Beim MMORPG Black Desert Online gibt es gerade Aufruhr. Durch eine Sicherheitslücke sind Account-Namen und Passwörtern öffentlich geworden. Jetzt hat man die Accounts gesperrt – Spieler sollen sich mit Fotos ihrer Ausweise identifizieren, damit sie freigeschaltet werden, heißt es im Black Desert Forum.
Das sagt Black Desert: Es gibt ein Foren-Post zu dem Vorfall (via BlackDesert). Da heißt es von GM Rhotaaz, man wisse, dass Account-Informationen von einer „Zahl von Spielern“ öffentlich auf verschiedenen Plattformen und Seiten gepostet wurden.
Jetzt will man den Spielern erklären, was man dagegen tun möchte:
- Man hat die Passwörter von allen betroffenen Accounts zurückgesetzt
- und man hat alle Accounts gesperrt, bis der Original-Besitzer sich ausweisen kann
Das muss man tun, um entsperrt zu werden:
- Spieler sollen sich eine neue E-Mail-Adresse holen und damit den Support anschreiben
- dort sollen sie die E-Mail-Adresse des alten Accounts angeben
- gesperrte Spieler sollen ein Foto von ihrem Ausweis schießen mit einer aktuelles Tageszeitung oder vor einem Bild des offenen Tickets. Das Ticket muss dann der Mail hinzugefügt werden.
- Spieler sollen die Nummer ihres Personal-Ausweises schwärzen
So reagieren die Spieler: Auf reddit sorgt die Nachricht für Aufsehen. Man wundert sich, dass die Betreiber von Black Desert offenbar „nicht verschlüsselte Passwörter, E-Mails und die Cash-History“ irgendwo gespeichert haben.
Dass Spieler jetzt ein Foto mit einer Tageszeitung einreichen sollen, empfinden manche als „verrückt“ – es würde doch keiner mehr richtige Zeitungen kaufen.
Manche regt das auf, manche sehen das aber auch gelassen und sagen, genau so müsse man auch vorgehen, um Accounts auf Facebook wiederherzustellen.
Das ist noch unklar: Man weiß nicht, wie viele Nutzer von diesem Vorfall betroffen sind und ob es auch Spieler betrifft, die Black Desert auf Steam spielen.
Wie sich der Vorfall genau ereignen konnten, ist ebenfalls nicht bekannt.
Black Desert: Nicht unsere Sicherheits-Lücke
Update 21.6. 18:44 Uhr: Es gibt ein weiteres Statement von Black Desert (via reddit). Nun heißt es, die Lücke sei nicht bei Kakao selbst entstanden, sondern auf anderen Webseiten hätte es Sicherheitslücken gegeben.
Durch diese Lücken seien Daten bekannt geworden von Spielern, die für alles denselben Account-Namen und dasselbe Passwort verwenden. Diese Spieler hätte man bei Black Desert gesperrt.
Die Daten, die Black Desert gespeichert hat, seien sicher verschlüsselt in einer Art, die den neuesten Technologien entspricht.
Man empfiehlt Spielern eine doppelte Verifizierung und ein häufiges Wechseln des Passwortes.
Bitte lies unsere Kommentar-Regeln, bevor Du einen Kommentar verfasst.
“Es gibt ein weiteres Statement von Black Desert.
Nun heißt es, die Lücke sei nicht bei Kakao selbst entstanden, sondern
auf anderen Webseiten hätte es Sicherheitslücken gegeben.”
Wenn ich das nal wörtlich nehme, ist nicht nur auf einem Online-Portal, sondern gleich auf mehreren verschiedenen Online-Portalen eine Sicherheitslücke entstanden. Und das auch noch gleichzeitig. Komisch das ich hiervon von anderer (offizieller) Seite noch nichts gehört habe.
Ich würde das Statement von Kakao schon eher für bare Münze nehmen, wenn sie die Webseiten konkret benennen würden.
Aber so finde ich das alles schon recht seltsam.
Häufiges Passwortwechseln ist wissenschaftlich erwiesen das Gegenteil von sicheren Passwörtern. Dadurch beginnen nämlich die Leute entweder ihre Passwörter aufzuschreiben oder ein superleichtes Passwort zu nehmen. Bei CSI Cyber haben sie gezeigt, dass die Ärtzte den Code für den Raum mit Atomreichen Medikamenten neben die Tür schrieben da sie nicht in der Lage waren die 9 Stellige Nummer die monatlich gewechselt wird zu merken,
Was bitte sind “atomreiche” Medikamente?
Uranzäpfchen für einen “erleuchteten” Schlaf in der Nacht?
Ne für die Krepstherapie. Bestrahlung und solches Zeug.
Wer sagt eigentlich das die Passwörter nicht verschlüsselt waren? Eben. Niemand.
Dummerweise machen viele genau dies. Facebook u.a im März diesen Jahres. Kein Leak, aber die Speichermethode kam raus. Twitter März 2018, man reiht sich da nahtlos ein. Auch Google hatte dies 14 Jahre so getan. Das ist nicht ok, aber eben auch nichts neues. Knuddels 2018, Adobe 2013, Verifications io auch diese Jahr. Die Liste ist so unendlich lang.
Traurigerweise.
Kakao ist nicht der erste den es trifft.
Die Regelung mit dem Ausweiss ist auch keineswegs neu. Das machen z.b. Pokeranbieter auch genau so, im Grunde jeder, wo Bankverbindungen (Konto, Paypal, etc) hinterlegt sind.
Wie soll man denn anders verifizieren? Das mit der Tageszeitung ist was weird, aber gar nicht so falsch gedacht.
Von daher alles ok. Solang man daraus hoffentlich lernt.
Nachtrag aus dem Statement:
“Edit* Only users who had their account details shared on other platforms
have had their account locked pending authentication. We wish to make
it clear that the number of affected users is relatively low and that
Kakao Games do not store user passwords as plain text.”
Das muss man sich mal auf der Zunge zergehen lasse:
Eine Firma, die richtigen Mist mit den eigenen Daten angestellt hat, will den eigenen Ausweis damit man den Bann aufhebt, der durch ihren Fehler entstanden ist.
Mal gucken, wann die ersten Beschwerden der Datenschützer eintrudeln 😀
“
Edit* Only users who had their account details shared on other platforms
have had their account locked pending authentication. We wish to make
it clear that the number of affected users is relatively low and that
Kakao Games
store user passwords as plain text.”
Wir wissen nicht wie die Sicherheitslücke aussieht.
Alles reine Spekulation was betrieben wird.
Solche kleinen Datensätze kommen auch durch Malware zustande, also User Fehlverhalten.
Ganz ehrlich, das müssen doch Idioten sein! Passwörter? Die sollten nicht mal für einen einzigen Mitarbeiter sichtbar sein! Wie billig läuft bei denen 2019 die Sicherheit meiner Daten? Und denen soll man jetzt noch eine Ausweiskopie senden???
Also, dass wird wohl mein Ende bei denen sein, so schön ich es auch fand. Da ist eine Grenze übertreten die ich nicht mitgehe.
Schon die News zu Facebook gesehn? 22.03.2019 Facebook speicherte Passwörter in Klartext. Twitter 2018, Verifications io auch 2019, Google 14 Jahre lang.
Ja die Passwörter sind überall total sicher. Und das waren es alles keine kleine Seiten.
Was meint man denn woher die Collections 1-4 u.s.w. stammen?
Wenn dies dein Ende von BDO sein soll, dann bitte auch überall anders abmelden. FB, Twitter, Google u.s.w.
Was für ein Hardcore-Verteidiger du bist. Gehts hier um dein Leben oder wie kann ich das verstehen?
Ich nutze davon nur Google, seit die interessant wurden, und die speichern meine Daten unsicher ab? Und ausgerechnet bei dem Namen wurde noch nichts von meinen Daten gestohlen? Ich denke die können gut mit meinen Daten umgehen.
Facebook, Whatsup und anderen vertraue ich hingegen nicht. Jene haben bewiesen, dass Sie explizit Datenmissbrauch zu jedermans Nachteil betreiben. Google hingegen liefert nur Vorteile durch meine Daten.
BDO hat das Vertrauen verloren und nichts getan um es wiederzubekommen. Da ich mich nicht neu authentifizieren musste vermute ich, dass meine Daten nicht gestohlen wurden. Daher habe ich meinen Account noch. Allerdings fühle ich mich unwohl und spiele es nicht mehr. Vertrauen ist was anderes.
Und wieder wird eine so wichtige Information nur im Englischen Teil des Forum mitgeteilt.
In den drei anderen Sprachen ist mal wieder keinerlei Infos zu finden.
Unbegreiflich so was
Englisch ist nunmal Weltsprache. Deutsch nicht.
Ich erwarte aber auch soviel Medienkompetenz wenn man englisch nicht kann, den Text über ein Übersetzungstool zu legen.
Aber “mimimi” ist in der BDO Community eh ganz groß geschrieben. (toxic com)
Achja, 30sek im Deutschen Forum suchen:
https://community.blackdese…
Zwar kein GM posting, aber da steht alles drin was man wissen muss.
also eine drittquelle…nee, da hat Frank schon recht, sowas muß vom Hersteller bzw Verantwortlichen kommen….
Ihr werdet doch wohl mal en Text durch nen Translater schicken können.
English reicht doch Oo
na, du ziehst dir anleitungen wohl auch immer von Fremdfirmen. Jeder hersteller muß sein Produkt vernünftigt supporten, und dazu gehört einwandfrei jede wichtige Meldung in jeder benutzen sprache im eigenen Forum zu verteilen.
Diese Addition das die Daten von ausserhalb gehackt wurden und nicht von Kakao kam einige Stunden später. Siehe “Update” in der News.
Ganz tolle Sache und bei dem nächsten Hack werden dann auch noch die Personalausweisdaten abgegriffen, damit der Identitätsdiebstahl dann auch erst so richtig Spaß macht…
War kein Hack, lern lesen.
https://www.reddit.com/r/bl…
Das kam erst deutlich später – diese Erklärung.
Dann sollte man sich mit Spekulationen auch zurückhalten…
Alles doch nichts neues.
Du kannst aber nicht Leuten sagen “Lern lesen”, wenn die Information noch gar nicht da war.
Ja, doch. Weil Spekulation.
Grund nicht bekannt = Spekulation
0815 User denkt: Hack! Was sonst.
Aber selbst das ist Spekulation.
Du meinst also, ich solle in etwa so zurückhaltende und fundierte Postings verfassen wie du es tust 😀
Naja, für die 0815 Gamer ist halt alles erstmal ein Hack.
Selbst die eigene Medienkompetenz…
jaja, schon recht, was immer du sagst, mit deiner Medienininkontinenz 😛
Turkai server als Test server nutzen und Psychologisch zu nutzen. Ist nicht ehrlch. einige Gm’s Die haben das alles verdient! Diese Wahrheitsfindung
Black Desert muss mehr Optionen in erwägung nehmen. Das Bill System funktioniert auf dauer nicht.
Gm’s das 4x Gamer sysrtem. irgendwann versagt es. Spiel ist schön aber Lügen muss gelernt sein
ich versuch fair zu bleiben. Dennoch manche dinge wie der Hack von einem 18 Jährigen öffnet eine Tür. Ich finde diesen Hack gut weil es ein Undifiniertes system offen legt!
Entschuldige wenn ich frage, aber bitte was?
Ich glaube die Antwort lautet…..Brot….ist aber leider nur geraten 😛
Stimme ich dir voll und ganz zu xD
Für mich ergeben diese Worte keinen Sinn.
Uff, ich hab mir wirklich Mühe gegeben es zu begreifen aber der Text ist entweder komisch…oder ich bin dumm? XD
Dürfen die das überhaupt nichmal blizzard traut sich aktiv den perso zufordern weil das nur ganz wenige firmen dürfen mit kopien etc
Das ist bereits seit dem release von Black Desert Online gang und gebe. Als ich da vor knapp 3 Jahren meine Email ändern wollte hätte ich auch ein Foto von meinem Personalausweis und einer Zeitung machen müssen…
Kommt aufs Land an, hier in Deutschland ist es erst seit kurzem für den Inhaber erlaubt Kopien anzufertigen.
Gang und Gebe überall, wo Bankverbindungen oder Bezahlmöglichkeiten mit dem Account verknüpft sind. (z.b. Pokerseiten, Verifizierung bei Auszahlung z.b.)
Ich kenn das seit 14 Jahren so. Das mit der Zeitung ist weird, aber gar nicht mal so falsch.
Blizzard hat schon immer nach einem Perso gefragt.
Zumindest war es bei mir auch so als z.b. mein Account gehackt wurde oder ich die daten komplett vergessen hatte (ewigkeiten nicht gespielt)
Eben genau das haben sie nicht getan du hast deinen ausweis gegeben aber sie haben nicht danach gefragt https://eu.battle.net/suppo… sie fragen nach einem identitätsnachweis aber sie durften halt niemals nen perso einfordern da sie nicht die berechtigung fpr sowas hatten 🙂 ich find man sollte alles nurnoch mit gesicht iris freischalten können das kann wohl kaum wer faken _D
Und das Erstgeborene bitte auch einschicken! Is ja wohl verständlich, die Schuld liegt doch eindeutig beim Kunden…. Ach ne Moment, der Anbieter hat SicherheitsGRUNDLAGEN missachtet und nun will man mit übertriebener Reaktion zeigen wie sehr man nun dann um Sicherheit bemüht ist?
Was für eine Aktion…
Accountdatenverschlüsselung ist echt kein Hexenwerk, nicht zeitaufwendig und selbst mit simplen Hash-Verfahren relativ sicher. Ich frag mich echt, warum wir solche News immer wieder lesen müssen…
Da man nicht weiß wer oder was die Lücke darstellt, finde ich es etwas vorschnell mit technischen Ratschlägen zu dienen.
Könnte schon so gewesen sein, dass hier Standards nicht eingehalten wurden. Oder halt einer von 10.000 anderen Gründen.
Geht so, ich weiß nicht in wieweit du dich mit Passwortspeicherungen usw. auskennst, aber wenn ich lese, dass Mailadressen und Passworte gesperrt wurden, deutet sehr stark auf eine unverschlüsselte Speicherung hin. Wenn ich in die Küche komm und da ist Erdbeermarmelade auf dem Boden, folgere ich doch auch erst einmal, dass es jene Erdbeermarmelade war die ich da heut morgen kippelig nachm Frühstück noch eben aufn Tisch geschibbelt hab. Die Möglichkeit, dass ein rosa Einhorn seine Monatsblutung hatte, besteht natürlich auch…
Eine simple Hashfunktion (wie sie z.B. bei Forensoftware häufig zur Anwendung kommt) kann, so ist bekannt, solch Situationen vorbeugen. Wenn der Betreiber die Daten nicht hat, können sie ihm auch nicht geklaut werden. Hätte es also eine entsprechende Verschlüsselung gegeben… gäb es wohl keine Daten im Netz 😉
Natürlich, gibt es auch Keylogger usw. aber darum schert sich ein Entwickler/Publisher nicht. Das liegt in der Verantwortung des einzelnen. Von solchen “Inselsituationen” müssen wir also nicht ausgehen.
Mein Post war auch kein “Alter das kann ja selbst ich besser, schaut her!” sondern nur eine Anmerkung, dass solche Situationen häufig sind und in den meisten Fällen auf extreme Nachlässigkeiten seitens des Betreibers schließen lassen.
Sollte jemand sich heimlich in die Zimmer von von zigtausenden BDO-Spielern geschlichen haben und sie bei der Eingabe ihres Passwortes und ihrer Mail gefilmt haben um die Daten dann direkt per Telex ins Internet zu stellen, so entschuldige ich mich zu tiefst bei den armen Unschuldslämmern von Kakao und Perl.
Also… Passwörter zu hashen bringt erstmal garnichts. In der Regel ist das sogar kontraproduktiv, da viele Leute einfache Passwörter benutzen. Wenn ich dann anfange diese zu hashen, kann ein Evil User relativ unkompliziert mittels sogenannter Rainbow Tables erschließen. Das kann sogar jemand wie ich und kommt dabei auf etwa drei Sekunden bei 40 % der durchschnittlich verwendeten Passwörter.
Wenn müssen die Passwörter gesalzen und dann gehasht werden. Noch schlimmer ist es eigentlich nur, wenn das schon in der Eingabemaske passiert, da ich dann schon vorher die Information abfangen kann und dann auch noch den Algorithmus dahinter identifiziere.
Da das Unternehmen keine großen Angaben dazu macht, ist es für mich durchaus möglich, dass ein frustrierter oder gelenkter Mitarbeiter seine Finger im Spiel hatte.
Wie dem auch sei… wie du siehst.. es ist nicht immer so ganz offensichtlich.
Keine Ahnung wie das bei Kakao gehandhabt wird… aber bei uns haben Mitarbeiter keine Zugriffe auf Accountdaten 😉
Rainbow Tables bringen dir ja auch erst etwas wenn du bereits die Accountmail hast oder zumindest die Hashzuordnung, ganz so einfach ist das eben alles nicht wenn man die Grundlagen der Datensicherheit einhält.
Aber ergehen wir uns nicht in Halbwissensdebatten, Kakao hat die Accontdaten nachweislich schlecht gesichert.
Richtig, aber solange man keine Informationen über die Schwachstelle hat, bei dem Ereignis nicht anwesend war oder anderweitige hilfreiche Informationen hat, außer, dass wohl irgend was nicht funktioniert hat, sind Ratschläge nur bedingt sinnvoll 😛
So viel dazu…. der Leak war nicht dort, sondern wo anders. Darum… erst Informationen -> dann maulen.
1. Glaskugel, also Vermutungen.
aber.
2. Sogar Google (14 Jahre lang) Twitter 2018 und Facebook (März 2019) speicherten Passwörter in Klartext.
Hashen musste man also bislang nie viel.
3. Die Sicherheitslücke ist meist nichtmal ein Hack. Dies ist hier auch nicht der Fall.
4. Es trifft immer die, wo viele Datensätze zu holen sind. Siehe Punkt 2. Man ist also in bester Gesellschaft.
5. Sich darüber zu eschauffieren, wie Kakao mit Daten umgeht, sollte sich umgehend bei alles von Google, Twitter und Facebook abmelden.
Eine Lücke die unverschlüsselte Passwörter ausliest, die eigentlich verschlüsselt sind? So etwas ist tatsächlich möglich? Das kann ich nicht glauben.
Das war nicht die Aussage. Es gibt einen unterschied zwischen potentiell Möglich und real existierend und zwischen Vermutung und Wissen.
Wie geil ne Zeitung dazu legen….
Ich würde meinen Ausweis am besten noch knebeln und fesseln und drunter ein Schild stellen wo draufsteht das sie mir Lösegeld in Form des Accounts aushändigen sollen…..
Also manchmal fragt man sich echt nur ….warum?
Das Bild hatte ich auch im Kopf. 🙂
Nicht vergessen der Mail das Blut eines jungfräulich Einhorn beizulegen.
Ist das Fake, weil man hier “unbewusst” auf den Datenschutzgesetz in Deutschland spekuliert um eine grosse Welle zu treten?
Stimmt das wirklich?
check: Mein Passwort ist noch der alte. Ist an mir wohl vorbeigegangen
Das ist aus dem offiziellen Black Desert Forum. Die Quelle ist ja angeben – das kann ja jeder nachprüfen.
https://community.blackdese…
Man weiß halt nicht, wie viele Accounts das betrifft.
Danke. Hab doch vorsichtshalber mein Passwort erneuert
Sollte man sowieso regelmäßig tun und dieses auch nur ausschließlich dafür verwenden.
“Man weiß halt nicht, wie viele Accounts das betrifft.”
Und wir wissen nicht, wie die Sicherheitslücke im Detail aussieht.