Im deutschen Community Forum hat jemand eine Sicherheitslücke entdeckt. Mit dieser ist es möglich zugriff auf die Datenbank von lotro.com zu haben.

Hier sein Post:


da sehr viele accounts gehackt worden sind dachte ich mir ich gucke mich mal ein bischen auf lotro.com um

ich hab dort eine sicherheitsluecke gefunden, wodurch man zugriff auf die db hat /auch das offizielle forum/

BITTE ALLE SOFORT PASSWORT ÄNDERN

ich hab die luecke bereits an turbine geschickt.

wenn ein admin hier einen beweis braucht um das zu verifizieren kann er mir bitte eine pm schicken.

ICH habe weder eure daten oder sonst was ausgespäht!

ich kann nicht genau sagen auf welche daten man genau zugriff hatte (auf die offiziellen foren daten zu 100%), weil ich nicht die komplette datenbank durchsucht habe und dieses auch nicht in meinem anliegen war.

BITTE VERTEILT ES, ICH HABE BEREITS EIN POSTING IM OFIZIELLEN FORUM GETÄTIGT UND DER FRED WURDE SOFORT IN EINEN NICHT SICHTBAREN BEREICH VERSCHOBEN!

gruss freundlich

edit: die sicherheitsluecke hat mit der migration von codemasters zu turbine zu tun, da wurde wieder schnell schnell eine lösung programmiert und nicht auf sicherheit geachtet ;(


Links zum Thema:

!WICHTIG lotro.com Sicherheitslücke! (http://lotrocommunity.com/forum/topic/927-wichtig-lotrocom-sicherheitslucke/)

Fragen zur Sicherheit bei LOTRO (http://lotrocommunity.com/forum/topic/934-fragen-zur-sicherheit-bei-lotro/)

Betrifft dass die Spielaccounts oder nur solche auf der Website? Weiß gerade überhaupt nicht mehr, wie ich mich da eigentlich anmelde, um mein PW zu ändern, da ich jetzt länger nicht gespielt habe.

Das Problem ist, dass Fornaccounts und Spielaccounts die gleichen Daten nutzen. Eine Unsitte, die bei amerikanischen Spielfirmen leider nicht selten ist. Die Forenseite von Turbine hat aber ein Sicherheitsleck, mit dem diese Daten nun ausgespäht werden konnten und es kam in letzter Zeit auch vermehrt zu Meldungen von gehackten Accounts .
Derzeit ist das Turbine-Forum mit folgender Meldung gesperrt.




Vor Kurzem wurden wir darüber in Kenntnis gesetzt, dass unsere HdRO Community Web-Anwendungen Sicherheitslücken aufweisen. Der Schutz unserer Spieler hat für uns höchste Priorität und wir nehmen alle potentiellen Probleme in diesem Zusammenhang sehr ernst. In direkter Konsequenz haben wir alle unsere Foren bis auf Weiteres geschlossen, um die Situation zu untersuchen. Diese Untersuchung dauert gegenwärtig noch an und die Foren werden erst dann wieder geöffnet werden, wenn dieser Prozess abgeschlossen ist.



Als zusätzliche Sicherheitsmaßnahme raten wir allen Spielern auf http://myaccount.turbine.com ihre Passwörter zu ändern. Bitte denkt daran einzigartige, schwer zu erratende Passwörter zu wählen, die Ihr nicht gleichzeitig auch für andere Onlinedienste verwendet. Darüber hinaus sollten alle Nutzer auf ungewöhnliche Konto-Aktivitäten achten und diese umgehend dem Turbine-Kundendienst melden.



Vielen Dank für Eure Geduld. Wir freuen uns darauf, in Kürze alle Bereiche der Community wieder für Euch bereitstellen zu können.

Bitte folgen Sie uns @LOTRO auf Twitter oder klicken Sie auf den „Gefällt mir“-Button auf Facebook, um während der Webserver-Wartungsarbeiten Updates zu erhalten.

Es kann passieren das bei euch folgende Meldung kommt, wenn Ihr euer PW ändern wollt:


The old password you entered was incorrect. [err: -1006]

Die Änderung wurde trotzdem angenommern. Dies könnt Ihr überprüfen in dem Ihr euch vom Konto abmeldet und zum Test eurer altes PW bei der Anmeldung für das Konto eingibt. Da sollte jetzt eine Meldung kommen das ein falschen PW eingegeben wurde. Nimmt Ihr nun euer neues PW konnt Ihr euch einloggen.

Es kann passieren das bei euch folgende Meldung kommt, wenn Ihr euer PW ändern wollt:[...]

Gut, dass das hier noch einmal steht. Ich hatte gestern ewig versucht gehabt, mein Passwort zu ändern, und ständig diese Meldung bekommen. Irgendwann macht man sich dann schon Sorgen, bis man zufällig bemerkt, dass die Änderung trotz Fehlermeldung doch angenommen wurde. ;)

Das Problem ist, dass Fornaccounts und Spielaccounts die gleichen Daten nutzen. Eine Unsitte, die bei amerikanischen Spielfirmen leider nicht selten ist. Die Forenseite von Turbine hat aber ein Sicherheitsleck, mit dem diese Daten nun ausgespäht werden konnten und es kam in letzter Zeit auch vermehrt zu Meldungen von gehackten Accounts .
Derzeit ist das Turbine-Forum mit folgender Meldung gesperrt.

Seh ich das richtig. Wenn mich bislang nicht im Turbine-Forum eingeloggt habe sollte mein Account halbwegs sicher sein (hab nichtsdestotrotz mein Passwort lieber mal geändert).

Das ist die große Frage. Auf die ich leider keine Antwort habe. Es ist einem User gelungen die Datenbank über die Sicherheitslücke im Forum zu hacken. Das hat er Turbine gemeldet.
Aber welche Daten nun genau ausgelesen werden konnten, was ausgelesen werden konnte... darüber herrscht keine Klarheit. Der zweite Link von Semnone im Eingangspost behandelt das "Problem". Auch dass die vermehrten Accounthacks der letzten Wochen auf dieses Sicherheitsproblem zurückzuführen sind ist nicht wirklich bestätigt worden. Die Vermutung liegt zwar nahe, aber Turbine wird vermutlich auch in Zukunft eher keine Details nennen.

Eine Passwortänderung ist aber sicher nicht verkehrt.

Ganz vergessen: es gibt von Sapience ein Update zum Forenstatus. (http://forums.lotro.com/showthread.php?425731-Update-zum-Forum-Status) Die Turbineforen sind seit gestern auch wieder online.

Ich habe mein PW jetzt auch um einiges Komplexer gemacht als vorher. Doof ist jetzt nur das ich mir das nicht merken kann.:D

Seh ich das richtig. Wenn mich bislang nicht im Turbine-Forum eingeloggt habe sollte mein Account halbwegs sicher sein (hab nichtsdestotrotz mein Passwort lieber mal geändert).

Ich habe wohl auch keinen Account fürs Forum gehabt, wenn ich mich Einlogge steht da rechts unten "Create Forum Account". Daher dürfte ich vielleicht auch auf der sicheren Seite sein? Was kann man denn noch machen, außer das Passwort zu verändern (habe mein alten nicht mehr gefunden, irgendwie ließen sich so meine gängigen PWs nicht eingeben)? Wie kann man sehen, ob schon jemand auf den Account zugegriffen hat? Warum macht Turbine da nichts? Habe bei Runes of Magic beispielsweise gesehen, da sind echt umfangreiche System zum Schutz eingebaut worden, virtuelle Tastaturen bei der PW-Eingabe und ein sekundäres Passwort (auch mit virtueller Tastatur), das hat mir ehrlich gesagt sehr imponiert, die hatten ja auch vorher ein Problem mit Hackern gehabt.

Dieses "Create Forum Account" ist noch ein Überbleibsel aus den Tagen vor mylotro. Seitdem Turbine diesen sog. Service anbietet, sind Foren- und Spielaccount verknüpft. Und somit spielt es keine Rolle, ob Du Dich im Forum herumtreibst oder nicht. Die Daten sind in der Datenbank.
Es soll angeblich helfen, zwei verschiedene Passwörter zu benutzen. Sprich, man loggt sich mit seinen Daten im Forum ein, setzt das Häkchen für "immer angemeldet bleiben" und geht dann auf die Accountseite und ändert das Passwort.
Solange nun keine Cookies von der Turbineseite gelöscht werden, bleibt man tatsächlich mit dem alten Passwort im Forum eingeloggt, muss aber für den Spielaccount das neue Passwort benutzen. Ob es tatsächlich hilft, kann ich nicht sagen. Vielleicht tut es das, vielleicht ist es auch nur ein Hirngespinst der Laienexperten. :D
Helfen tut wohl nur, öfters mal das Passwort zu wechseln und vor allem ein recht schwieriges zu wählen. "meinPa55wort123" ist halt keine schwierige Kombination. ;)

Warum Turbine keine besseren Sicherheitsmaßnahmen einsetzt... tja, gute Frage. Eine, die ich leider nicht beantworten kann. Man sollte eigentlich meinen, sowas einmal zu implementieren wäre einfacher, schneller, kostengünstiger als ständig die gehackten Accounts wiederherzustellen.