28.02.10 18:31 Uhr
 8.053
 

Trotz Authenticator: Blizzard-Account gehackt

Wie "Buffed.de" meldet, hat ein Spieler davon berichtet, dass sein "World of Warcraft"-Account trotz des Authenticators - ein Gerät, das Authentifikations-Nummern für den Einlogg-Prozess generiert - einem Hack zum Opfer fiel.

Schuld daran sei ein Keylogger, der sich in einer bestimmten DLL-Datei tarnt und die eingegeben Authenticator-Daten abfängt.

Blizzard hat bestätigt, dass es hierbei um einen so genannten "Man-in-the-middle"-Angriff handelt.


WebReporter: popugel2
Rubrik:   High Tech
Schlagworte: Blizzard, Account, Hackerattacke
Quelle: www.buffed.de

DAS KÖNNTE DICH AUCH INTERESSIEREN

Verdächtige Konten: Twitter sperrt Tausende Accounts
Smart TVs von Samsung und TCL sind leicht zu hacken
Landgericht Berlin: Facebook verstößt gegen Datenschutz

Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

18 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
28.02.2010 18:31 Uhr von popugel2
 
+5 | -7
 
ANZEIGEN
Verdammt! Ich hab mir extra so einen Authenticator gekauft, damit ich nicht gehackt werde. In den Kommentaren regen sich andere Spieler auch ganz schön auf. (http://www.buffed.de/...)
Kommentar ansehen
28.02.2010 18:45 Uhr von Jaden
 
+7 | -1
 
ANZEIGEN
Authenticator ist immer noch sicher: Das Ding ist immer noch so sicher wie es vorher war. Schließlich schaltet sich der Keylogger zwischen Nutzer und Blizzard.
Kommentar ansehen
28.02.2010 18:51 Uhr von earlhickey
 
+17 | -1
 
ANZEIGEN
Mal eine Frage eines nicht WOW spielenden:

Was machen die Hacker mit den geklauten Accounts? Wenn die die verkaufen sieht man doch von wem der Account ursprünglich war oder?
Kommentar ansehen
28.02.2010 18:53 Uhr von Nekromanzer
 
+3 | -15
 
ANZEIGEN
Kommentar ansehen
28.02.2010 19:14 Uhr von Yes-Well
 
+10 | -7
 
ANZEIGEN
@Nekromanzer [edit;prepina]: Versteht überhaupt einer was das für ein Hack war?

Da war ein Programm auf dem Rechner welches alles was eingetippt und gesendet wird aufzeichnet. Mit so einem bekommt man auch die Tan zu sehen wenn sich jemand auf seiner eigenen Bank einloggt und diese dort eingibt.

Da kann man tun was man will, außer nicht mehr WOW zocken. So keine zeit mehr zum schreiben meine Jägerin 57 wartet auch mich ^^
Kommentar ansehen
28.02.2010 19:42 Uhr von Nekromanzer
 
+11 | -9
 
ANZEIGEN
Dass es: Dass es ein WoW-Suchti nur mit Mühe versteht war ja klar :P

Eine TAN ist ein System das einen Wert generiert der nur 1x verwendbar ist. Den kann der Keylogger gerne aufzeichnen der ist durch die Verwendung schon unbrauchbar für den Keylogger.
Kommentar ansehen
28.02.2010 19:49 Uhr von KingPiKe
 
+2 | -5
 
ANZEIGEN
naja: Dafür kann ja Blizzard nichts, wenn der User seinen Rechner nicht sauber hält.

@Nekromanzer: Aber wenn man genug Codes abfängt, dann kann man doch sicher mit etwas Mühe den algorhythmus knacken und sich so ein eigenen Key erstellen, oder?
Kommentar ansehen
28.02.2010 19:50 Uhr von cheetah181
 
+5 | -0
 
ANZEIGEN
earlhickey, Nekromanzer: @earlhickey: Er verkauft alle Gegenstände und schickt sich das Gold zu, was er dann für echtes Geld versteigert.

@Nekromanzer: So oft wie sich Hardcore-Spieler da pro Tag einloggen müssten das aber ganz schön lange Tan-Listen sein.

@Thema: Er muss mit den abgefangen Daten ja auch noch den Algorithmus des Authenticators herausbekommen haben, wenn es wirklich nur ein Keylogger war.
Kommentar ansehen
28.02.2010 20:02 Uhr von Dracultepes
 
+5 | -0
 
ANZEIGEN
@nekromanzer @earlhickey: Nö der Keylogger zeichnet das Ding auf gaukelt dem Benutzer vor die Eingabe sei falsch, dadurch ist die Tan noch aktiv und kann weiterverwendet werden weil der Benutzer eine neue eingibt und sich keinen Kopf drum macht.

Da hier aber wohl ein Tan Generator eingesetzt wurde sind die Tans wohl nur eine kurze Zeit gültig. Das heisst der Keylogger wird wohl die Tan benutzen um das Passwort zu ändern oder sonstiges.

Da bringt aufzeichnen wenig, aber Blizzard unfähigkeit vorzuwerfen ist schon dumm. Banken können sich davor einigermaßen schützen indem die Tan Daten zum Betrag und zur Empfängernummer beinhalten. Bei Wow Accounts wird das schon schwerer, da man sowas dort nicht hat.

Wie soll man es sicherer Machen? Alle konzepte die Man in the Middle bei Banken verhindern sollen setzen darauf das nur der Nutzer die Tan generieren kann(hier gegeben) und die Tan nur für eine Konto/Geldbetragkombination funktioniert.

Selbst wenn die Tan nur 30 Sekunden gilt reicht das dem Programm um Passwort und eventuell Mail Addy zu ändern. Bis der Blizzsupport reagiert dürfte alles weg sein.

Sicher ist immernoch Brain.exe. Der Typ muss was dummes getan haben um sich das Ding einzufangen.

@earlhickey
Tja das ist eine Frage, vllt Plündern und gegenstände Verkaufen oder sonst was. Solange es Idioten gibt die dafür reales Geld hinblättern wird sowas immer weitergehen.
Kommentar ansehen
28.02.2010 20:02 Uhr von cvzone
 
+2 | -0
 
ANZEIGEN
Der TAN: des Authentifikators ist noch ca. 30 Sekunden gültig und wird ja auch erstmal nicht "verbraucht", da dieser den echten Blizzardserver nie erreicht. Diese ca. 30 Sekunden hat der Hacker um sich in den Account einzuloggen.
Kommentar ansehen
28.02.2010 20:05 Uhr von Nekromanzer
 
+3 | -9
 
ANZEIGEN
Die TAN-Liste: Die TAN-Liste existiert nicht auf Papier. Die jeweilige TAN wird entweder per SMS von Blizzard auf das Spieler-Handy geschickt oder an ein Hardwaregerät das die Suchties an den USB-Port ihres Computers stecken.

Also das gesamte System ist "an sich" relativ sicher gegen Hacks - wenn man es denn sauber und fehlerfrei programmiert. Was Blizzard scheinbar nicht gelungen ist :P
Kommentar ansehen
28.02.2010 20:29 Uhr von cvzone
 
+3 | -0
 
ANZEIGEN
@Nekromanzer: So wie du glaubst arbeitet das System nicht, es gibt keine Verbindung zu einem Server, weder per SMS noch USB oder sonstwie. Das ganze arbeitet mit der Seriennummer des Gerätes (welche bei Blizz mit dem Account verbunden wird) und einer internen Uhr.
Kommentar ansehen
28.02.2010 20:40 Uhr von cheetah181
 
+1 | -0
 
ANZEIGEN
Dracultepes, cvzone, Nekromanzer: Ok, wenn die Nummer nicht nur geloggt wird (wie "Keylogger" ja suggeriert), dann geht es natürlich auch so.

@Nekromanzer: Da bestände dann aber exakt das gleiche Problem wie bei den Authenticator-Codes, wenn der Benutzer zu blöd ist seinen PC frei von "Keyloggern" zu halten, die eine Falscheingabe vortäuschen.

Edit: Hat cvzone schon erklärt. Solche Authenticators werden übrigens auch in der Industrie benutzt, also nichts "dummes Blizzard".

[ nachträglich editiert von cheetah181 ]
Kommentar ansehen
28.02.2010 21:34 Uhr von Mario1985
 
+3 | -0
 
ANZEIGEN
nekromanzer: ganz intelligent deine Ansicht, aber wenn alles über den Rechner des Hackers läuft, der dann die daten abfängt um dann im nächsten moment die daten für sich zu verwenden, so schon 100e mal geschehen bei Onlinebanking. Da kann man nichts gegen machen ausser äußerst vorsichtig sein, selbst dann läuft man noch in gefahr solcher Attacken.....
Kommentar ansehen
28.02.2010 21:41 Uhr von Muenstermicha
 
+1 | -4
 
ANZEIGEN
ich zock: weiter meine wimmelbilder mit meinem Sohn

WoW ist was für Hartz 4

Alles wird gut


der Micha
Kommentar ansehen
28.02.2010 21:55 Uhr von Zephram
 
+0 | -0
 
ANZEIGEN
leute: also 1. bringt da ne tanliste nix, weil der man-in-the-middle die frische tan ja serviert bekommt, der authenticator ist da die elegantere lösung, und da müsste man echt jede woche eine zugeschickt bekommen, sooft wie man einloggt...

und 2. gibs da imho ne lücke bei blizz, der temp-key den der authenticator ausspuckt bleibt mehrmals gültig, kann also 30s lang verwendet werden um pw und email zu ändern, was sogar ohne script per hand schaffbar ist ^^ des müsste man mal auf 1x runtersetzen, ist ja egal das man dann nur noch alle 30s einloggen kann....

jm2p Zeph

PS: blizz sollte mal ne sicherheitstastatur für den authenticator-code in nem window einbauen, und zwar eine die ned so laggt wie bei cabal online...
Kommentar ansehen
01.03.2010 02:11 Uhr von Floppy77
 
+1 | -0
 
ANZEIGEN
@Zephram: Kaspersky hat eine virtuelle Tastatur, bei der Keylogger umsonst auf Tastenanschläge warten. Wenn man dann zusätzlich nicht auf jeden Link in Foren oder Emails klickt und mit der virtuellen Tastatur sein PW eingibt könnte man sich den Authenticator vielleicht sogar gleich sparen.
Kommentar ansehen
01.03.2010 10:48 Uhr von Prisma2003
 
+0 | -0
 
ANZEIGEN
wayne??? ???

wie war das mit dem sack reis in china?

Refresh |<-- <-   1-18/18   -> -->|
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben


Copyright ©1999-2018 ShortNews GmbH & Co. KG

Die News auf dieser Website werden eigenverantwortlich von Nutzern erstellt. Die Shortnews GmbH & Co. KG nimmt keinen redaktionellen Einfluss auf die Inhalte.

impressum | agb | archiv | usenet | zur mobilen Ansicht
SCHLIESSEN

Willst Du die Seite wirklich verlassen?


DAS KÖNNTE DICH AUCH INTERESSIEREN

Berlin: 680 Schwulenehen Ende 2017
Flüchtiger Mörder in Bayern gefasst
Indien: Auto rast in Schülergruppe - Mindestens neun Tote


...oder unseren und keine aktuellen News mehr verpassen?