Turbine Server ist gehackt worden

EDIT: Jetzt auch ganz offiziell ein DDO-Problem:
http://www.ddo.com/en/news/1706-forum-maintenance

Nachdem die Suchfunktion von DDO-Wiki gehackt wurde und dort zeitweise ein Trojaner im Script versteckt war (zum Glück hab ich No-Script ) wurden nun die Server von Turbine direkt angegriffen. Turbine hat diesen auf TenTonHammer
( http://www.tentonhammer.com/lotro/ ) geäußerten Verdacht inzwischen auf Facebook
( https://www.facebook.com/LOTRO/posts/10150416055666329 ) etwas verklausuliert bestätigt. Hier geht es zwar erstmal um LOTRO, aber sicherheitlshalber wurden die Foren von DDO und AC mit vom Netz genommen. In einem alternativen DDO-Froum berichtet ein Spieler von Sicherheitslücken, die er auf den DDO Seiten gefunden hat.
( http://www.ddovault.com/cgi-bin/yabb2/YaBB.pl?num=1317503427 , dieses Forum wird nicht zensiert, wundert euch also nicht über die ganzen Flüche, Cheats und Geschmacklosigkeiten, die Leute sind in erster Linie von Argo und Khyber.) Ich habe sicherheitshalber meine Passwörter für DDO und das Forum geändert und hoffe mal, niemand hat im Forum das selbe Passwort wie im Spiel genutzt. Wenn doch würde ich eventuell hinterlegte Kreditkarten gut im Auge behalten. Sicher ist sicher. Hoffe niemanden ist was passiert.
Beste Grüße, Jiirix

Hallo mal wieder. So langsam kommt Licht in die Sache und es ist vage bekannt, warum alle Turbine Foren ohne Voranmeldung seit Tagen vom Netz sind. Es handlet sich um ein Problem, dass Turbine angeblich von Codemaster geerbt hat. Bei Turbine Accounts ist es möglich und auch empfohlen im Forum ein anders Passwort zu nutzen wie im Spiel. Bei einigen Codemaster-Accounts wurde aber von Codemaster für deren Foren automatisch eine Foren-Anmeldung erstellt, bei der Forumpasswort = Gamepasswort war. Bei den Spielern, die das später nie geändert haben, oder sich einfach nie im Forum angemeldet haben bestand dieser Eintrag auf der SQL-Datenbank der Foren bis jetzt. Turbine hat diese Datenbanken vermutlich "am Stück" von Codemaster übernommen und das Problem dieser automatisch genierten Foren-Anmeldungen nicht endeckt. Einige Spieler haben wahrscheinlich auch selbst das gleiche Passwort für beide Anmeldungen eingegeben.

Die Datenbanken von Foren werden leider regelmäßig angegriffen, wer von euch ein Forum erstellt oder betreut hat dürfte das wahrscheinlich schon erleben. So ein kleines Forum wie dieses hier muss sich aber meistens nur der Spamm-Bots erwehren. Bei den Turbine Foren hat sich jemand richtig Mühe gegeben und angeblich eine Sicherheitslücke genutzt, die über eine URL Zugriff auf die SQL-Datenbank ermöglicht.Und weil Foren eben angreifbar sind, sollten dort niergendwo Daten abgespeichert werden, die sensible Information enenthalten. (Wie die Passwörter für den Log-In ins Spiel. Hat Turbine auch nicht gemacht, Codemaster war's, wenn die Berichte stimmen.)

Ein Nutzer konnte den Hack nachmachen und hat das Tool genannt, mit dem die Daten auszulesen sind. Zum Beweis wurden drei Datensätze mit Passwort-Hashes in einem Forum gepostet und sofort von den Admins gelöscht. Seit dem sind alle Turbine Foren zur Wartung offline. Wie viele Informationen aus den Datenbanken kopiert wurden weis wahrscheinlich nur der Hacker, aber seit dem 11.10. werden die Daten für Vandalismus an Account genutzt. Betroffen scheint in erster Line LOTRO zu sein, dort mussten die DEVs größere Mengen Accounts wiederherstellen. Immerhin können sie das. Bis jetzt gibt es nur bestätigte Berichte über gelöschte Accounts, mir ist noch keine Meldung über Kreditkartenmissbrauch untergekommen. Auch die Game-Server sind wohl nicht betroffen, es geht nur ums Forum.

Ob alle Angaben stimmen, kann ich nicht nachvollziehen, aber die Möglichkeit auf die Foren-Datenbank zuzugreifen wurde auf Facebook, TenTonHammer und in den alternativen Foren von Lotro/DDO als Grund für die lange Wartung angegeben. Von gelöschten Accounts habe ich ingame und in den Foren gehört, da scheint auch was dran zu sein. Und dass das zu Grunde liegende Problem Game-Passwörter in der Forendatenbank sind klingt recht einleuchtend. Vielleicht könnted Ihr unsere Gilden Meldung dahingehend ändern, dass lange Passwörter mit Sonderzeichen nicht/nur schwer aus dem Hashwert errechnet werden können? Damit ist man auch vor zukünftigen Angriffen dieser Art relativ sicher. Das Turbine als Grund für die Wartung nur "Probleme" angibt ist verständlich, kein Unternehmen schreibt: "Sorry, die Datenbank wurde angegriffen."

Hier steht noch ein bischen mehr dazu: http://lotrocommunity.com/forum/topic/927-wichtig-lotrocom-sicherheitslucke/

Wie gut, dass ich mir nie einen Forenaccount angelegt habe :) Und da ich ein "neuer" Spieler bin, und nicht von EU/Codemasters komme, gab es auch keinen automatischen Account für mich...

wo kann man nochmal das ddo passwort ändern?

Susl schrieb:wo kann man nochmal das ddo passwort ändern?

Hier: http://myaccount.turbine.com/

Die Seite ist noch online und sollte nicht zum Forum gehören. Kannst Dein DDO Passwort und dein Foren-Passwort dort ändern.

Bei mir hat es aber einen kleinen Bug mit dem Foren-Passwort gegeben. Habe mein Foren-Passwort geändert, dann aus dem Account-Management ausgeloggt und ein paar Stunden später versucht in MyDDO einzuloggen. Neues Passwort ging nicht, altes aber schon. Habe micht noch mal in das Accountmanagement eingeloggt und mich dann nicht getraut noch mal das Passwort zu ändern. Hatte die Befürchtung das könne dann völliges Chaos verursachen. Also wieder ausgeloggt und noch mal MyDDO probiert. Siehe da: Jetzt ging das neue Passwort ging und das alte nicht mehr.

Selice schrieb:Hier steht noch ein bischen mehr dazu: http://lotrocommunity.com/forum/topic/927-wichtig-lotrocom-sicherheitslucke/

Und erst mal will es keiner glauben, bzw. kritisieren den Informanten noch. War vielleicht nicht perfekt formuliert, aber da hat sich jemand die Mühe gemacht auf eine Sicherheitslücke hinzuweisen, die aktuell ausgenutzt wird. Undank ist der Welten Lohn, oder so.

thx :)

Jiirix schrieb:Das Turbine als Grund für die Wartung nur "Probleme" angibt ist verständlich, kein Unternehmen schreibt: "Sorry, die Datenbank wurde angegriffen."

Mal schauen, ein Brite schrieb in einem Forum dass sie britischen Nutzern nach britischem Recht genau das schreiben müssten, wenn personenbezogende Daten britischer Nutzer "weggekommen" sind... und nun, wo sie Warner gehören: Warner hat sicher eine Niederlassung in UK.

Was schon länger ärgerlich ist: man kann seine Zahlunginformation ändern, aber nicht löschen. Wenn Du einmal mit Kreditkarte bezahlt hast, bleibt die Kartennummer also auf ewig im Account, bist Du eine andere Zahlungsart einträgst.
Vielleicht denken sie ja nun mal etwas über Datenschutz nach.

Das Forum ist nun wieder da.