MMORPG Black Desert sperrt Accounts nach Daten-Leak, will Fotos von Ausweisen sehen

Beim MMORPG Black Desert Online gibt es gerade Aufruhr. Durch eine Sicherheitslücke sind Account-Namen und Passwörtern öffentlich geworden. Jetzt hat man die Accounts gesperrt – Spieler sollen sich mit Fotos ihrer Ausweise identifizieren, damit sie freigeschaltet werden, heißt es im Black Desert Forum.

Das sagt Black Desert: Es gibt ein Foren-Post zu dem Vorfall (via BlackDesert). Da heißt es von GM Rhotaaz, man wisse, dass Account-Informationen von einer „Zahl von Spielern“ öffentlich auf verschiedenen Plattformen und Seiten gepostet wurden.

Jetzt will man den Spielern erklären, was man dagegen tun möchte:

  • Man hat die Passwörter von allen betroffenen Accounts zurückgesetzt
  • und man hat alle Accounts gesperrt, bis der Original-Besitzer sich ausweisen kann
black-Desert-Doom

Das muss man tun, um entsperrt zu werden:

  • Spieler sollen sich eine neue E-Mail-Adresse holen und damit den Support anschreiben
  • dort sollen sie die E-Mail-Adresse des alten Accounts angeben
  • gesperrte Spieler sollen ein Foto von ihrem Ausweis schießen mit einer aktuelles Tageszeitung oder vor einem Bild des offenen Tickets. Das Ticket muss dann der Mail hinzugefügt werden.
  • Spieler sollen die Nummer ihres Personal-Ausweises schwärzen
Black-Desert-Drache

So reagieren die Spieler: Auf reddit sorgt die Nachricht für Aufsehen. Man wundert sich, dass die Betreiber von Black Desert offenbar „nicht verschlüsselte Passwörter, E-Mails und die Cash-History“ irgendwo gespeichert haben.

Dass Spieler jetzt ein Foto mit einer Tageszeitung einreichen sollen,  empfinden manche als „verrückt“ – es würde doch keiner mehr richtige Zeitungen kaufen.

Manche regt das auf, manche sehen das aber auch gelassen und sagen, genau so müsse man auch vorgehen, um Accounts auf Facebook wiederherzustellen.

Das ist noch unklar: Man weiß nicht, wie viele Nutzer von diesem Vorfall betroffen sind und ob es auch Spieler betrifft, die Black Desert auf Steam spielen.

Wie sich der Vorfall genau ereignen konnten, ist ebenfalls nicht bekannt.

Black Desert: Nicht unsere Sicherheits-Lücke

Update 21.6. 18:44 Uhr: Es gibt ein weiteres Statement von Black Desert (via reddit). Nun heißt es, die Lücke sei nicht bei Kakao selbst entstanden, sondern auf anderen Webseiten hätte es Sicherheitslücken gegeben.

Durch diese Lücken seien Daten bekannt geworden von Spielern, die für alles denselben Account-Namen und dasselbe Passwort verwenden. Diese Spieler hätte man bei Black Desert gesperrt.

Die Daten, die Black Desert gespeichert hat, seien sicher verschlüsselt in einer Art, die den neuesten Technologien entspricht.

Man empfiehlt Spielern eine doppelte Verifizierung und ein häufiges Wechseln des Passwortes.

Russische Spieler von Black Desert erleben den MMORPG-Albtraum
Deine Meinung? Diskutiere mit uns!
7
Gefällt mir!
Kommentar-Regeln von MeinMMO
Bitte lies unsere Kommentar-Regeln, bevor Du einen Kommentar verfasst.

Community-Aktivitäten
Hier findest Du alle Kommentare der MeinMMO-Community.
Abonnieren
Benachrichtige mich bei
58 Kommentare
Neueste
Älteste Meisten Abstimmungen
Inline Feedback
Alle Kommentare anzeigen
Jedox

“Es gibt ein weiteres Statement von Black Desert.
Nun heißt es, die Lücke sei nicht bei Kakao selbst entstanden, sondern
auf anderen Webseiten hätte es Sicherheitslücken gegeben.”

Wenn ich das nal wörtlich nehme, ist nicht nur auf einem Online-Portal, sondern gleich auf mehreren verschiedenen Online-Portalen eine Sicherheitslücke entstanden. Und das auch noch gleichzeitig. Komisch das ich hiervon von anderer (offizieller) Seite noch nichts gehört habe.

Ich würde das Statement von Kakao schon eher für bare Münze nehmen, wenn sie die Webseiten konkret benennen würden.
Aber so finde ich das alles schon recht seltsam.

Koronus

Häufiges Passwortwechseln ist wissenschaftlich erwiesen das Gegenteil von sicheren Passwörtern. Dadurch beginnen nämlich die Leute entweder ihre Passwörter aufzuschreiben oder ein superleichtes Passwort zu nehmen. Bei CSI Cyber haben sie gezeigt, dass die Ärtzte den Code für den Raum mit Atomreichen Medikamenten neben die Tür schrieben da sie nicht in der Lage waren die 9 Stellige Nummer die monatlich gewechselt wird zu merken,

Sarakin

Was bitte sind “atomreiche” Medikamente?

Uranzäpfchen für einen “erleuchteten” Schlaf in der Nacht?

Koronus

Ne für die Krepstherapie. Bestrahlung und solches Zeug.

Sven Dee Duhme

Wer sagt eigentlich das die Passwörter nicht verschlüsselt waren? Eben. Niemand.
Dummerweise machen viele genau dies. Facebook u.a im März diesen Jahres. Kein Leak, aber die Speichermethode kam raus. Twitter März 2018, man reiht sich da nahtlos ein. Auch Google hatte dies 14 Jahre so getan. Das ist nicht ok, aber eben auch nichts neues. Knuddels 2018, Adobe 2013, Verifications io auch diese Jahr. Die Liste ist so unendlich lang.
Traurigerweise.

Kakao ist nicht der erste den es trifft.
Die Regelung mit dem Ausweiss ist auch keineswegs neu. Das machen z.b. Pokeranbieter auch genau so, im Grunde jeder, wo Bankverbindungen (Konto, Paypal, etc) hinterlegt sind.
Wie soll man denn anders verifizieren? Das mit der Tageszeitung ist was weird, aber gar nicht so falsch gedacht.

Von daher alles ok. Solang man daraus hoffentlich lernt.

Sven Dee Duhme

Nachtrag aus dem Statement:

“Edit* Only users who had their account details shared on other platforms
have had their account locked pending authentication. We wish to make
it clear that the number of affected users is relatively low and that
Kakao Games do not store user passwords as plain text.”

Arebs

Das muss man sich mal auf der Zunge zergehen lasse:
Eine Firma, die richtigen Mist mit den eigenen Daten angestellt hat, will den eigenen Ausweis damit man den Bann aufhebt, der durch ihren Fehler entstanden ist.
Mal gucken, wann die ersten Beschwerden der Datenschützer eintrudeln 😀

Sven Dee Duhme


Edit* Only users who had their account details shared on other platforms
have had their account locked pending authentication. We wish to make
it clear that the number of affected users is relatively low and that
Kakao Games
store user passwords as plain text.”

Wir wissen nicht wie die Sicherheitslücke aussieht.
Alles reine Spekulation was betrieben wird.
Solche kleinen Datensätze kommen auch durch Malware zustande, also User Fehlverhalten.

Franz Bekker

Ganz ehrlich, das müssen doch Idioten sein! Passwörter? Die sollten nicht mal für einen einzigen Mitarbeiter sichtbar sein! Wie billig läuft bei denen 2019 die Sicherheit meiner Daten? Und denen soll man jetzt noch eine Ausweiskopie senden???
Also, dass wird wohl mein Ende bei denen sein, so schön ich es auch fand. Da ist eine Grenze übertreten die ich nicht mitgehe.

Sven Dee Duhme

Schon die News zu Facebook gesehn? 22.03.2019 Facebook speicherte Passwörter in Klartext. Twitter 2018, Verifications io auch 2019, Google 14 Jahre lang.

Ja die Passwörter sind überall total sicher. Und das waren es alles keine kleine Seiten.
Was meint man denn woher die Collections 1-4 u.s.w. stammen?

Wenn dies dein Ende von BDO sein soll, dann bitte auch überall anders abmelden. FB, Twitter, Google u.s.w.

phillip A.

Was für ein Hardcore-Verteidiger du bist. Gehts hier um dein Leben oder wie kann ich das verstehen?

Franz Bekker

Ich nutze davon nur Google, seit die interessant wurden, und die speichern meine Daten unsicher ab? Und ausgerechnet bei dem Namen wurde noch nichts von meinen Daten gestohlen? Ich denke die können gut mit meinen Daten umgehen.
Facebook, Whatsup und anderen vertraue ich hingegen nicht. Jene haben bewiesen, dass Sie explizit Datenmissbrauch zu jedermans Nachteil betreiben. Google hingegen liefert nur Vorteile durch meine Daten.
BDO hat das Vertrauen verloren und nichts getan um es wiederzubekommen. Da ich mich nicht neu authentifizieren musste vermute ich, dass meine Daten nicht gestohlen wurden. Daher habe ich meinen Account noch. Allerdings fühle ich mich unwohl und spiele es nicht mehr. Vertrauen ist was anderes.

Frank

Und wieder wird eine so wichtige Information nur im Englischen Teil des Forum mitgeteilt.

In den drei anderen Sprachen ist mal wieder keinerlei Infos zu finden.

Unbegreiflich so was

Sven Dee Duhme

Englisch ist nunmal Weltsprache. Deutsch nicht.
Ich erwarte aber auch soviel Medienkompetenz wenn man englisch nicht kann, den Text über ein Übersetzungstool zu legen.

Aber “mimimi” ist in der BDO Community eh ganz groß geschrieben. (toxic com)

Sven Dee Duhme

Achja, 30sek im Deutschen Forum suchen:

https://community.blackdese

Zwar kein GM posting, aber da steht alles drin was man wissen muss.

Hammerschaedel

also eine drittquelle…nee, da hat Frank schon recht, sowas muß vom Hersteller bzw Verantwortlichen kommen….

Sven Dee Duhme

Ihr werdet doch wohl mal en Text durch nen Translater schicken können.
English reicht doch Oo

Hammerschaedel

na, du ziehst dir anleitungen wohl auch immer von Fremdfirmen. Jeder hersteller muß sein Produkt vernünftigt supporten, und dazu gehört einwandfrei jede wichtige Meldung in jeder benutzen sprache im eigenen Forum zu verteilen.

Seska Larafey

Diese Addition das die Daten von ausserhalb gehackt wurden und nicht von Kakao kam einige Stunden später. Siehe “Update” in der News.

Me Gamer

Ganz tolle Sache und bei dem nächsten Hack werden dann auch noch die Personalausweisdaten abgegriffen, damit der Identitätsdiebstahl dann auch erst so richtig Spaß macht…

Sven Dee Duhme

War kein Hack, lern lesen.

https://www.reddit.com/r/bl

Gerd Schuhmann

Das kam erst deutlich später – diese Erklärung.

Sven Dee Duhme

Dann sollte man sich mit Spekulationen auch zurückhalten…
Alles doch nichts neues.

Gerd Schuhmann

Du kannst aber nicht Leuten sagen “Lern lesen”, wenn die Information noch gar nicht da war.

Sven Dee Duhme

Ja, doch. Weil Spekulation.
Grund nicht bekannt = Spekulation
0815 User denkt: Hack! Was sonst.

Aber selbst das ist Spekulation.

Me Gamer

Du meinst also, ich solle in etwa so zurückhaltende und fundierte Postings verfassen wie du es tust 😀

Sven Dee Duhme

Naja, für die 0815 Gamer ist halt alles erstmal ein Hack.
Selbst die eigene Medienkompetenz…

Me Gamer

jaja, schon recht, was immer du sagst, mit deiner Medienininkontinenz 😛

Sven Böttcher

Turkai server als Test server nutzen und Psychologisch zu nutzen. Ist nicht ehrlch. einige Gm’s Die haben das alles verdient! Diese Wahrheitsfindung
Black Desert muss mehr Optionen in erwägung nehmen. Das Bill System funktioniert auf dauer nicht.

Gm’s das 4x Gamer sysrtem. irgendwann versagt es. Spiel ist schön aber Lügen muss gelernt sein
ich versuch fair zu bleiben. Dennoch manche dinge wie der Hack von einem 18 Jährigen öffnet eine Tür. Ich finde diesen Hack gut weil es ein Undifiniertes system offen legt!

Erzkanzler

Entschuldige wenn ich frage, aber bitte was?

Mandrake

Ich glaube die Antwort lautet…..Brot….ist aber leider nur geraten 😛

Saphy_Gaming

Stimme ich dir voll und ganz zu xD

Franz Bekker

Für mich ergeben diese Worte keinen Sinn.

RagingSasuke

Uff, ich hab mir wirklich Mühe gegeben es zu begreifen aber der Text ist entweder komisch…oder ich bin dumm? XD

Carsten knuth

Dürfen die das überhaupt nichmal blizzard traut sich aktiv den perso zufordern weil das nur ganz wenige firmen dürfen mit kopien etc

Schwarz

Das ist bereits seit dem release von Black Desert Online gang und gebe. Als ich da vor knapp 3 Jahren meine Email ändern wollte hätte ich auch ein Foto von meinem Personalausweis und einer Zeitung machen müssen…

Seal

Kommt aufs Land an, hier in Deutschland ist es erst seit kurzem für den Inhaber erlaubt Kopien anzufertigen.

Sven Dee Duhme

Gang und Gebe überall, wo Bankverbindungen oder Bezahlmöglichkeiten mit dem Account verknüpft sind. (z.b. Pokerseiten, Verifizierung bei Auszahlung z.b.)

Ich kenn das seit 14 Jahren so. Das mit der Zeitung ist weird, aber gar nicht mal so falsch.

Waldspecht

Blizzard hat schon immer nach einem Perso gefragt.
Zumindest war es bei mir auch so als z.b. mein Account gehackt wurde oder ich die daten komplett vergessen hatte (ewigkeiten nicht gespielt)

Carsten knuth

Eben genau das haben sie nicht getan du hast deinen ausweis gegeben aber sie haben nicht danach gefragt https://eu.battle.net/suppo… sie fragen nach einem identitätsnachweis aber sie durften halt niemals nen perso einfordern da sie nicht die berechtigung fpr sowas hatten 🙂 ich find man sollte alles nurnoch mit gesicht iris freischalten können das kann wohl kaum wer faken _D

Erzkanzler

Und das Erstgeborene bitte auch einschicken! Is ja wohl verständlich, die Schuld liegt doch eindeutig beim Kunden…. Ach ne Moment, der Anbieter hat SicherheitsGRUNDLAGEN missachtet und nun will man mit übertriebener Reaktion zeigen wie sehr man nun dann um Sicherheit bemüht ist?

Was für eine Aktion…
Accountdatenverschlüsselung ist echt kein Hexenwerk, nicht zeitaufwendig und selbst mit simplen Hash-Verfahren relativ sicher. Ich frag mich echt, warum wir solche News immer wieder lesen müssen…

Insane

Da man nicht weiß wer oder was die Lücke darstellt, finde ich es etwas vorschnell mit technischen Ratschlägen zu dienen.

Könnte schon so gewesen sein, dass hier Standards nicht eingehalten wurden. Oder halt einer von 10.000 anderen Gründen.

Erzkanzler

Geht so, ich weiß nicht in wieweit du dich mit Passwortspeicherungen usw. auskennst, aber wenn ich lese, dass Mailadressen und Passworte gesperrt wurden, deutet sehr stark auf eine unverschlüsselte Speicherung hin. Wenn ich in die Küche komm und da ist Erdbeermarmelade auf dem Boden, folgere ich doch auch erst einmal, dass es jene Erdbeermarmelade war die ich da heut morgen kippelig nachm Frühstück noch eben aufn Tisch geschibbelt hab. Die Möglichkeit, dass ein rosa Einhorn seine Monatsblutung hatte, besteht natürlich auch…

Eine simple Hashfunktion (wie sie z.B. bei Forensoftware häufig zur Anwendung kommt) kann, so ist bekannt, solch Situationen vorbeugen. Wenn der Betreiber die Daten nicht hat, können sie ihm auch nicht geklaut werden. Hätte es also eine entsprechende Verschlüsselung gegeben… gäb es wohl keine Daten im Netz 😉

Natürlich, gibt es auch Keylogger usw. aber darum schert sich ein Entwickler/Publisher nicht. Das liegt in der Verantwortung des einzelnen. Von solchen “Inselsituationen” müssen wir also nicht ausgehen.

Mein Post war auch kein “Alter das kann ja selbst ich besser, schaut her!” sondern nur eine Anmerkung, dass solche Situationen häufig sind und in den meisten Fällen auf extreme Nachlässigkeiten seitens des Betreibers schließen lassen.

Sollte jemand sich heimlich in die Zimmer von von zigtausenden BDO-Spielern geschlichen haben und sie bei der Eingabe ihres Passwortes und ihrer Mail gefilmt haben um die Daten dann direkt per Telex ins Internet zu stellen, so entschuldige ich mich zu tiefst bei den armen Unschuldslämmern von Kakao und Perl.

Insane

Also… Passwörter zu hashen bringt erstmal garnichts. In der Regel ist das sogar kontraproduktiv, da viele Leute einfache Passwörter benutzen. Wenn ich dann anfange diese zu hashen, kann ein Evil User relativ unkompliziert mittels sogenannter Rainbow Tables erschließen. Das kann sogar jemand wie ich und kommt dabei auf etwa drei Sekunden bei 40 % der durchschnittlich verwendeten Passwörter.

Wenn müssen die Passwörter gesalzen und dann gehasht werden. Noch schlimmer ist es eigentlich nur, wenn das schon in der Eingabemaske passiert, da ich dann schon vorher die Information abfangen kann und dann auch noch den Algorithmus dahinter identifiziere.

Da das Unternehmen keine großen Angaben dazu macht, ist es für mich durchaus möglich, dass ein frustrierter oder gelenkter Mitarbeiter seine Finger im Spiel hatte.

Wie dem auch sei… wie du siehst.. es ist nicht immer so ganz offensichtlich.

Erzkanzler

Keine Ahnung wie das bei Kakao gehandhabt wird… aber bei uns haben Mitarbeiter keine Zugriffe auf Accountdaten 😉

Rainbow Tables bringen dir ja auch erst etwas wenn du bereits die Accountmail hast oder zumindest die Hashzuordnung, ganz so einfach ist das eben alles nicht wenn man die Grundlagen der Datensicherheit einhält.

Aber ergehen wir uns nicht in Halbwissensdebatten, Kakao hat die Accontdaten nachweislich schlecht gesichert.

Insane

Richtig, aber solange man keine Informationen über die Schwachstelle hat, bei dem Ereignis nicht anwesend war oder anderweitige hilfreiche Informationen hat, außer, dass wohl irgend was nicht funktioniert hat, sind Ratschläge nur bedingt sinnvoll 😛

Insane

So viel dazu…. der Leak war nicht dort, sondern wo anders. Darum… erst Informationen -> dann maulen.

What happened here is that a lot of players use the same email and password on a lot of different services. Over the past years, there have been many many data breaches in a lot of very popular websites.

So who is affected? Players that use the same email and password on several different sites / services / games, one of which has had a data leak in the past.

Sven Dee Duhme

1. Glaskugel, also Vermutungen.
aber.
2. Sogar Google (14 Jahre lang) Twitter 2018 und Facebook (März 2019) speicherten Passwörter in Klartext.

Hashen musste man also bislang nie viel.

3. Die Sicherheitslücke ist meist nichtmal ein Hack. Dies ist hier auch nicht der Fall.

4. Es trifft immer die, wo viele Datensätze zu holen sind. Siehe Punkt 2. Man ist also in bester Gesellschaft.

5. Sich darüber zu eschauffieren, wie Kakao mit Daten umgeht, sollte sich umgehend bei alles von Google, Twitter und Facebook abmelden.

Franz Bekker

Eine Lücke die unverschlüsselte Passwörter ausliest, die eigentlich verschlüsselt sind? So etwas ist tatsächlich möglich? Das kann ich nicht glauben.

Insane

Das war nicht die Aussage. Es gibt einen unterschied zwischen potentiell Möglich und real existierend und zwischen Vermutung und Wissen.

Mandrake

Wie geil ne Zeitung dazu legen….

Ich würde meinen Ausweis am besten noch knebeln und fesseln und drunter ein Schild stellen wo draufsteht das sie mir Lösegeld in Form des Accounts aushändigen sollen…..

Also manchmal fragt man sich echt nur ….warum?

Gerd Schuhmann

Das Bild hatte ich auch im Kopf. 🙂

Sven Huber

Nicht vergessen der Mail das Blut eines jungfräulich Einhorn beizulegen.

Seska Larafey

Ist das Fake, weil man hier “unbewusst” auf den Datenschutzgesetz in Deutschland spekuliert um eine grosse Welle zu treten?

Stimmt das wirklich?

check: Mein Passwort ist noch der alte. Ist an mir wohl vorbeigegangen

Gerd Schuhmann

Das ist aus dem offiziellen Black Desert Forum. Die Quelle ist ja angeben – das kann ja jeder nachprüfen.

https://community.blackdese

Man weiß halt nicht, wie viele Accounts das betrifft.

Seska Larafey

Danke. Hab doch vorsichtshalber mein Passwort erneuert

Sven Dee Duhme

Sollte man sowieso regelmäßig tun und dieses auch nur ausschließlich dafür verwenden.

Sven Dee Duhme

“Man weiß halt nicht, wie viele Accounts das betrifft.”

Und wir wissen nicht, wie die Sicherheitslücke im Detail aussieht.

Passwort vergessen

Bitte gib Deinen Benutzernamen oder Deine Email-Adresse ein. Du erhälst einen Link, um ein neues Passwort per Email zu erstellen.

58
0
Sag uns Deine Meinungx
()
x