt heruntergespielt.

"Nichts machen" ist übrigens relativ. Der Phisher/Hacker kann jede Menge machen bis hin zum Löschen von Chars. Aber wie Trion schon sagt, wir setzen da auf das Verständnis der Hacker, das sie nichts tun wovon sie nichts haben. Harhar.

Und selbstverständlich hat Trion die User für dumm verkauft. Ich bin jetzt zu faul dir die Statements herauszusuchen, wo man auf eine hochprofessionelle Hackermafia verweist, die angeblich gerade in einer konzertierten Aktion Trion angreift. Und das die Benutzer dieser Mafia das Leben leicht machen, weil sie unsichere System und schwache Passwörter benutzen.

Ich wüßte für diese Vorgehensweise von Trion durchaus noch andere Bezeichnungen. Und für deren technische Qualifikation ebenfalls.

cu
Lasaint


----------



## Aldaric87 (21. März 2011)

La Saint, ich würde an deiner Stelle einfach das Forum verlassen. Momentan kann der Phisher/Hacker GAR NICHTS machen, auch nicht den Char löschen, wie du hier schreibst.

Du verkaufst hier einige Leute für dumm, da sie dir aufzeigen wie Haltlos deine Argumentation ist. Mehr brauch man zu dir nicht zu sagen.


----------



## Petu (21. März 2011)

La schrieb:


> "Nichts machen" ist übrigens relativ. Der Phisher/Hacker kann jede Menge machen bis hin zum Löschen von Chars. Aber wie Trion schon sagt, wir setzen da auf das Verständnis der Hacker, das sie nichts tun wovon sie nichts haben. Harhar.



Bis zu dieser Aussage wollte ich noch glauben, das Du weisst wovon Du redest.
Nun hast Du Dir aber selbst Unwissen bescheinigt. Den Rest von dem Geschwafel, der hier von Dir noch kommen mag, werde ich nicht mehr lesen.
Bisher hast Du es recht gut verstanden deine Unwissenheit unter dem Mantel der Scheinintelligenz zu verbergen.


----------



## Lari (21. März 2011)

La schrieb:


> Danke für die Antwort. Das ist genau das Beispiel, das ich mir wünschte als ich sagte, man bräuche nicht mit Logik oder mit Fakten zu kommen. Und wenn die Fakten einfach nicht mehr ignoriert werden können, dann werden sie halt heruntergespielt.



Was heisst denn runterspielen?
Soll ich jetzt die Drama-Queen spielen und schreiend im Kreis rumrennen?

Dass es dir hauptsächlich darum geht die Unfähigkeit und Dreistigkeit Trions hervorzuheben sieht man daran, dass du garnicht die aktuellen Sicherheitsmaßnahmen verfolgst. Hier wie auch im offiziellen Forum sieht man deine, meist gleichen, Posts über die Unfähigkeit Trions, eine Sicherheitslücke zu finden (siehe oben, wäre es so einfach bräuchte Microsoft und andere keine wöchentlichen Sicherheitsupdates) und die gleichzeitige Dreistigkeit Trions gegenüber den Usern, ihnen die Schuld zuzuschieben und sie für dumm zu verkaufen.
Quellen lieferst du keine, deine Informationen sind nicht aktuell und etwas konstruktives seh ich an deinen Posts nicht.

Was sollten wir deiner Meinung nach denn jetzt tun?


----------



## La Saint (21. März 2011)

Petu schrieb:


> Nun hast Du Dir aber selbst Unwissen bescheinigt. Den Rest von dem Geschwafel, der hier von Dir noch kommen mag, werde ich nicht mehr lesen. Bisher hast Du es recht gut verstanden deine Unwissenheit unter dem Mantel der Scheinintelligenz zu verbergen.



Jo, jo, Meister ^^




> Gestern 14:42 #509 *Deady *(Offizielles Forum)*
> *
> 
> 
> ...




http://foren.riftgam...hackt-!!/page51

cu
Lasaint


----------



## Lari (21. März 2011)

*



			Hotfix #8 - 3/19/11
		
Zum Vergrößern anklicken....

*


> *Account-Sicherheit*
> * Charaktere können nicht gelöscht werden, solange ein Account mit einer Münzsperre versehen ist.
> * Charaktere können keine Post per Nachname mehr annehmen, wenn sie mit einer Münzsperre belegt sind.


Der Account von Deady wurde vor dem Hotfix leergeräumt.
Coin-Lock gilt als sicher laut dem Insider, der Trion auch mit der Sicherheitslücke geholfen hat.


----------



## La Saint (21. März 2011)

Lari schrieb:


> Der Account von Deady wurde vor dem Hotfix leergeräumt.



Nur zu meinem Verständnis: Deady hat sich um 1:30 ausgeloggt. Um 1:47, also 12 Minuten später, hat er von dem Server eine Münzsperre-Mail mit seinem Freischaltcode bekommen. Diese Mail wird in dem Augenblick verschickt, in dem sich jemand mit fremder IP einloggt. Es befindet sich also offensichtlich jemand anderes auf dem Server und die Münzsperre ist aktiv. Sonst hätte es ja keine Mail gegeben. Trotzdem wurden die Chars geplündert. Was hat das jetzt mit dem Hotfix zu tun?

Der Hotfix hat den CoinLock um eine Löschsperre erweitert. Etwas, was Trion vorher wohl übersehen hatte und was jetzt wohl notwendig geworden ist. Ah, die Nachnahme. Ok, mag sein. Was wird wohl der nächste Hotfix patchen müssen?

Viel interessanter finde ich aber die Frage, wieso sich immer noch jemand mit einer fremden IP einloggen kann. Ist das nicht angeblich innerhalb von 2 Stunden gefixed worden, nachdem ManWitDaPlan Trion gezeigt hat wie es geht? Ach ja, ich vergaß. Hackermafia, Trojaner, schwache Passwörter, selber Schuld.

cu
Lasaint


----------



## Lari (21. März 2011)

La schrieb:


> Viel interessanter finde ich aber die Frage, wieso sich immer noch jemand mit einer fremden IP einloggen kann. Ist das nicht angeblich innerhalb von 2 Stunden gefixed worden, nachdem ManWitDaPlan Trion gezeigt hat wie es geht? Ach ja, ich vergaß. Hackermafia, Trojaner, schwache Passwörter, selber Schuld.
> 
> cu
> Lasaint



Wieso sollte man sich nicht mit anderer IP einloggen können? Sagen wir du fährst zu einer Lan mit Freunden und willst ihnen Rift zeigen. Da wirst du dich auch einloggen können, allerdings wie beschrieben mit Coin-Lock, welches man per Mail beheben muss.

Was du meist ist einloggen in fremde Accounts ohne Zugangsdaten oder ähnliches, das wurde gefixt. Aber ein Fix, der verhindert, dass man sich von einer anderen IP einloggt gab es nie und war nie ein Thema.


Und ja, es ging um die Nachnahme. Hacker konnte dem gehackten Nachnahme-Mail schicken und so Geld vom Gehackten stehlen. 1 1/2 Stunden später hätte das schon nicht mehr geklappt. Das war wohl persönliches Pech.


----------



## La Saint (21. März 2011)

Lari schrieb:


> Was du meist ist einloggen in fremde Accounts ohne Zugangsdaten oder ähnliches, das wurde gefixt. Aber ein Fix, der verhindert, dass man sich von einer anderen IP einloggt gab es nie und war nie ein Thema.
> 
> Und ja, es ging um die Nachnahme. Hacker konnte dem gehackten Nachnahme-Mail schicken und so Geld vom Gehackten stehlen. 1 1/2 Stunden später hätte das schon nicht mehr geklappt. Das war wohl persönliches Pech.


Nun ja, das war dann wohl wirklich Pech.

Und es gibt einen positiven Aspekt, den man bei dem ganzen Chaos nicht aus den Augen verlieren sollte. Es betraf/betrifft nur den nackten Spieleaccount. Was schon schlimm genug ist. Nicht aber die Benutzer- bzw. kaufmännischen Daten der Accountverwaltung, so wie ich zuerst befürchtet hatte. 

Hoffe ich zumindest ^^

cu
Lasaint


----------



## puzzelmörder (21. März 2011)

Wo liegt nun das Problem? 

Die Sicherheitslücke wurde gefunden und geschlossen. Ob es nun von Trion alleine oder erst mit einem Tip geschehen ist ist doch egal. Die eine Lücke wurde geschlossen. Solange der Betreiber entdeckte Lücken schliesst und so neue Hacks verhindert ist es in meinen Augen ok. Die 100 prozentige Sicherheit wird es im Internet nie geben. 

Ich bin kein Fachmann was Sicherheit im Internet angeht aber kann sagen, dass meine Accounts noch nie gehackt wurden. 
AION, WAR und WoW liefen über meinen richtigen Email Account und bis auf paar Spammails ist nie etwas passiert. Hatte sogar in allen Spielen die selben Logindaten und Accountnamen (nein Buffed hat andere Accountdaten)!
Wenn man auf seine Daten achtet und ordentliche Passwörter hat sinkt das Risiko gehackt zu werden meiner Meinung nach schon enorm. Mein WoW account hat mittlerweile ne neue Email und nen Authenticator. Aion und WAR sind mir egal, die werden nie wieder gebraucht. 

Mein Riftaccount läuft auch über eine neue Email. Das Coinlock finde ich vom Prinzip her als Laie ok. Bietet ein klein wenig mehr Sicherheit. 


So wie du die Schuld nur Trion geben ist Unsinn. Die Theorie mit dem USB Stick finde ich naja. Glaubst du ernsthaft es konnte jemand einfach die Daten runterziehen und dann hacken? Ginkohana scheint Ahnung zu haben und hat es schön erklärt. Klingt plausibel. Trion hatte die Lücke und sie haben sie geschlossen. 

Ich würde glatt darauf wetten, dass es einige Gamer gibt die (wie ich früher) die selben Daten für alle Spiele nehmen. Klar probieren Hacker bereits bekannte Daten auch in neuen Spielen aus. 

Primär ist jeder für seine eigenen Daten verantwortlich und muss diese schützen. Wenn trotz aller Mühe die Daten doch gehackt werden war der Hacker eben besser. Sicher ist im Internet nichts, die CIA weiß alles. =)


----------



## La Saint (21. März 2011)

puzzelmörder schrieb:


> Wo liegt nun das Problem? ...
> 
> Ich bin kein Fachmann was Sicherheit im Internet angeht aber kann sagen, dass meine Accounts noch nie gehackt wurden. ... Wenn man auf seine Daten achtet und ordentliche Passwörter hat sinkt das Risiko gehackt zu werden meiner Meinung nach schon enorm. ..
> 
> Primär ist jeder für seine eigenen Daten verantwortlich und muss diese schützen. Wenn trotz aller Mühe die Daten doch gehackt werden war der Hacker eben besser. Sicher ist im Internet nichts, die CIA weiß alles. =)



Am Besten, ich ignoriere diesen Post. Die ganze ermüdende Diskussion geht dann nur wieder von vorn los.

Argh ...

.. meine Hand. 

... sie bewegt sich. Ich kann sie nicht aufhalten ...


DU BANAUSE. Das dein Rift-Account nicht gehackt wurde, ist pures Glück. Es bedeutet nur, das jemand den Zufallsgenerator angeworfen hat und dein Account NICHT dabei rausgekommen ist. Die Chance dafür war 1:99. Laut Trion. Vermutlich aber sogar deutlich besser.

Hier hätten du und deine Daten auch in einem Tresor stecken können, denn das Problem lag nicht bei den Usern, sondern an einem technischen Unvermögen seitens Trion. Der Benutzer hatte null Chance, sich gegen den Exploit zu wehren. Noch nicht mal den Hackern mache ich da einen Vorwurf. Wenn man die Tür zur Schafherde offen läßt, dann darf man sich nicht wundern wenn die Wölfe reinkommen und sich satt fressen. Boah.

Technische Pannen können passieren. Aber in so einem sensiblen Bereich? Einem paar Dutzend anderer Spielehersteller mit geschätzen 100 Millionen Gesamtkunden weltweit ist das nicht passiert. Deswegen hatten die es bisher auch nicht nötig ihren Kunden Unvermögen und Dummheit vorzuwerfen.

cu
Lasaint


----------



## xontroulis-rocks (21. März 2011)

La Saint spielst eigentlich noch Aion oder nur noch Rift?


----------



## La Saint (21. März 2011)

Auch wenn ich jetzt das Risiko eingehe, das man mir sagt ich solle doch lieber bei Aion bleiben, ja, mein Aion-Account besteht noch ^^. Das ist ganz praktisch, wenn man zocken will, aber in einer 2 Stunden-Warteschlange steckt.

Ich halte Aion für das "rundere" Spiel, aber im Moment macht mir Rift halt mehr Spaß. Das ist der Reiz des Neuen. Es ist aber jetzt schon abzusehen, wo bei Rift die Reise hingeht und deswegen glaube ich nicht, dass es sich lohnt den Aion-Account einzufrieren. Allzu lange wird es bei Rift nicht mehr dauern bis die Langeweile einkehrt. Da ändert auch die angekündigte Raid-Instanz nichts dran ^^.


----------



## Lopuslavite (21. März 2011)

Was willst du mit den ganzen posts eigentlich bewirken??

letztendlich läuft es doch darauf hinaus das du TRION einfach als schlecht und sonnst was hinstellen willst!!


Trion kümmert sich wenigstens um solche dinge und sucht nach lösungen!

ich nehm mal an du gehörst zu den gehackten opfern und willst nur dein nicht spielen können in wut hier darstellen!


lass es doch! Wegen deinem post werden bestimmt die Spieler nicht abwandern !



DAS ES IMMER WIEDER LEUTE GIBT DIE ES NICHT ERTRAGEN KÖNNEN DAS ES NOCH ANDERE MMO´S GIBT DIE GUT SIND UND GUT ANKOMMEN UNTER DEN SPIELERN ! ECHT FURCHTBAR


----------



## xontroulis-rocks (21. März 2011)

Ich war auch anfangs bei Rift dabei und habe es intesiv gespielt, bis es mich wieder nach Aion zurückgezogen hat. Die Spielmechanik, Animationen usw haben mich einfach bei Aion mehr überzeugt, aber ok Rift ist sicherlich deutlich interessanter als WoW und hat meinen Segen 
Habe nur zufällig gesehen das du das Thema hier erstellt ahst und wollte mal Fragen 
Aber wie bereits gesagt, nichts gegen die Rift Spieler hier, kann gut verstehen das es euch gefällt.


----------



## La Saint (21. März 2011)

Nein, mein Rift-Account wurde nicht gehackt. 

Ich hatte vorher ein vierblättriges Kleeblatt gefunden.


----------



## La Saint (21. März 2011)

xontroulis-rocks schrieb:


> Habe nur zufällig gesehen das du das Thema hier erstellt ahst und wollte mal Fragen


Kein Thema. Ich finde es nett, wenn man spieleübergreifend auf Leute trifft, die man von anders woher kennt. Im Aion-Forum haben wir ja einige Male diskutiert.

Es gibt wohl so etwas wie eine spieleübergreifene MMORPG-Community. Gestern bin ich zum Beispiel im Rift-Herstellerforum auf jemanden gestoßen, der mich anscheinend noch aus WoW von vor 4 Jahren in Erinnerung hat. Auch wenn da von Wiedersehensfreude keine Rede sein konnte ^^.

Ich schätze, in 4-6 Wochen werde ich auch wieder bei Aion sein.

Bis denne
Lasaint


----------



## Lari (21. März 2011)

La schrieb:


> Es gibt wohl so etwas wie eine spieleübergreifene MMORPG-Community. Gestern bin ich zum Beispiel im Rift-Herstellerforum auf jemanden gestoßen, der mich anscheinend noch aus WoW von vor 4 Jahren in Erinnerung hat. Auch wenn da von Wiedersehensfreude keine Rede sein konnte ^^.



Wohl wahr. In meiner Rift Gilde bin ich zufällig auf ein Pärchen gestoßen, mit dem ich vor 4 Jahren Vanguard gespielt habe


----------



## xontroulis-rocks (21. März 2011)

Ja in Aion sind so einige die von Rift wieder zurück sind, aber sicherlich auch paar denen Rift mehr zusagt und dort bleiben^^ Jedenfalls viel Glück noch mit deinen Problemen und dem Support.

P.S. Auf welchem Server spielst eigentlich? Ich habe ja eigentlich immer auf Spatalos gespielt, aber wollte nun mal auf nem deutschen Server spielen und bin nun auf Thor ein netter Elyos


----------



## Remor (21. März 2011)

Passwörter wechseln kann auch nicht schaden, jede Woche ist vielleicht übertrieben, aber vielleicht mindestens jeden Monat.
Da nützt auch ein Passwortleak nicht viel, wenn man ein anderes Passwort hat.
Ausserdem, das beste Passwort nützt nichts, wenn man in der E-Mail (z.b. Spass@hotmail.com) ein schlechtes Passwort hat, wenn der Email Account gehackt ist, dann ist meistens sowieso alles Weg. Der Hacker kann dann anhand des Posteingangs feststellen welche Spiele du spielst.

Ich wäre für einen Authenticator, finde ich auch sehr sicher.
dazu noch ein über Mausklick eintippbares 2. Einmal-Passwort und der Account ist meiner Meinung nach so stark geschützt, dass es für jegliche Madware und Hacker extrem schwierig werden kann.


----------



## Tikume (21. März 2011)

La schrieb:


> Tja, offensichtlich ist das Unwahrscheinliche und nahezu Unmögliche doch eingetreten. Nicht die Spieler waren an den Accounthacks schuld, sondern Trion selbst hat sich als die Ursache herausgestellt.



In dem Falle sollte es doch ein Leichtes für dich sein, uns hier eine Quelle bereit zu stellen?


----------



## tear_jerker (22. März 2011)

Tikume schrieb:


> In dem Falle sollte es doch ein Leichtes für dich sein, uns hier eine Quelle bereit zu stellen?



wie wärs mit buffed?  startseite, news für rift auswählen und auf die entsprechende überschrift klicken


----------



## Tikume (22. März 2011)

Da Du es nach wie vor nicht schaffst eine Quelle anzugeben übernehme ich das mal:
http://www.buffed.de/Rift-PC-231664/News/Rift-Interview-mit-Hacker-des-Account-Logins-816964/

Und hier zeigt sich dass in solchen Fällen der Betreiber es eben nicht verheimlicht bzw. verheimlichen kann. Übrigens wird auch in dem Artikel wieder darauf hingeweisen dass es in 99,99% der Fälle dennoch am einzeln User selbst liegt


----------



## tear_jerker (22. März 2011)

Tikume schrieb:


> Da Du es nach wie vor nicht schaffst eine Quelle anzugeben übernehme ich das mal:
> http://www.buffed.de...-Logins-816964/
> 
> Und hier zeigt sich dass in solchen Fällen der Betreiber es eben nicht verheimlicht bzw. verheimlichen kann. Übrigens wird auch in dem Artikel wieder darauf hingeweisen dass es in 99,99% der Fälle dennoch am einzeln User selbst liegt



nach wie vor? das ist doch das erste mal das ich in dem thread hier poste oO
wie auch immer, du hast recht, ich hätte verlinken sollen. aber ich bin ganz ehrlich grad zu faul dazu gewesen.^^
mir gings auch nur darum das es dafür wirklich  eine quelle gibt. wer da wem nun die schuld zu schiebt, ist mir wumpe.
Das es aber in den meisten fällen wirklich am DAU liegt, will ich lieber nicht abstreiten


----------



## Tikume (22. März 2011)

tear_jerker schrieb:


> nach wie vor? das ist doch das erste mal das ich in dem thread hier poste oO



Hatte dich dem Typen auf Seite 1 zugeordnet


----------



## Kaldreth (23. März 2011)

La schrieb:


> Ich halte Aion für das "rundere" Spiel, aber im Moment macht mir Rift halt mehr Spaß. Das ist der Reiz des Neuen. Es ist aber jetzt schon abzusehen, wo bei Rift die Reise hingeht und deswegen glaube ich nicht, dass es sich lohnt den Aion-Account einzufrieren. Allzu lange wird es bei Rift nicht mehr dauern bis die Langeweile einkehrt. Da ändert auch die angekündigte Raid-Instanz nichts dran ^^.



Hehe du meinst die Langeweile, die ich damals schon im lvl 25er Bereich in AION hatte als ich keine Quest mehr hatte und grinden musste . Da finde ich Rift, wenn man es mit dem Release Zeitpunkt mit Aion vergleicht das rundere Spiel!

Aber gut jedem das Seine! Ich hab vor einiger Zeit auch mal wieder in AION rein geschaut und es hat sich was das angeht wohl verbessert! Allerdings konnte mich das Spiel aufgrund der nicht vorhandenen Serverbalance dann doch nicht lange fesseln!

Ach ich will gar nicht wie so ein Fanboy klingen (ich weiß ich tu es ) ich glaub auch, dass mir im Endgame schnell langweilig wird, deshalb lass ich mir auch viel Zeit, aber ich fand den Vergleich mit Aion einfach nicht passend!

Dieses Leck war wirklich ein Hammer! Aber wenigstens haben sie es offen zu gegeben und behoben.


----------



## La Saint (23. März 2011)

Tikume schrieb:


> Da Du es nach wie vor nicht schaffst eine Quelle anzugeben übernehme ich das mal:
> http://www.buffed.de...-Logins-816964/
> 
> Und hier zeigt sich dass in solchen Fällen der Betreiber es eben nicht verheimlicht bzw. verheimlichen kann. Übrigens wird auch in dem Artikel wieder darauf hingeweisen dass es in 99,99% der Fälle dennoch am einzeln User selbst liegt





Tikume schrieb:


> Hatte dich dem Typen auf Seite 1 zugeordnet




Ist da jetzt etwa jemand angefressen, weil er sich zu weit aus dem Fenster gelehnt und dann rausgefallen ist? 

1) Warum sollte ich eine Quelle angeben, wenn die Sachlage offensichtlich ist? Wenn es sogar bei buffed in den News steht? Wobei das Interviev von buffed extrem weichgewaschen und herstellerfreundlich ausgelegt ist. Ich frage mich, warum du ausgerechnest diese Quelle zitierst. Es gibt wesentlich objektivere. (Kein Link ^^. Der geneigte Leser möge selber suchen)

2) Der Betreiber konnte seine Schlamperei nicht vertuschen, weil ein Aussenseiter den Exploit herausgefunden und diese Tatsache sofort veröffentlicht hat. Eine solche Geschichte kann extreme kaufmännische Folgen haben. Wie ist da wohl die übliche Vorgehensweise von Firmen, wenn man seinen Profit nicht gefährden will?

3) Wenn ich ein Hersteller mit so einem Skandal im Rücken wäre, dann würde ich genauso argumentieren. Ja, uns ist ein kleines Mißgeschick unterlaufen und es wurden weit über zehntausend Accounts gehackt. Aber das ist nicht so schlimm, denn bei 99,99% der Fälle ist der Kunde sowieso selber Schuld. 

Leute, das ist bloßes Gerede um die Verantwortung abzuschieben. Technische Sicherheit ist aufwendig und kostet viel Geld. Dieses Geld hat man als Hersteller lieber bei den Einnahmen als bei den Ausgaben. Ich behaupte mal jetzt, höchsten 10% der weltweiten Accounthacks gehen zu Lasten der User. Beweisen kann ich das nicht. Aber die 99,99% können die Hersteller genauso wenig beweisen. 

cu
Lasaint


----------



## JonnyBee (23. März 2011)

Ich würde einfach sagen, dass viele Leute einfachheitshalber ein zu leichtes Passwort benutzen^^ einfach mal ein sicheres Passwort benutzen. Anstatt Mama einfach mal mAmA26745295285 benutzen dann ist die scherheit auch gewährleistet.


----------



## Lari (23. März 2011)

La schrieb:


> Leute, das ist bloßes Gerede um die Verantwortung abzuschieben. Technische Sicherheit ist aufwendig und kostet viel Geld. Dieses Geld hat man als Hersteller lieber bei den Einnahmen als bei den Ausgaben. Ich behaupte mal jetzt, höchsten 10% der weltweiten Accounthacks gehen zu Lasten der User. Beweisen kann ich das nicht. Aber die 99,99% können die Hersteller genauso wenig beweisen.
> 
> cu
> Lasaint



Du postest aber auch ziemlich viel Gerede, ich hoffe dir ist das klar 
Beispiel CoinLock:
Laut dir einzig eine Maßnahme seitens des Herstellers, um IP-Adressen zu sichern und einen Datenspeicher anzulegen.
Das sowieso alles geloggt wird, von jedem MMO-Betreiber, ob Coinlock oder nicht, war dir wohl nicht bewusst. Oder aber dir war es bewusst, aber du wolltest Trion und ihre Sicherheitsmaßnahme in ein falsches Licht rücken. Man weiß es nicht


----------



## ZAM (23. März 2011)

JonnyBee schrieb:


> Ich würde einfach sagen, dass viele Leute einfachheitshalber ein zu leichtes Passwort benutzen^^ einfach mal ein sicheres Passwort benutzen. Anstatt Mama einfach mal mAmA26745295285 benutzen dann ist die scherheit auch gewährleistet.



... und ähnliche Sicherheitsvorkehrungen auch beim Email-Account vornehmen, sonst bringt die ganze Spielabsicherung auch nichts.


----------



## Bodensee (23. März 2011)

La schrieb:


> Am Besten, ich ignoriere diesen Post. Die ganze ermüdende Diskussion geht dann nur wieder von vorn los.
> 
> Argh ...
> 
> ...



jaja, Rift ist schon ein sehr sensibler Bereich im Leben mancher Spieler, da kann ein Hack die ganze Welt ändern. vor allem da das Spiel ja schon sehr lange auf dem Markt ist. Und doch, sehr viele haben ein unglaubliches Unvermögen oder Dummheit, oder glaubst Du jedem der in einem Post schreibt" Hilfe mein Acc wurde gehackt, obwohl ich nie auf was geklickt habe im e-Mail Anhang oder nie eine verdächtige Seite besucht und mir das was rungegeladen habe."
Sehr sehr viele schwindeln Dich da an. Tja.


----------



## La Saint (23. März 2011)

Lari schrieb:


> Beispiel CoinLock:
> Laut dir einzig eine Maßnahme seitens des Herstellers, um IP-Adressen zu sichern und einen Datenspeicher anzulegen.
> Das sowieso alles geloggt wird, von jedem MMO-Betreiber, ob Coinlock oder nicht, war dir wohl nicht bewusst. Oder aber dir war es bewusst, aber du wolltest Trion und ihre Sicherheitsmaßnahme in ein falsches Licht rücken. Man weiß es nicht



Nicht vom Thema ablenken.

Wir reden hier über Accountsicherheit und nicht über die Datensammelwut von Spieleherstellern. Die ist bekannt und Bedarf keiner Diskussion ^^. 

Was war jetzt noch mal deine Meinung zur Accountsicherheit?

Bei der Einführung war CoinLock ein Herumstochern im Blauen, wird jetzt aber als Sicherheitsmaßnahme verkauft. Es ist alles andere als ausgereift und muß ständig nachgepatched werden, weil man Dinge übersehen hat. Gestern habe ich übrigens auch meine erste Mail ohne Zifferncode erhalten.

cu
Lasaint


----------



## Lari (23. März 2011)

La schrieb:


> Nicht vom Thema ablenken.
> 
> Wir reden hier über Accountsicherheit und nicht über die Datensammelwut von Spieleherstellern. Die ist bekannt und Bedarf keiner Diskussion ^^.


Warum erstellst du denn einen Thread diesbezüglich? Ich zitiere dich:


> Seit Jahren kämpfen die Bürgerrechtler in ganz Europa gegen die Vorratsdatenspeicherung und in einem Onlinespiel wird sie so ganz nebenbei unter dem Namen Münzsperre eingeführt. Trion speichert jetzt nicht nur, wann wir wie lange online sind, sie speichern jetzt auch von wo wir online gehen. Natürlich nur zu unserem Besten.





> Was war jetzt noch mal deine Meinung zur Accountsicherheit?
> 
> Bei der Einführung war CoinLock ein Herumstochern im Blauen, wird jetzt aber als Sicherheitsmaßnahme verkauft. Es ist alles andere als ausgereift und muß ständig nachgepatched werden, weil man Dinge übersehen hat. Gestern habe ich übrigens auch meine erste Mail ohne Zifferncode erhalten.
> 
> ...



Natürlich ist das eine Sicherheitsmaßnahme. Trion hätte genausogut weiter rumrätseln können, wieso so massiv gehackt wird.
1. kam die Reaktion sehr schnell, auch der Fix mit der Nachnahme kam schnell. Das System ist gut, war und ist aber noch nicht ganz ausgereift.
2. wie wahrscheinlich ist es wohl, dass weiterhin gehackt wird, wenn es nichts zu holen gibt? Ich glaube kaum, dass die Hacker weiterhin versuchen an Accounts ranzukommen, wenn sie lediglich vandalieren können. Und selbst das sollte mittlerweile unterbunden werden.

Ein Authentificator System ist in Mache. Vermutlich gibts dann eine kostenlose App wie in WoW oder eben den Hardware Authentificator.
Ich würde mich nicht wundern, wenn Blizzard das CoinLock System auf kurz oder lang übernimmt, es aber direkt ausgereift auf den Markt wirft.


Wir brauchen nicht drüber zu reden, wie "doof" so eine Sicherheitslücke aus den Augen des Benutzers wirkt. Aber ich kann mir auch vorstellen, wie schwer es ist, alles sicher zu halten. Es war sicherlich nicht im Interesse Trions, dass dermaßen massiv gehackt wird.
Wäre Sicherheit im Internet so einfach, bräuchten wir keine Firewalls und keine Virenscanner.


----------



## Jalandir (23. März 2011)

Lari schrieb:


> Ich würde mich nicht wundern, wenn Blizzard das CoinLock System auf kurz oder lang übernimmt, es aber direkt ausgereift auf den Markt wirft.


Wenn ich das Coin-Lock System richtig verstehe, dann verhindert es den Zugriff auf den Account von IP Adressen die nicht plausibel sind.
Also wenn ich immer aus Österreich einlogge, dass dann das Einloggen aus Deutschland gesperrt wird.

Sowas braucht Blizzard nicht erst einführen, die haben das schon.
Ging mir so als ich ausnahmsweise mal bei meinen Eltern den PC gestartet hab. Schon war mein Account gesperrt und hatte ne nette Email im Postfach.

Ach ja der Accounthack bei Rift hat mich nicht betroffen. Bis jetzt steht die Rift Box noch ungeöffnet rum, aber dafür auf nem gut ersichtlichen Platz. Ich brauch einfach mehr Zeit.


----------



## Freakypriest (23. März 2011)

Jalandir schrieb:


> Wenn ich das Coin-Lock System richtig verstehe, dann verhindert es den Zugriff auf den Account von IP Adressen die nicht plausibel sind.
> Also wenn ich immer aus Österreich einlogge, dass dann das Einloggen aus Deutschland gesperrt wird.
> 
> Sowas braucht Blizzard nicht erst einführen, die haben das schon.
> Ging mir so als ich ausnahmsweise mal bei meinen Eltern den PC gestartet hab. Schon war mein Account gesperrt und hatte ne nette Email im Postfach.



Nein nicht plausibel beudeutet in diesem fall das es nicht die selbe IP ist mit der zuletzt eingeloggt wurde. Das hat Blizard nicht dazu kommt das man bei Blizzard den Acc über den Support freischalten muss, was sichlich eine spur sicherer ist aber per eigener E-Mail bedeutend bequemer. Das nurPauschal über die Länder kennung zu machen wäre absolut sinnfrei, proxy Server in Deutschland nehmen und von Asien aus hacken, System umgangen. (etwas einfach ausgedrückt  )


----------



## La Saint (23. März 2011)

Lari schrieb:


> Warum erstellst du denn einen Thread diesbezüglich? Ich zitiere dich:


Ich habe diesbezüglich keinen Thread erstellt. Ich habe im Rift-Herstellerforum meinen Thread über Accountsicherheit mit diesem Absatz begonnen. Das war die Stoffpuppe für die Fanboys, um ihnen ein Ziel für ihren Beißreflex zu geben und sie aus dem eigentlichen Thema raus zu halten. Hat übrigens wunderbar funktioniert ^^.




Lari schrieb:


> Wir brauchen nicht drüber zu reden, wie "doof" so eine Sicherheitslücke aus den Augen des Benutzers wirkt. Aber ich kann mir auch vorstellen, wie schwer es ist, alles sicher zu halten. Es war sicherlich nicht im Interesse Trions, dass dermaßen massiv gehackt wird.
> Wäre Sicherheit im Internet so einfach, bräuchten wir keine Firewalls und keine Virenscanner.



Sicherlich war dieser Massenhack nicht im Interesse von Trion. Aber man hat ihn meiner Meinung nach fahrlässig in Kauf genommen. Da deutet der ganze Ablauf hin. Von ignorieren, über aussitzen, hektischer Betriebssamkeit, bis zur Beschuldigung der Unschuldigen und Belobigung der Verantwortlichen.

Bekanntermaßen hat das "Internetkabel" zwei Enden. Der Benutzer an der einen Seite, der Spieleanbieter an der anderen Seite. Deswegen könnte man jetzt sagen, die Verantwortung für die Datensicherheit liegt zu 50% bei beiden Geschäftspartnern. Das ist aber nicht so. Noch nicht mal gesetzlich. Der Partner mit der größeren Kompetenz, wirtschaftlichen Macht und technischen Möglichkeiten hat auch die größere Verantwortung. Und diese Verantwortung hat Trion mit den Füßen getreten.

Sicheres Handling von Spieleaccounts ist eine Technologie, die schon seit Jahren existiert. Es gibt also nur 2 Möglichkeiten: Entweder ist Trion einfach nur dumm und technisch unfähig, oder man hat wissentlich auf Lücke gespielt. Jeder kann sich überlegen, welche Variante ihm lieber ist. Noch mal zur Erinnerung, DaManWitDaPlan hat Rift gehackt, nicht WoW. Dort ist es offensichtlich nicht möglich.

cu
Lasaint

PS: Für die Leute, die Spass daran haben. Es gibt noch eine 3 Möglichkeit. Trion ist von dem russischen Billiganbieter, bei dem sie ihre Netzsoftware gekauft haben, hereingelegt worden. Sie waren gutgläubig und konnten nicht ahnen, das der für sich noch eine Backdoor eingebaut hat.


----------



## Lari (23. März 2011)

Also tut mir Leid, immer dieses Trion sei dumm.
Gerne noch einmal:
Überall, ständig, wird mit Patches nachgebessert, weil Sicherheitslücken gefunden wurden. Jetzt hat es die Account-Verwaltung eines MMOs getroffen (was übrigens auch Frogster passiert ist). Du redest darüber so, als wäre es das selbstverständlichste und einfachste auf der Welt, sichere System zu programmieren.
Da du ja bald wieder zu Aion zurückkehren wirst, leg ich dir mal folgendes nahe:
http://www.aionsource.com/topic/96509-aion-account-hacked-while-subscription-inactive-updated/
Genau das ist mir nämlich auch passiert. Wollte Aion reaktivieren, Passwort geändert etc.
Geschehen, als ich inaktiv war. Auch wurde der Charakter einfach irgendwann nicht mehr genutzt. Nicht weil er gebannt wurde als Bot, sondern eben dem Fix, den das Aion Team da eingespielt hat. Und wieso sollte ich einen Aufstand machen? Ich bin mir im Klaren, dass sowas eben passieren kann.
Die 10 Tage, die es gebraucht hat, bis der Support endlich wieder meinen Account frei machte, sind da ein anderes Thema.

Halten wir also fest: wenn Trion deiner Meinung nach einfach dumm ist, dann ist es NCSoft auch. Nur da waren die Wellen, die es geschlagen hat, deutlich geringer. Wurde es vertuscht? Jedenfalls hab ich nichts großes öffentliches dazu gelesen.


----------



## Freakypriest (23. März 2011)

Kann mich Lari nur anschliessen. 

@La Saint deiner meinung nach sind alsoFirmen die ihre eigenen Sicherheitslücken nicht kennen dumm?

Irgendwie beisst sich da die Katze in den Schwanz.


----------



## Bodensee (23. März 2011)

La schrieb:


> Ich habe diesbezüglich keinen Thread erstellt. Ich habe im Rift-Herstellerforum meinen Thread über Accountsicherheit mit diesem Absatz begonnen. Das war die Stoffpuppe für die Fanboys, um ihnen ein Ziel für ihren Beißreflex zu geben und sie aus dem eigentlichen Thema raus zu halten. Hat übrigens wunderbar funktioniert ^^.
> 
> 
> 
> ...



Spielst Du auf einem Microsoft basierten Pc? Hoffe mal nicht. Was man von denen schon alles erfahren und hören musste, meine Güte.


----------



## tekkon123 (23. März 2011)

Lari schrieb:


> Also tut mir Leid, immer dieses Trion sei dumm.
> Gerne noch einmal:
> Überall, ständig, wird mit Patches nachgebessert, weil Sicherheitslücken gefunden wurden. Jetzt hat es die Account-Verwaltung eines MMOs getroffen (was übrigens auch Frogster passiert ist). Du redest darüber so, als wäre es das selbstverständlichste und einfachste auf der Welt, sichere System zu programmieren.
> Da du ja bald wieder zu Aion zurückkehren wirst, leg ich dir mal folgendes nahe:
> ...


es gibt an rift nicht viel zu meckern.also sucht mann sich irgendwas um ein wenig schlechte laune zu verbreiten.


----------



## Lari (27. April 2011)

Nach NCSoft (Aion), Frogster (Runes of Magic) und Trion (Rift) hat es Sony erwischt: Playstation-Network gehackt
Das zum Thema unfähige Entwickler.


----------



## Ashgard (27. April 2011)

Lari schrieb:


> Nach NCSoft (Aion), Frogster (Runes of Magic) und Trion (Rift) hat es Sony erwischt: Playstation-Network gehackt
> Das zum Thema unfähige Entwickler.



PSSSST! Ich verrate dir was im Vertrauen. Die wurden nicht gehackt. Bei Sony waren nur 77 Millionen User zu dämlich, sich ein sicheres
Passwort auszudenken. Wirklich! Ich schwöre!


----------



## Lancegrim (27. April 2011)

Diskutieren wir hier jetzt echt über den Hack vom PSN? Oh mein gott ey.

Es gibt keine 100%ige Sicherheit, alles und jeder kann gehackt werden. Ist nur ne Frage der Zeit, des Könnens und der Technik. Und mit "korrupten" Angestellten bei Sony oder Microsoft oder so, gehts sogar noch schneller und einfacher.

Aber plz, back to Topic.


----------



## Ashgard (27. April 2011)

Lancegrim schrieb:


> Aber plz, back to Topic.



Nochmal, das ist OnT. Es wurde ja auch im Zuge des Datenmurks bei Trion von ständig Besserwissern behauptet, die Leute
wären zu blöd sich Passwörter auszudenken und würden sowieso alle auf Goldseller- & Pr0nseiten rumsurfen mit selben
Passwörtern.


----------



## Lari (27. April 2011)

Lancegrim schrieb:


> Es gibt keine 100%ige Sicherheit, alles und jeder kann gehackt werden.



Und genau das war die Aussage meines Posts.
Die Aussage ist übrigens pro Trion


----------



## Mike39 (27. April 2011)

Freakypriest schrieb:


> Nein nicht plausibel beudeutet in diesem fall das es nicht die selbe IP ist mit der zuletzt eingeloggt wurde. Das hat Blizard nicht dazu kommt das man bei Blizzard den Acc über den Support freischalten muss, was sichlich eine spur sicherer ist aber per eigener E-Mail bedeutend bequemer. Das nurPauschal über die Länder kennung zu machen wäre absolut sinnfrei, proxy Server in Deutschland nehmen und von Asien aus hacken, System umgangen. (etwas einfach ausgedrückt  )



Das stimmt so nicht ganz.Ich habe mich von Arbeit mal eingeloggt bei WoW und dann wieder zu hause.Hatte dann ne E-Mail bekommen,das mein Acc. vorübergehend gesperrt wurde und ich mir ein neues Passwort ausdenken soll.Brauchte dafüür nicht den Support bemühen.Habe trotzdem mal angerufen weil ich ja wissen wollte was los war.Der Bearbeiter sagte mir dann,das ich mich von einer anderen IP eingeloggt hatte und es eventuell noch 1-2 x vorkommen kann,dann merkt sich das System die IP noch dazu.Also fast wie die Münzsperre,nur das ich erst gar net einloggen kann bevor ich nicht meine E-Mails abrufe und das Pw ändere.


----------



## wertzû (27. April 2011)

Mike39 schrieb:


> Das stimmt so nicht ganz.Ich habe mich von Arbeit mal eingeloggt bei WoW und dann wieder zu hause.Hatte dann ne E-Mail bekommen,das mein Acc. vorübergehend gesperrt wurde und ich mir ein neues Passwort ausdenken soll.Brauchte dafüür nicht den Support bemühen.Habe trotzdem mal angerufen weil ich ja wissen wollte was los war.Der Bearbeiter sagte mir dann,das ich mich von einer anderen IP eingeloggt hatte und es eventuell noch 1-2 x vorkommen kann,dann merkt sich das System die IP noch dazu.Also fast wie die Münzsperre,nur das ich erst gar net einloggen kann bevor ich nicht meine E-Mails abrufe und das Pw ändere.



tja und n kluger hacker stellt das aus und loggt sich dann ins spiel ein, weil man das in der acc verwaltung schön ausmachen kann


----------



## Mike39 (27. April 2011)

wertzû schrieb:


> tja und n kluger hacker stellt das aus und loggt sich dann ins spiel ein, weil man das in der acc verwaltung schön ausmachen kann



Was stellt er aus?Sorry,steh grad aufm Schlauch.


----------



## Lancegrim (28. April 2011)

Ich fand vom Acc System her das bei Dark Age of Camelot sehr schön, da hatte man einen Benutzernamen und Passwort fürs Spiel und eins für die Accountverwaltung.

Also selbst wenn ein Hacker da den Spielacc geknackt hatte, kam er dennoch nicht an die Account und Kontoinformationen ran, war sehr praktisch.


----------



## Gnorfal (29. April 2011)

La schrieb:


> Im offiziellen Forum kreist gerade der Hammer. In unzählichen Posts beschreiben Leute, wie ihre Accounts gehackt wurden. Schon allein die Menge und die kurze Zeit, in der es passiert ist, erscheint seltsam. Vor allem bei einem Spiel, das gerade mal ein paar Tage auf dem Markt ist. *Soviel ungeschützte Rechner oder DAUs, die auf einer dubiosen Webseite ihr Passwort veröffentlichen, kann es garnicht geben.
> *


Grob geschätzt etwa 98% der Internet-Nutzer mit nem eigenen PC.
Bevor Du etwas generalisierst, würde ich mir einmal Gedanken machen. Deine Versuche, das Spiel oder die Firma in Foren schlecht zu machen, sind fast unzählig geworden. 
Nur weil wirklich viele Nutzer keine Ahnung haben, was ihre PC´s so veranstalten, auch Du nicht zu 100%, kannst Du doch nicht dem Hersteller vorwerfen, er sei nicht auf Sicherheit bedacht.

Langsam müssten Dir aber mal die Argumente ausgehen, Trion schlecht zu machen....
Ich wette mal 5 Euro, dass der nächste "Bei Trion stimmt was nicht Thread" von Dir, nicht lang auf sich warten lassen muss....


----------



## Gnorfal (29. April 2011)

La schrieb:


> Schön finde ich immer wieder diesen Beißreflex der Fanboys, wenn sie das Gefühl haben jemand wolle ihnen ihr Lieblingsspielzeug madig machen. Dann kann man mit noch so viel Logik kommen, für sie existiert einfach nicht was nicht existieren darf. Wobei ich dich jetzt aber nicht als Fanboy im Sinne des Wortes bezeichnen will ^^.
> 
> Tja, offensichtlich ist das Unwahrscheinliche und nahezu Unmögliche doch eingetreten. Nicht die Spieler waren an den Accounthacks schuld, sondern Trion selbst hat sich als die Ursache herausgestellt.
> 
> ...



Ich hoffe, Du hast stichhaltige Beweise für Deine Behauptungen, welche extrem geschäftsschädigend sind. Ansonsten müsste Dein Beißreflex noch am anderen Ende der Welt als Druckwelle wahr zu nehmen sein...


----------

