Zahlreiche Accounts gekapert: Sicherheitslücke in Battlelog oder Origin?
Offenbar ist es Angreifern gelungen, sich Zugang zu etlichen Accounts in EAs Online-Plattform Origin zu verschaffen. Darüber berichten betroffene Spieler sowie zahlreiche Online-Magazine wie Eurogamer, Kotaku und VG247 [/url]im Internet. Die betroffenen Accounts wurden dabei durch eine Änderung der hinterlegten E-Mail-Adresse und des Passworts für die eigentlichen Besitzer unzugänglich gemacht. Wie sich die Angreifer Zugang zu den Accounts schaffen ist bisher unklar, denn eine offizielle Stellungnahme seitens EA gibt es bisher nicht. Angesichts der extrem hohen Zahl betroffener Benutzer sehen wir die Bedrohung jedoch als gegeben an.
Support wird ausgetrickst
Nutzer, deren Accounts gekapert wurden, berichten zudem von einem weiteren Problem. Um den Besitzer des Accounts zu verifizieren, zieht der EA-Support nicht etwa einen der hinterlegten Game-Keys heran, sondern das im Account hinterlegte Geburtsdatum. Neben E-Mail und Passwort ändern die Hijacker jedoch auch diesen Eintrag, so dass Geschädigten oft nur der mühsame Weg über telefonischen Kontakt zu einem Mitarbeiter des Kundendienstes bleibt. Auch fies: ein nicht geringer Teil der Spieler trägt bei persönlichen Angaben wie dem Geburtstagsdatum ohnehin nur einen Fantasie-Wert ein, weshalb sich die Frage stellt wieso überhaupt nach diesem Kriterium validiert wird.
Erster Hinweis bereits vor zwei Wochen
Offen ist auch die Frage, warum der Angriff in diesem Umfang erfolgen kann, stammt die erste Meldung doch bereits [url=http://www.computerbase.de/forum/showthread.php?t=1127925]aus dem Vormonat. Ende Oktober wurde über den gekaperten Account von Dušan Šimonovič, EA Community Manager für Tschechien, ein Beitrag in den Battlelog-Foren platziert. In dem Beitrag behauptet der Autor, der sich selbst als Mitglied des Kollektivs aus Estland bezeichnet, dass sich Anonymous Zugriff zur Datenbank verschafft hat und weitere Aktionen folgen werden. Ob dieser Zugriff wirklich erfolgt ist, scheint mehr als fraglich. Einen solch schweren Vorfall hätte EA auf keinen Fall verheimlichen und alle Kunden informieren müssen.
Keine Handlungsempfehlung
Dass an dem Hijacking etwas dran ist, zeigt jedoch ein Beitrag von Šimonovič selbst. In einer Statusmeldung im Battlelog hält dieser mit einer gewissen Portion Ironie fest, dass es sich wohl weniger um einen Hack als eine Lücke im Script handelt. Und dennoch: solange EA diese Lücke nicht schließt oder Handlungsanweisungen zum Schutz veröffentlicht, gibt es von uns keine Empfehlung außer extrem Vorsichtig zu sein und die News zum Thema aufmerksam zu verfolgen. Sollte euer Account gekapert werden, verweist in den Gesprächen mit dem Kundenservice auf die hier verlinkten Beiträge und kontaktiert gegebenenfalls die telefonische Hotline.
Solltet ihr weitere Infos im Netz finden, teilt sie mit anderen im Forum oder den Kommentaren in den News. Zum Beispiel diesen Hinweis bei NeoGAF, der Betroffenen mit verknüpftem XBox-Account helfen soll.
Bilder
- EA Kundendienst Deutschland (Tel. Hotline)
- Erste Meldung zum Account-Problem bei Computerbase
- Eurogamer zum Sicherheitsproblem bei Origin
- Hotfix für Spieler mit verknüpften XBox-Accounts
- Kotaku zum Sicherheitsproblem bei Origin
- Reddit zum Sicherheitsproblem bei Origin
- Statement von Dušan Šimonovič zum Vorfall
- VG247 zum Sicherheitsproblem bei Origin
Ich weiß selber garnicht, ob ich das echte Geburtsdatum angegeben habe. Wo kann ich das nachschauen?
Ich bin zwar auch mit der Marketingpolitik von EA nicht glücklich aber so machen sie sich auch keine Freunde....
Die sollten ihr Hauptaugenmerk auf ihren Widersacher richten und nicht die unschuldigen "Zivilisten", wie immer.
Desto mehr geschädigte unschuldige Zivilisten desto weniger wird EA verdienen. Noch mehr solcher Attacken und die Leute überlegen es sich in Zukunft eine "Originfreie" Version des Spiels zu besorgen.
Ich kann diese Hacker genauso wenig leiden wie Hacker, die Games hacken. Aber bei so manchem Game bin ich ganz froh das es irgendwo eine modifizierte exe gibt die sämtliche Online Pflicht deaktiviert.
Klar das da irgendwann irgendwelche Kiddies oder andere Vögel kommen und das kaputt machen. Das ist auch kein hacken. Das ist billiges ausnutzen von (bekannten) Javascript-Sicherheitslücken. Mit der gleichen Methode könnte man auch die Accounts von BF-G klauen.
Aber es ist halt billig und einfach so einen Scheiß zu entwickeln. Und universell einsetzbar auch noch, siehe MoH. Die haben halt nen Rad ab bei EA.
http://www.golem.de/news/onlineportal-ea-bestreitet-hack-von-origin-1211-95722.html
Es ist natürlich dumm, das der Origin und der Battlelog-Account der selbe ist. Oder kann man die getrennt voneinander einrichten? Kann mich da nicht mehr erinnern.
@Bigmumu: Afaik not. Origin-PW ist immer gleich Battlelog-PW/Login :/
Wir, die ihr Geld schon EA gegeben haben, sind doch keine Einnahmequelle mehr für EA, ganz im Gegenteil. Wir kosten EA sogar Geld (Serverwartung, Bugfixes, etc). Also ist es nicht die effizienteste Methode Druck auf EA aufzubauen.
Wären die schlauer würden sie die Keyserver oder den Store lahmlegen damit die wahre Geldquelle für die versiegt.
Außenstehende mithilfe von Verbrechen als Druckmittel zuverwenden kommt der Methode des Terrorismus gleich... naja Cyberterrorismus um genau zu sein.
Über mir: sicherlich mit den demnächst erhältlichen "Premium-Safety-Pack" von EA
Ich finde bei Origin nämlich nur mein Passwort und meine ID, die ich ändern kann.
Bei Steam ist das ganz gut gemacht. Da muss man jeden weiteren Rechner, mit dem man zocken will, freigeben. Und der Login ist nicht einfach die Mailadresse
Du kannst das Geburtsdatum nicht ändern.
@bigmumu
PW ändern bringt in diesem Fall gar nix.
Es geht doch darum, das Jemand deine Email-Adresse hat und dann mit diversen Methoden einfach dein PW knackt. Und schon hat er Zugriff auf deinen Origin-Account und ändert das PW. Oder raff ich da was nich?
Sollte ich nämlich gefragt werden, welches Geburtsdatum ich eingetragen habe, würde ich das schon gerne wissen. Und da ich es im Moment nicht mehr weiss wo und welches Geburtsdatum ich eingegeben habe.......!
Daher nochmal die Frage:
Wo gibt man das Geburtsdatum ein, welches bei einem eventuellen Accounthack und zur Wiederherstellung benötigt und von EA abgefragt wird???
Gleich bei der Erstellung des EA/Origin Accounts.
@bigmumu
Die Hacker haben deine E-Mail und ändern das Geburtsdatum über die Sicherheitslücke. Dann kontaktieren die den EA Support, autorisieren sich mittels E-Mail und Geb-datum und bekommen die Zugriff aufs Origin Konto.
Wie soll man ohne PW das Geburtsdatum ändern? Außerdem sieht der Typ vom Support, das das Geburtsdatum vor kurzem geändert wurde in den Logs. Und welcher "Hacker" quält sich durch den Support um einen Account zu bekommen? Diese Vorgangsweise halte ich für recht unwahrscheinlich. Da macht es ja fast mehr "Sinn" als wirklicher Hacker gleich per Backdoor-Trojaner alles zu klauen.
Ich musste letzten Monat auch schon mehrfach meinem Account ein neues Passwort zuteilen, da anscheinend jemand mehrfach versucht hat sich einzuloggen. Ich habe aber bei Origin mir jetzt ein anderes Passwort zugelegt, als z.B. hier.
Empfehle Keypass als Passwortspeicher, denn irgendwann blickt keiner mehr durch
Na über die "Sicherheitslücke" (wahrscheinlich via Reverse Engineering herausgefunden). Die hatten keinen Zugriff auf die DB. Der Supporttyp sieht kein Änderungsdatum des Geburtsdatums. Welcher Hacker? Irgendwelche Scriptkiddies die die Accounts dann verkaufen wollen,
Da hast du schon recht.
Ich halte es einfach nur für wahrscheinlicher, das die "Sicherheitslücke" das sicherheitstechnisch selten dämlich konzipierte Battlelog ist, da HTML und JS immernoch recht anfällig sind. Und die einfachste Methode hat renesweb74 ja ganz gut beschrieben.
Ist halt behindert, das Battlenet und Origin so fest zusammenhängen.
Ich persönlich fände es nicht schlecht wenn man den EA Account über nen Authentikator schützen könnte, ist zwar auch nicht optimal aber meines Wissens recht sicher. ( Bei Bioware und co wird das ja auch gemacht ).
Ich habe seinerzeit ein Fake Geburtsdatum eingegeben.. und es mir nicht gemerkt. So habe ich schon zwei mal ein Problem mit dem Support gehabt, da ich mich authorisieren sollte, es aber nicht konnte. Leider gab man mir auch nicht die Möglichkeit, das Geburtsdatum zu korrigieren.. da ich mich ja nicht authorisieren konnte.
Das ist mein erstes Origin game.. und ganz sicher auch mein Letztes!
scheisse ne aftermath und alles andere kann mir gestohlen bleiben. jetzt si es ganz sicher es landet kein cent mehr von mir bei den game battlefield. ^^
ohh man erst ne warnung rausgeben und dann dementieren usw.
alles blabla es gibt kein sicheres system, alles ist knackbar.
100% sicherheit daran glauben nur menschen die auch an den weinachtsmann glauben.
aber ich muss zugeben, das ea das system auch cool konzipiert hat. vorallem die sache mit dem geburtstagdaten usw als sicherheitsrelevants zu gewehrleisten is schon mehr als fahlässig. und wegen dieser dummheit is battlefield für mich kein thema mehr. agtermath und was da noch kommen mag, ohne mich.
aber der Ansatz "100% sicherheit daran glauben nur menschen die auch an den weinachtsmann glauben. " war gut. Da solltest du weiter ansetzen.... der Rest Trash!
Ich könnte nun meine Schadenfreude über die blinde "Technikhörigkeit" von vielen Mitbewohnern zum Ausdruck bringen, unterlasse dies aber aus Respekt gegenüber den Versuchstierchen.
Meine SCL-Vorbestellung wird gecancelt, daher geht mein Dank an EA für etliche dazugewonnene Stunden Freizeit, die ich unter anderem gerne für solche Beiträge hier zur Verfügung stelle.
EAsucks.
habe mich mal mit meinem psn account eingeloggt was dann auch ging aber komischerweise stand dann da eine ganz andere email und ein neuer name und außerdem bin ich jetzt auch noch mit russischer Nationalität geführt... super -.-
So kann man auch seine Kundschaft vergrauen.
Behinderte Affen die lediglich ehrlichen Bürgern das leben schwer machen ....
Die sollten ihre imba skillz mal sinnvoll benutzen - ein Antivirenprogramm schreiben - oder ne Firewall basteln.
Statt desen benehmen sich erwachsene Menschen wie Kleinkinder und denken Sie wären unantastbar und unfehlbar.
Verstehe nicht ganz was du mit deinem Beitrag sagen willst, aber....
Ich glaub nicht , dass das davon abhängig ist, ob man seinen Account gerade benutzt oder nicht. Die werden ne Art Liste haben und dort wahrlos irgendwelche Accounts auswählen. Oder nen Programm dass dies per Zufallsprinzip automatisch erledigt.
ich war einer der Unglücklichen..mein Account wurde occupiert von einem kleinen russischen A******loch und hieß nachher 300kr..
Bei mir wurde auch das Geburtsdatum verändert. Zähe Verhandlungen mit dem Support von EA.
Nur durch Fotos der Spiele-CDs bin ich wieder in den Besitz meiner Spiele gekommen.
Warum wird nicht über die alte Email-adresse eine Sicherheitsabfrage gestartet ??
Laut Support, weil mach ein Gamer bei der Installation eine Adresse angibt auf die er später keinen Zugriff mehr hat ??!!
Hier ist noch einiges an Fragen zur Sicherheit offen.
Früher musste man das Spiel im Laufwerk haben, sonst ging nix. Dagegen hätte ich nichts einzuwenden.
Also , immer Emails checken und darauf achten wenn eine kommt , in der es heißt "ihr emailkonto wurde erfolgreich geändert in ..."
hab ich nich,was wäre dann?
kassenbon?
hab ich nicht...
was nun?
konnte sich mal wieder Battlefield: Bad Compnay 2 beweisen, ist eh fast ein Battlefield 3.
Ich hatte jedenfalls für ein paar Stunden meinen Spaß gehabt.