Forum: empire-de
Board: [555] Bugarchiv
Topic: [387370] Kritische Sicherheitslücke beim Einlog-Vorgang
[-387370]
- Mannix - (DE1) [DE1]
:: Sept. 28, 2022, 7:21 p.m.
Hallo zusammen,
es scheint so, als hätte man mit dem Update heute Nachmittag eine große Sicherheitslücke geschaffen.
Bei einigen Mitstreitern, sowie auch bei mir wurde das Passwort verändert und der Account Manipuliert.
Das ist noch nicht schlimm genug, ich konnte mich trotz geänderten Passworts automatisch einloggen.
Folglich heißt das, selbst wenn ich mein Passwort ändere kann die Person, die sich Zugang verschafft hat auf meinen Account weiter Zugriff auf meinen Account haben.
Technisch wird wohl das Passwort nicht mehr beim Automatischen-Einloggen mit der Passwort Datenbank des Providers abgeglichen.
Ich bitte um zeitige Überprüfung!
MfG
es scheint so, als hätte man mit dem Update heute Nachmittag eine große Sicherheitslücke geschaffen.
Bei einigen Mitstreitern, sowie auch bei mir wurde das Passwort verändert und der Account Manipuliert.
Das ist noch nicht schlimm genug, ich konnte mich trotz geänderten Passworts automatisch einloggen.
Folglich heißt das, selbst wenn ich mein Passwort ändere kann die Person, die sich Zugang verschafft hat auf meinen Account weiter Zugriff auf meinen Account haben.
Technisch wird wohl das Passwort nicht mehr beim Automatischen-Einloggen mit der Passwort Datenbank des Providers abgeglichen.
Ich bitte um zeitige Überprüfung!
MfG
[5236364]
beinhart (INT3) (Verbannt) [INT3]
:: Sept. 29, 2022, 8:41 a.m.
Habe den Account Beinhart auf dem Server int03!
Niemand hatte das Passwort !
Heute Morgen von 143 Mio Machtpunkte auf unter 1 Mio Machtpunkte und das ohne jegliche Machtzentren !
Kurzum der Account wurde gehackt!
Niemand hatte das Passwort !
Heute Morgen von 143 Mio Machtpunkte auf unter 1 Mio Machtpunkte und das ohne jegliche Machtzentren !
Kurzum der Account wurde gehackt!
// Verstoß gegen die Community Guidelines
|
|
|
Komme mir vor wie bei Dumm und Dümmer ! |
|
[5236369]
BM_Nine [Moderator]
:: Sept. 29, 2022, 9:54 a.m.
Hallo zusammen,
es handelt sich dabei um keinen Fehler. Wenn du dein Passwort änderst, ist der Autlogin auf allen anderen Geräten deaktiviert, außer auf dem Gerät, auf dem du das Passwort geändert hast.
D.h wenn du Autlogin auf deinem Computer und Handy aktiviert hast, das Passwort dann auch dem Handy änderst, dann wirst du weiterhin automatisch auf deinem Handy eingeloggt. Allerdings nicht mehr auf deinem Computer, dort musst du erst einmal das neue Passwort eingeben.
Ich hoffe, das hilft weiter 
[5236370]
beinhart (INT3) (Verbannt) [INT3]
:: Sept. 29, 2022, 10:03 a.m.
// Verstoß gegen die Community Guidelines
Herzlichen Glückwunsch !
Bullrider auf dem Server DE1 wird seit Jahren nicht bespielt!
[5236379]
BFC NEO (DE1) [DE1]
:: Sept. 29, 2022, 1 p.m.
Also ganz ehrlich, ich habe heute mitgekommen, dass es mehrere Allianzen betraf, die unabhängig voneinander spielen. In allen Allianzen wo Logindaten gehackt wurden, lief das gleiche Spiel: BV löschen, FH löschen, Truppen löschen, AP aufgeben, dann mit Resttruppen andere Allianzen angreifen, provozierende Nachrichten schreiben usw. Wenn das keine Sicherheitslücke des Spielebetreibers ist...weiß ich auch nicht mehr. Aber Rechtsbeistand wurde ersucht und ich denke auch, dass bestimmte Skripte schon untersucht werden...
[5236382]
BM_Nine [Moderator]
:: Sept. 29, 2022, 2:40 p.m.
Während diese Vorfälle für gewöhnlich als „Konto-Hacks“ bezeichnet werden, werden sie normalerweise durch fehlende Rücksicht auf Kontosicherheit von Seiten der Spieler verursacht.
Wir haben einige Meldungen über angebliche Konto-Hacks bekommen, aber in keinem Fall konnten unsere Nachforschungen einen Hack in unser System bestätigen. Alle gemeldeten Fälle waren auf schlecht gewählte Passwörter oder freiwilliges Teilen von Kontoinformationen zurückzuführen.
Wir haben einige Meldungen über angebliche Konto-Hacks bekommen, aber in keinem Fall konnten unsere Nachforschungen einen Hack in unser System bestätigen. Alle gemeldeten Fälle waren auf schlecht gewählte Passwörter oder freiwilliges Teilen von Kontoinformationen zurückzuführen.
[5236384]
Teebaum (DE1) [DE1]
:: Sept. 29, 2022, 2:58 p.m.
Nur weil euer System es nicht feststellt kann heißt nicht das es kein hack war. zum Zeitpunkt wie es bei mir passiert ist, war ich in der Arbeit.
Wegen deiner Aussage mit zu leichtem Passwort, man kann ja nicht mal Sonderzeichen bei den Passwörtern verwenden was so gesehen schon ein leichteres Passwort macht
Wegen deiner Aussage mit zu leichtem Passwort, man kann ja nicht mal Sonderzeichen bei den Passwörtern verwenden was so gesehen schon ein leichteres Passwort macht
[5236386]
beinhart (INT3) (Verbannt) [INT3]
:: Sept. 29, 2022, 3:38 p.m.
// Verstoß gegen die Community Richtlinien
[5236400]
BM_Nine [Moderator]
:: Sept. 29, 2022, 8:12 p.m.
Teebaum (DE1) schrieb:Nur weil euer System es nicht feststellt kann heißt nicht das es kein hack war. zum Zeitpunkt wie es bei mir passiert ist, war ich in der Arbeit.
Wegen deiner Aussage mit zu leichtem Passwort, man kann ja nicht mal Sonderzeichen bei den Passwörtern verwenden was so gesehen schon ein leichteres Passwort macht
Wenn ein Server gehackt wirst, glaubst du wirklich, ein Hacker würde nur ein paar Accounts zerstören?
Alle diese Vorfälle sind auf das Teilen von Passwörtern zurückzuführen. Ihr selbst seid für Eure Account-Sicherheit verantwortlich.
Außerdem sind Sonderzeichen möglich, wenn Ihr das Passwort über das Spiel ändert(Es gibt 2-3 Ausnahmen an Zeichen, der Rest funktioniert)
[5236456]
Magus the Great (DE1) [DE1]
:: Sept. 30, 2022, 9:27 p.m.
Also wir hatten in der Alli auch jemanden wo der Account gehackt wurde, und zwar von jemandem außerhalb der Alli. Der dann plötzlich mit schlechtem Deutsch gesprochen hat so dass uns sofort auffiel dass da was nicht stimmen kann
Und von uns hatte definitiv niemand in der Alli das PW und laut Spieler hatte das auch kein anderer. Das war nämlich das Problem dass von dem gehackten Account völlig unbekannte Spieler eingeladen wurden, die wir ganz sicher nicht haben wollten.
Es gibt definitiv sehr viele die ihre PW weitergeben aber für mich sieht das ganze extremst nach hacking irgendwelcher Art aus.
Da sollte ganz dringend mal geguckt werden. Hatte mir von dem Spieler danach das alte PW geben lassen und das war das PW was GGE automatisch vergeben hatte! Und das muss man sagen das sah leider relativ "systematisch" aus, wenn da andere PW auch so ähnlich sind ist es kein Wunder, dass da Spieler gehackt werden.
Wer so was systematisch testet indem er 100 Accounts macht und PW automatisch vergeben lässt könnte da durchaus relativ "einfach" auf so ein PW kommen indem er ein paar Dutzend Kombinationen durchprobiert falls die wirklich alle nach demselben Muster vergeben werden
[5236461]
BM_Nine [Moderator]
:: Oct. 1, 2022, 6:15 a.m.
Wie genau einzelne Support Agents Passwörter vergeben, kann ich nicht sagen.
Allerdings steht in jeder dieser Mail, dass dieses Passwort direkt nach dem Login geändert werden sollte. Jeder ist selbst für seine Account-Sicherheir verantwortlich, deshalb sollte man auch kein einfaches Passwort nutzen.
Ich kann allerdings einmal ansprechen, dass die Passwörter zufällig generiert werden sollten
[5236463]
pienz (DE1) [DE1]
:: Oct. 1, 2022, 10:01 a.m.
damit man dann selber nicht mehr weiss, welches PW man hat? Nicht mal in einer behörde werden die Passwörter bei jeden login neu erstellt.
[5236466]
Hammerhaed (DE1) [DE1]
:: Oct. 1, 2022, 10:22 a.m.
Es ist kein Geheimnis das es "einige" Allianzen gibt wo die PW allen bekannt sind um im Angriffsfall zugriff auf die Acc`s zu haben.
Aber es ist auch bekannt das GGE erstmal immer den Spielern die schuld an allen gibt zb. das Problem bei den Met Soldaten die ja immer verhungert sind wie aus den nichts , waren ja auch die Spieler schuld und auf einmal ändert GGE was und es passiert nicht mehr sehr komisch.
Seit diesen Zeitpunkt glaube ich GGE rein gar nichts mehr habe es ja selber mehrfach erlebt und die Prüfung von GGE sry GGE ihr seit eine Lachnummer mit euren Aussagen.
Aber es ist auch bekannt das GGE erstmal immer den Spielern die schuld an allen gibt zb. das Problem bei den Met Soldaten die ja immer verhungert sind wie aus den nichts , waren ja auch die Spieler schuld und auf einmal ändert GGE was und es passiert nicht mehr sehr komisch.
Seit diesen Zeitpunkt glaube ich GGE rein gar nichts mehr habe es ja selber mehrfach erlebt und die Prüfung von GGE sry GGE ihr seit eine Lachnummer mit euren Aussagen.
[5236483]
Edel-Stahl (DE1) [DE1]
:: Oct. 1, 2022, 6:27 p.m.
gute Idee! Es gibt ja genug freie Pass-Wort-GeneratorenBM_Nine schrieb:Wie genau einzelne Support Agents Passwörter vergeben, kann ich nicht sagen.
Allerdings steht in jeder dieser Mail, dass dieses Passwort direkt nach dem Login geändert werden sollte. Jeder ist selbst für seine Account-Sicherheir verantwortlich, deshalb sollte man auch kein einfaches Passwort nutzen.
Ich kann allerdings einmal ansprechen, dass die Passwörter zufällig generiert werden sollten
https://www.zendas.de/service/passwort_generator.html
zum Bleistift.
[5236488]
Edel-Stahl (DE1) [DE1]
:: Oct. 1, 2022, 7:30 p.m.
Also ..
ES ist trotzdem ein Faktum (betroffene Spieler oder Allis würden sagen ,,Fuck-tum" & fluch!) dass ACC-Hacking möglich ist.
Vor so etwas ist fast niemand sicher, zumal es auch genug RSE und sonstige Optionen gibt PW heraus zu bekommen.
Schwache Pass-Wörter (PW) mit nur 4 oder 6 Zeichen bekommt sogar nen cleverer Grund-Schüler innert 2 Minuten gekillt.
Tatsache ist auch , dass sogar Regierungs- / Versorgungs-/ kritische Systeme usw. geknackt werden:
Da muss man noch nicht mal auf die momentane geo-politische Lage verweisen mit deren ,,eifrigen, bekannten"
Bemühungen. Sicher ist das ärgerlich!
Wie, warum oder wer für diese Aktionen verantwortlich ist... entzieht sich meiner Kenntnis.
Tatsache ist aber , dass es unerklärliche Ereignisse hier gibt.
Das Kind / die Opfer nenne ich auch gerne direkt beim Namen:
- die Alli ,,LZ" wurde unterwandert
- Ares
- Rebels Matrix
- etc.
ES wird darauf hingewiesen, dass ICH aus freien Stücken hier formuliere; der Foren-Eintrag-Ersteller zufällig in meiner/Unserer Alli ist & es keine Beeinflussung von 2. oder 3. Seite gibt.
Desweiteren stelle ich fest, dass ich die Infos der besagten Allis/Spieler aus diversen Info-Kanälen bestätigt bekomme.
Und was da passiert ist.. würde ich persönlich auch nicht ,,lustig" finden !
Gerne können sich die Betroffenen Spieler/ Allis hier selber äussern !
Merci
(für die Aufmerksamkeit)
ES ist trotzdem ein Faktum (betroffene Spieler oder Allis würden sagen ,,Fuck-tum" & fluch!) dass ACC-Hacking möglich ist.
Vor so etwas ist fast niemand sicher, zumal es auch genug RSE und sonstige Optionen gibt PW heraus zu bekommen.
Schwache Pass-Wörter (PW) mit nur 4 oder 6 Zeichen bekommt sogar nen cleverer Grund-Schüler innert 2 Minuten gekillt.
Tatsache ist auch , dass sogar Regierungs- / Versorgungs-/ kritische Systeme usw. geknackt werden:
Da muss man noch nicht mal auf die momentane geo-politische Lage verweisen mit deren ,,eifrigen, bekannten"
Bemühungen. Sicher ist das ärgerlich!
Wie, warum oder wer für diese Aktionen verantwortlich ist... entzieht sich meiner Kenntnis.
Tatsache ist aber , dass es unerklärliche Ereignisse hier gibt.
Das Kind / die Opfer nenne ich auch gerne direkt beim Namen:
- die Alli ,,LZ" wurde unterwandert
- Ares
- Rebels Matrix
- etc.
ES wird darauf hingewiesen, dass ICH aus freien Stücken hier formuliere; der Foren-Eintrag-Ersteller zufällig in meiner/Unserer Alli ist & es keine Beeinflussung von 2. oder 3. Seite gibt.
Desweiteren stelle ich fest, dass ich die Infos der besagten Allis/Spieler aus diversen Info-Kanälen bestätigt bekomme.
Und was da passiert ist.. würde ich persönlich auch nicht ,,lustig" finden !
Gerne können sich die Betroffenen Spieler/ Allis hier selber äussern !
Merci
(für die Aufmerksamkeit)
[5236722]
lethal baon (WORLD1) [None]
:: Oct. 3, 2022, 6:30 p.m.
es geht um das passwort das vom support vergeben wurde lolpienz (DE1) schrieb:damit man dann selber nicht mehr weiss, welches PW man hat? Nicht mal in einer behörde werden die Passwörter bei jeden login neu erstellt.
[5236724]
lethal baon (WORLD1) [None]
:: Oct. 3, 2022, 6:34 p.m.
ein vernünftiges passwort "zu hacken" mit brutforce ist eigentlich unmöglich. Habe ein random password von https://1password.com/password-generator/ generiert, 16 Zahlen und buchstaben.Edel-Stahl (DE1) schrieb:Also ..
ES ist trotzdem ein Faktum (betroffene Spieler oder Allis würden sagen ,,Fuck-tum" & fluch!) dass ACC-Hacking möglich ist.
Vor so etwas ist fast niemand sicher, zumal es auch genug RSE und sonstige Optionen gibt PW heraus zu bekommen.
Schwache Pass-Wörter (PW) mit nur 4 oder 6 Zeichen bekommt sogar nen cleverer Grund-Schüler innert 2 Minuten gekillt.
Tatsache ist auch , dass sogar Regierungs- / Versorgungs-/ kritische Systeme usw. geknackt werden:
Da muss man noch nicht mal auf die momentane geo-politische Lage verweisen mit deren ,,eifrigen, bekannten"
Bemühungen. Sicher ist das ärgerlich!
Wie, warum oder wer für diese Aktionen verantwortlich ist... entzieht sich meiner Kenntnis.
Tatsache ist aber , dass es unerklärliche Ereignisse hier gibt.
Das Kind / die Opfer nenne ich auch gerne direkt beim Namen:
- die Alli ,,LZ" wurde unterwandert
- Ares
- Rebels Matrix
- etc.
ES wird darauf hingewiesen, dass ICH aus freien Stücken hier formuliere; der Foren-Eintrag-Ersteller zufällig in meiner/Unserer Alli ist & es keine Beeinflussung von 2. oder 3. Seite gibt.
Desweiteren stelle ich fest, dass ich die Infos der besagten Allis/Spieler aus diversen Info-Kanälen bestätigt bekomme.
Und was da passiert ist.. würde ich persönlich auch nicht ,,lustig" finden !
Gerne können sich die Betroffenen Spieler/ Allis hier selber äussern !
Merci
(für die Aufmerksamkeit)
ein normaler computer braucht 37 billionen jahre (im durchschnitt) um das zu knacken.
https://www.security.org/how-secure-is-my-password/