News Battlefield Zahlreiche Accounts gekapert: Sicherheitslücke in Battlelog oder Origin?

Zahlreiche Accounts gekapert: Sicherheitslücke in Battlelog oder Origin?

Zahlreiche Accounts gekapert: Sicherheitslücke in Battlelog oder Origin?
von -=Punkbuster=- 14.11.2012 47 Kommentare

Offenbar ist es Angreifern gelungen, sich Zugang zu etlichen Accounts in EAs Online-Plattform Origin zu verschaffen. Darüber berichten betroffene Spieler sowie zahlreiche Online-Magazine wie Eurogamer, Kotaku und VG247 [/url]im Internet. Die betroffenen Accounts wurden dabei durch eine Änderung der hinterlegten E-Mail-Adresse und des Passworts für die eigentlichen Besitzer unzugänglich gemacht. Wie sich die Angreifer Zugang zu den Accounts schaffen ist bisher unklar, denn eine offizielle Stellungnahme seitens EA gibt es bisher nicht. Angesichts der extrem hohen Zahl betroffener Benutzer sehen wir die Bedrohung jedoch als gegeben an.

Support wird ausgetrickst

Nutzer, deren Accounts gekapert wurden, berichten zudem von einem weiteren Problem. Um den Besitzer des Accounts zu verifizieren, zieht der EA-Support nicht etwa einen der hinterlegten Game-Keys heran, sondern das im Account hinterlegte Geburtsdatum. Neben E-Mail und Passwort ändern die Hijacker jedoch auch diesen Eintrag, so dass Geschädigten oft nur der mühsame Weg über telefonischen Kontakt zu einem Mitarbeiter des Kundendienstes bleibt. Auch fies: ein nicht geringer Teil der Spieler trägt bei persönlichen Angaben wie dem Geburtstagsdatum ohnehin nur einen Fantasie-Wert ein, weshalb sich die Frage stellt wieso überhaupt nach diesem Kriterium validiert wird.

Erster Hinweis bereits vor zwei Wochen

Offen ist auch die Frage, warum der Angriff in diesem Umfang erfolgen kann, stammt die erste Meldung doch bereits [url=http://www.computerbase.de/forum/showthread.php?t=1127925]aus dem Vormonat. Ende Oktober wurde über den gekaperten Account von Dušan Šimonovič, EA Community Manager für Tschechien, ein Beitrag in den Battlelog-Foren platziert. In dem Beitrag behauptet der Autor, der sich selbst als Mitglied des Kollektivs aus Estland bezeichnet, dass sich Anonymous Zugriff zur Datenbank verschafft hat und weitere Aktionen folgen werden. Ob dieser Zugriff wirklich erfolgt ist, scheint mehr als fraglich. Einen solch schweren Vorfall hätte EA auf keinen Fall verheimlichen und alle Kunden informieren müssen.

Keine Handlungsempfehlung

Dass an dem Hijacking etwas dran ist, zeigt jedoch ein Beitrag von Šimonovič selbst. In einer Statusmeldung im Battlelog hält dieser mit einer gewissen Portion Ironie fest, dass es sich wohl weniger um einen Hack als eine Lücke im Script handelt. Und dennoch: solange EA diese Lücke nicht schließt oder Handlungsanweisungen zum Schutz veröffentlicht, gibt es von uns keine Empfehlung außer extrem Vorsichtig zu sein und die News zum Thema aufmerksam zu verfolgen. Sollte euer Account gekapert werden, verweist in den Gesprächen mit dem Kundenservice auf die hier verlinkten Beiträge und kontaktiert gegebenenfalls die telefonische Hotline.

Solltet ihr weitere Infos im Netz finden, teilt sie mit anderen im Forum oder den Kommentaren in den News. Zum Beispiel diesen Hinweis bei NeoGAF, der Betroffenen mit verknüpftem XBox-Account helfen soll.

Bilder

Schlagwörter
Kommentare
14.11.2012 22:00 ProfAbsurdis
Dolle Sache, wenn alles so schön zentral läuft. Ein "schnöder Key" tut´s ja nicht mehr. :p
14.11.2012 22:00 aqab0N
Da kann man nur hoffen, dass es einen nicht trifft =/

Ich weiß selber garnicht, ob ich das echte Geburtsdatum angegeben habe. Wo kann ich das nachschauen?
14.11.2012 22:01 -=Punkbuster=-
Hilft ja im Prinzip auch nix. Wenn die Accounts gekapert werden, wird das Datum offensichtlich mit angepasst :/
14.11.2012 22:05 aqab0N
Vielleicht loggen sie ja die Änderung. Dann kann man wenigstens dem Support noch erzählen: Am 14. hab ich selbst das Geburtsdatum auf den WasAuchImmer geändert
14.11.2012 22:18 TanteEmma
Der Heroes Hack ist ja sich nicht all zu lange her...
14.11.2012 22:55 Com.Sordan
Mir ist das vor 2 Wochen auch passiert, war aber quasi "Live" dabei, als es passierte. Zwischen dem C&C Browsergame, was auch den Originaccount benötigt und MoH gewechselt, da war dann schon mein PW "angeblich" falsch. Obwohl ich zu dem Zeitpunkt, 5:00 früh, rotzevoll war, war ich noch in der Lage, ne Passwortrücksetzanfrage zu schicken, meine Mailadresse hatten sie noch nicht geändert.
15.11.2012 01:16 Lexy
Origin mal wieder? Soso.. ^^
15.11.2012 01:39 wedge13
Es steht zwar noch nicht endgültig fest ob diese "anonymen Trinker" wirklich die Täter sind aber falls doch: warum beuteln sie die ehrliche Kundschaft von EA und nicht EA selbst?
Ich bin zwar auch mit der Marketingpolitik von EA nicht glücklich aber so machen sie sich auch keine Freunde....

Die sollten ihr Hauptaugenmerk auf ihren Widersacher richten und nicht die unschuldigen "Zivilisten", wie immer.
15.11.2012 06:13 -13-Ger
Es sind aber die unschuldigen Zivilisten die EA ihr Geld geben. Ergo:
Desto mehr geschädigte unschuldige Zivilisten desto weniger wird EA verdienen. Noch mehr solcher Attacken und die Leute überlegen es sich in Zukunft eine "Originfreie" Version des Spiels zu besorgen.
Ich kann diese Hacker genauso wenig leiden wie Hacker, die Games hacken. Aber bei so manchem Game bin ich ganz froh das es irgendwo eine modifizierte exe gibt die sämtliche Online Pflicht deaktiviert.
15.11.2012 07:21 bigmumu
Das Battlelog ist ein Haufen Müll bestehend aus HTML und Javascript.
Klar das da irgendwann irgendwelche Kiddies oder andere Vögel kommen und das kaputt machen. Das ist auch kein hacken. Das ist billiges ausnutzen von (bekannten) Javascript-Sicherheitslücken. Mit der gleichen Methode könnte man auch die Accounts von BF-G klauen.
Aber es ist halt billig und einfach so einen Scheiß zu entwickeln. Und universell einsetzbar auch noch, siehe MoH. Die haben halt nen Rad ab bei EA.
15.11.2012 10:49 Gast
15.11.2012 10:58 bigmumu
Ja in die Origindatenbanken zu kommen ist auch was anderes, als das Battlelog zu bumsen.
Es ist natürlich dumm, das der Origin und der Battlelog-Account der selbe ist. Oder kann man die getrennt voneinander einrichten? Kann mich da nicht mehr erinnern.
15.11.2012 11:00 -=Punkbuster=-
@weapi: Glaube ich sogar. Wenn wirklich irgendwer die DB geklaut hätte, dann könnte das niemals verheimlicht werden. Wir gehen deshalb davon aus, dass einzelne Accounts über eine bisher nicht bekannte Methode gekapert werden können. Solche Lücken sind ja per se nichts ungewöhnliches, nur angesichts der Validierung via Geb. Datum einfach lästig.

@Bigmumu: Afaik not. Origin-PW ist immer gleich Battlelog-PW/Login :/
15.11.2012 11:10 Gast
Trotzdem w?rde es mich interessieren wie ich meinen Acc zus?tzlich absichern kann. Es kann ja nicht war sein das jeder Hanspampel der meine Email Adresse, Namen und Geb. Datum kennt ein neues Password bekommt.
15.11.2012 11:11 wedge13
@ -13-Ger

Wir, die ihr Geld schon EA gegeben haben, sind doch keine Einnahmequelle mehr für EA, ganz im Gegenteil. Wir kosten EA sogar Geld (Serverwartung, Bugfixes, etc). Also ist es nicht die effizienteste Methode Druck auf EA aufzubauen.
Wären die schlauer würden sie die Keyserver oder den Store lahmlegen damit die wahre Geldquelle für die versiegt.

Außenstehende mithilfe von Verbrechen als Druckmittel zuverwenden kommt der Methode des Terrorismus gleich... naja Cyberterrorismus um genau zu sein.

Über mir: sicherlich mit den demnächst erhältlichen "Premium-Safety-Pack" von EA ;)
15.11.2012 11:13 scratchy
Ich hab ja kein Origin... kriegt man dann an seinem Geburtstag wenigstens was geschenkt?
15.11.2012 11:15 -=Punkbuster=-
Waschmaschine, Trockner und Readers Digest Abo. Versand frei haus :ugly:
15.11.2012 11:24 Problemkind
Wo musste man das Geburtsdatum hinterlegen? In Origin selbst oder im Battlelog?
Ich finde bei Origin nämlich nur mein Passwort und meine ID, die ich ändern kann.

15.11.2012 11:31 bigmumu
Wenn ihr Angst habt, ändert euer Passwort. Es sollte mindestens 8 Stellen haben und aus Groß- und Kleinbuchstaben und Zahlen bestehen.
Bei Steam ist das ganz gut gemacht. Da muss man jeden weiteren Rechner, mit dem man zocken will, freigeben. Und der Login ist nicht einfach die Mailadresse ;)
15.11.2012 12:12 Dayjay
@Problemkind
Du kannst das Geburtsdatum nicht ändern.

@bigmumu
PW ändern bringt in diesem Fall gar nix.
15.11.2012 13:05 bigmumu
@Dayjay
Es geht doch darum, das Jemand deine Email-Adresse hat und dann mit diversen Methoden einfach dein PW knackt. Und schon hat er Zugriff auf deinen Origin-Account und ändert das PW. Oder raff ich da was nich?
15.11.2012 13:13 Problemkind
@Dayjay, ich wollte eigentlich nur wissen wo ich das Geburtsdatum hinterlegt habe.
Sollte ich nämlich gefragt werden, welches Geburtsdatum ich eingetragen habe, würde ich das schon gerne wissen. Und da ich es im Moment nicht mehr weiss wo und welches Geburtsdatum ich eingegeben habe.......!

Daher nochmal die Frage:
Wo gibt man das Geburtsdatum ein, welches bei einem eventuellen Accounthack und zur Wiederherstellung benötigt und von EA abgefragt wird???
15.11.2012 13:41 El_Exodus
und aus dem Grund steh ich auch noch auf die klassische DVD. da kann mir kein hackerbumshirn meine spiele und daten klauen.
15.11.2012 13:47 Dayjay
@Problemkind
Gleich bei der Erstellung des EA/Origin Accounts.

@bigmumu
Die Hacker haben deine E-Mail und ändern das Geburtsdatum über die Sicherheitslücke. Dann kontaktieren die den EA Support, autorisieren sich mittels E-Mail und Geb-datum und bekommen die Zugriff aufs Origin Konto.

15.11.2012 14:03 bigmumu
@Dayjay
Wie soll man ohne PW das Geburtsdatum ändern? Außerdem sieht der Typ vom Support, das das Geburtsdatum vor kurzem geändert wurde in den Logs. Und welcher "Hacker" quält sich durch den Support um einen Account zu bekommen? Diese Vorgangsweise halte ich für recht unwahrscheinlich. Da macht es ja fast mehr "Sinn" als wirklicher Hacker gleich per Backdoor-Trojaner alles zu klauen.
15.11.2012 14:13 renesweb74
Man braucht doch nur ein Forum oder Seite zu hacken und man hat mit Sicherheit ca. 50% der Origin Accounts! Siehe dieses Forum... es gibt sogar Threads mit Anmeldenamen ;) von daher sollte man erst einmal vor der eigenen Haustür sauber machen...als einfach auf Origin rumzuhacken.

Ich musste letzten Monat auch schon mehrfach meinem Account ein neues Passwort zuteilen, da anscheinend jemand mehrfach versucht hat sich einzuloggen. Ich habe aber bei Origin mir jetzt ein anderes Passwort zugelegt, als z.B. hier.

Empfehle Keypass als Passwortspeicher, denn irgendwann blickt keiner mehr durch ;)
15.11.2012 14:22 Dayjay
@bigmumu
Na über die "Sicherheitslücke" (wahrscheinlich via Reverse Engineering herausgefunden). Die hatten keinen Zugriff auf die DB. Der Supporttyp sieht kein Änderungsdatum des Geburtsdatums. Welcher Hacker? Irgendwelche Scriptkiddies die die Accounts dann verkaufen wollen,
15.11.2012 14:29 bigmumu
@Dayjay
Da hast du schon recht.
Ich halte es einfach nur für wahrscheinlicher, das die "Sicherheitslücke" das sicherheitstechnisch selten dämlich konzipierte Battlelog ist, da HTML und JS immernoch recht anfällig sind. Und die einfachste Methode hat renesweb74 ja ganz gut beschrieben.
Ist halt behindert, das Battlenet und Origin so fest zusammenhängen.
15.11.2012 14:53 Fl1nt
Hm, schon ziemlich lästig.....
Ich persönlich fände es nicht schlecht wenn man den EA Account über nen Authentikator schützen könnte, ist zwar auch nicht optimal aber meines Wissens recht sicher. ( Bei Bioware und co wird das ja auch gemacht ).
15.11.2012 16:29 Rufuz
Das Geburtsdatum kann man nicht einsehen, geschweige denn ändern.
Ich habe seinerzeit ein Fake Geburtsdatum eingegeben.. und es mir nicht gemerkt. So habe ich schon zwei mal ein Problem mit dem Support gehabt, da ich mich authorisieren sollte, es aber nicht konnte. Leider gab man mir auch nicht die Möglichkeit, das Geburtsdatum zu korrigieren.. da ich mich ja nicht authorisieren konnte.

Das ist mein erstes Origin game.. und ganz sicher auch mein Letztes!
15.11.2012 16:46 Ale42er
looooooooooooooooooooooool

scheisse ne aftermath und alles andere kann mir gestohlen bleiben. jetzt si es ganz sicher es landet kein cent mehr von mir bei den game battlefield. ^^

ohh man erst ne warnung rausgeben und dann dementieren usw.
alles blabla es gibt kein sicheres system, alles ist knackbar.

100% sicherheit daran glauben nur menschen die auch an den weinachtsmann glauben. ;)
aber ich muss zugeben, das ea das system auch cool konzipiert hat. vorallem die sache mit dem geburtstagdaten usw als sicherheitsrelevants zu gewehrleisten is schon mehr als fahlässig. und wegen dieser dummheit is battlefield für mich kein thema mehr. agtermath und was da noch kommen mag, ohne mich. ;)
15.11.2012 17:10 renesweb74
@Ale42er bei Dir kommt auch nur noch das gleiche im Text vor!

aber der Ansatz "100% sicherheit daran glauben nur menschen die auch an den weinachtsmann glauben. " war gut. Da solltest du weiter ansetzen.... der Rest Trash!
15.11.2012 17:30 Ale42er
^^ okay.
16.11.2012 07:17 Onkel_Mo
Ein Deutschkurs wäre bestimmt auch mal ein Ansatz. :D
16.11.2012 11:18 Lexy
Wieso? Du konntest verstehen was er geschrieben hat - Ziel erreicht! ^^
16.11.2012 12:49 alterRasierschaum
omg, schon der 3te Geburtstag dieses Jahr, soviel kann ja niemand saufen :ugly:

Ich könnte nun meine Schadenfreude über die blinde "Technikhörigkeit" von vielen Mitbewohnern zum Ausdruck bringen, unterlasse dies aber aus Respekt gegenüber den Versuchstierchen.

Meine SCL-Vorbestellung wird gecancelt, daher geht mein Dank an EA für etliche dazugewonnene Stunden Freizeit, die ich unter anderem gerne für solche Beiträge hier zur Verfügung stelle.

EAsucks.
16.11.2012 16:34 GunNYHIGHway
Lass Origin in Ruhe. Startet lieber einen Firesale ^^
16.11.2012 19:12 Lambo
oh mann da werde ich mir wohl demnächst mein ohr abtelefonieren weil mein account wurde auch gehackt und zwar der gesamte ea und origin account.

habe mich mal mit meinem psn account eingeloggt was dann auch ging aber komischerweise stand dann da eine ganz andere email und ein neuer name und außerdem bin ich jetzt auch noch mit russischer Nationalität geführt... super -.-
17.11.2012 12:27 DarkSpike
Ich werde überhaupt kein EA Game mehr starten, geschweige denn kaufen, bevor die was dagegen unternommen haben.
So kann man auch seine Kundschaft vergrauen.
17.11.2012 14:24 Shifty 16
Origin hin oder her, wer meinen Account hackt legt sich auch mit mir an und nicht mit dem betreiber von Origin.

Behinderte Affen die lediglich ehrlichen Bürgern das leben schwer machen ....
Die sollten ihre imba skillz mal sinnvoll benutzen - ein Antivirenprogramm schreiben - oder ne Firewall basteln.
Statt desen benehmen sich erwachsene Menschen wie Kleinkinder und denken Sie wären unantastbar und unfehlbar.
17.11.2012 18:59 Gast
Der Großteil der Leute die jetzt noch in BF3 rumlaufen haben es sogar verdient ihren Account zu verlieren.
18.11.2012 14:55 Problemkind
@Turican
Verstehe nicht ganz was du mit deinem Beitrag sagen willst, aber....
Ich glaub nicht , dass das davon abhängig ist, ob man seinen Account gerade benutzt oder nicht. Die werden ne Art Liste haben und dort wahrlos irgendwelche Accounts auswählen. Oder nen Programm dass dies per Zufallsprinzip automatisch erledigt.


18.11.2012 15:21 Turnbeutel
Turican isn Troll, einfach ignorieren. Normalerweise gehört der gebannt.
18.11.2012 17:57 Johnboyw1
Hi Friends ,

ich war einer der Unglücklichen..mein Account wurde occupiert von einem kleinen russischen A******loch und hieß nachher 300kr..
Bei mir wurde auch das Geburtsdatum verändert. Zähe Verhandlungen mit dem Support von EA.
Nur durch Fotos der Spiele-CDs bin ich wieder in den Besitz meiner Spiele gekommen.
Warum wird nicht über die alte Email-adresse eine Sicherheitsabfrage gestartet ??
Laut Support, weil mach ein Gamer bei der Installation eine Adresse angibt auf die er später keinen Zugriff mehr hat ??!!
Hier ist noch einiges an Fragen zur Sicherheit offen.
Früher musste man das Spiel im Laufwerk haben, sonst ging nix. Dagegen hätte ich nichts einzuwenden.
Also , immer Emails checken und darauf achten wenn eine kommt , in der es heißt "ihr emailkonto wurde erfolgreich geändert in ..."
19.11.2012 15:44 Ale42er
spiele cd?
hab ich nich,was wäre dann?
kassenbon?
hab ich nicht...
was nun?
19.11.2012 16:08 Dayjay
Pech, weil man sich wegen sowas Rechnungen (Kassenbons) aufhebt.
13.12.2012 05:33 Gast
naja,
konnte sich mal wieder Battlefield: Bad Compnay 2 beweisen, ist eh fast ein Battlefield 3.
Ich hatte jedenfalls für ein paar Stunden meinen Spaß gehabt.