Jump to content
Cyver

Gerüchte zur Accountsicherheit

Recommended Posts

Dronexx
vor 11 Minuten schrieb Cuze:

Und nochmal BSG hat 2 Videos von Egokind ( so nenn ich ihn) angekreidet daraufhin hat YOUTUBE den Kanal 2 mal getriked und videos gelöscht. es war NICHT BSG. und denen glaube ich das...youtube benimmt sich nicht erst seit Gestern so.

Zeig mir mal den Ausschnitt wo BSG sagt, dass nur die 2 Videos sperren lassen haben/wollten ? 
Ich glaube du und zombiehh seid ein wenig falsch informiert. 
Aber ich lasse mich gerne eines besseren belehren :D

Share this post


Link to post
Share on other sites
XiJee_grrl_gmr
43 minutes ago, zombiehh said:

Ich Finde es richtig wie es ist der Erotic hat es schon immer etwas übertrieben.

( ok über Künstlerische Freiheit kann man reden jedem das seine )

Aber was ist den passiert was BSG zurück rudern sollte ?

Die Videos hat You Tube gesperrt nicht BSG.

Der Tuber heisst Eroktic, nicht Erotic. =)

Eroktic hat seine übertriebene Art, dafür lieben ihn seine Zuschauer. Manch anderer mag Kotten oder Clean oder Verritas lieber. Das ist künstlerische Freiheit, er ist wie er ist. Solange er nicht gegen Regeln verstößt die YT/Twitch vorgeben, kann er so sein. 

Und im YT Panel steht drin, wer einem einen Copystrike verpasst hat. Einen Screenshot hat Eroktic auch gezeigt. Also, es war BSG, nicht YT. YT sperrt Videos aus seinem Automatismus, wenn zB geschützte Musik gespielt wird. Bei kurzen Phasen wird das Video nur gemutet, wie auch bei Twitch. Bei kompletten Songs gibts n Strike und das Video wird runter genommen.

 

BSG muss zurückrudern, für die Art und Weise, wie sie den PR-Gau angefasst haben und aktuell händeln. Es läuft völlig aus dem Ruder. BSG hätte nicht alle 47 Videos copystriken müssen, dadurch entzieht man dem YTer seine Monetarisierung und somit seine Grundlage. BSG hätte von Anfang an einfach sagen müssen "Danke für den Hinweis, wir prüfen das und werden weitere Sicherheitsmaßnahmen einführen." 

Wieviele von den Spielern wussten denn von der zwei-Wege Authentifizierung vorher? Kaum einer, mir inklusive. 

BSG hat auch erst DANACH die Accounts überprüft, die im Video angezeigt wurden und diese mit anderen Leak-Datenbanken verglichen. Die Mails, die in diesen Datenbanken auftauchten, deren Passwörter wurden resettet. Warum wurde das nicht vorher gemacht? Einfacher Gegencheck bei Registrierung und bei Auffälligkeit die Bitte eine andere Adresse zu nehmen. 

Zitats aus Facebook:

Quick search revealed that all data of all the three accounts shown in the video were in free access on the Internet, particularly in the database of one well-known game that has been leaked a year ago. Why did the passwords work? Because quite often, users use identical emails and passwords for multiple profiles. We took measures immediately, forcibly resetting passwords of the accounts which we found in the leaked databases of other games on the Internet. In addition, we began process of enhancing the safety of profiles in case of REAL threats.

Also, sie haben diese Leak-Datenbank, warum machen die einfach nicht einen Gegencheck schon vorher und auf alle jetzigen Accounts?

 

Derjenige der das Sicherheitsproblem angestossen hat war Glockworks. Er ist kein Whitehat, aber er hat es gemeldet. BSG hat ihn dafür gebannt. War das OK? NEIN, war es nicht. Einfach das Problem lösen und gut ist. Stattdessen wird der Whistler gebannt. Es wäre nicht zu dem PR-Gau gekommen, wie er jetzt verläuft.

Also geht GW zu Eroktic, da dieser auch immer gerne Fehler aufzeigt. Der produziert zwei Videos, auf seine Art. War das OK? NEIN, war es nicht, es hätte viel sachlicher sein müssen. Sicherheitsprobleme sind keine Grundlage für reisserische Videos. 

BSG will sein Spiel und sein Einkommen schützen - JA, völlig verständlich. Direkt 47 Videos copystriken und jemand anderen, der die Probleme mitteilen will, weil BSG sie scheinbar nicht wahrnimmt, NEIN, das ist nicht OK. Man tötet nicht den Boten.

BSG hat immer noch die Möglichkeit sich bei der Community zu entschuldigen. Niemand wäre böse, alle wären happy wenn das Spiel sicher und besser wird. Aber, so scheint mir es, ist der Stolz nachzugeben zu groß, als dass sich alle an einen Tisch setzen und EoT besser, schöner und sicherer machen. 

Stattdessen hat BSG jetzt selber Lizenzprobleme mit den im Spiel dargestellten Waffen, wahrscheinlich, aus meiner Sicht, eine Racheaktion. Denn wer es selber mit Lizenzen der Waffenhersteller nicht so genau nimmt und selber mit Lizenz-DMCA um sich schlägt, dem kann man die Ironie nicht absprechen. 

 

Und Eroktic heult nicht in seinen Videos, es ist seine Art und Weise zu wollen, dass das Spiel zu was besserem wird. Und einige Fehler wurden aufgrund seiner Videos ja auch behoben. Andere YTer beschweren sich auch, jeder auf seine Weise - siehe TweaK, Kotton oder EL_DEE. Man schaut das, was unterhält. Schliesslich gehts ja auch wieder um Klicks und Geld.  Und wenn es Eroktic nur um Geld gehen würde, dann würde er kein Nischengame wie EoT spielen - Fortnite würde ihm weit mehr Geld einbringen. Er will einfach, dass das Game besser wird. Wie wir alle. Aber scheinbar ist uns allen die Kommunikation entglitten.

 

So far so good, ich reite wieder weiter auf meinem rosa Einhorn gen Untergang.

Es grüßt euch XiJee

 

PS: Was ich auch noch gemacht habe und nur durch Eroktic darauf hingewiesen wurde - die Verbindung von Xsolla und Paypal. Xsolla ist ja Zahlungsdienstleister von BSG und hatte vollen Zugriff auf mein Paypal Konto, weil ich das beim Kauf von EoT über Xsolla und Paypal so genehmigt habe. Und dieser Zugriff ist zeitlich unlimitiert, jemand mit Accountzugriff kann einfach ohne Paypal Passwort dann weitere Lizenzen kaufen, was wohl auch anderen schon passiert ist. Kann man die Verbindung zwischen Xsolla und Paypal kappen? Nein, als User nicht. Ich habe mit Paypal telefoniert und die mussten das im Support machen. Uncool. Jemand könnte mein Konto belasten und ich könnte nichts dagegen machen, ich würde es von Paypal, Xsolla oder der Bank nicht ersetzt bekommen, wie andere User es schilderten, obwohl nachweisbar ist, dass der BSG Account gehackt war und die Zugriffe von anderen Teilen der Welt getätigt wurden. Man bleibt auf dem Schaden sitzen. Warum wird das nicht gefixt. Ich wusste davon nichts.

So, nu aber Puder druff und ab dafür!

Edited by XiJee_grrl_gmr
  • Like 2
  • Thanks 1
  • Hot 1

Share this post


Link to post
Share on other sites
Drombal
vor 1 Stunde schrieb XiJee_grrl_gmr:

Derjenige der das Sicherheitsproblem angestossen hat war Glockworks. Er ist kein Whitehat, aber er hat es gemeldet. BSG hat ihn dafür gebannt. War das OK? NEIN, war es nicht. Einfach das Problem lösen und gut ist. Stattdessen wird der Whistler gebannt. Es wäre nicht zu dem PR-Gau gekommen, wie er jetzt verläuft.

Er wurde eigentlich ja wegen Cheatens gebannt. Abgesehen davon gibt es kein Problem zu lösen, da kein Sicherheitsproblem existiert.

vor 1 Stunde schrieb XiJee_grrl_gmr:

Xsolla ist ja Zahlungsdienstleister von BSG und hatte vollen Zugriff auf mein Paypal Konto, weil ich das beim Kauf von EoT über Xsolla und Paypal so genehmigt habe.

Aber wenn es nicht passt, dann würde ich das von vornherein nicht genehmigen.

vor 1 Stunde schrieb XiJee_grrl_gmr:

Jemand könnte mein Konto belasten und ich könnte nichts dagegen machen, ich würde es von Paypal, Xsolla oder der Bank nicht ersetzt bekommen, wie andere User es schilderten, obwohl nachweisbar ist, dass der BSG Account gehackt war und die Zugriffe von anderen Teilen der Welt getätigt wurden.

Ich kann mir aber nicht vorstellen dass die kompletten Zugangsdaten aus der internen Datenbank von BSG gestohlen wurden. Nüchtern betrachtet resultieren Hacks von Accounts aus unsicheren Zugangsdaten oder Methoden. Die Lizenzvereinbarungen sehen auch diese Punkte vor; jeder Benutzer hat die Verantwortung für die Sicherung seiner Zugangsdaten zu sorgen. Ich für meinen Teil hatte in den letzten 20 Jahren, seit dem ich mich im Internet bewege und auch unzählige Accounts für E-Mail Konten, Spiele und sonstige Spaßangelegenheiten erstellt habe, noch nie Probleme in dieser Richtung gehabt. Aber ich kenne auch persönlich Leute die erst klicken und dann Lesen, und auf deren PCs würde ich niemals meine Zugangsdaten für irgendetwas verwenden xD.

 

Bitte bleibt auch weiterhin beim Thema Accountsicherheit. Bei Abweichungen besteht nur wieder die Gefahr dass wir einen Beitrag entfernen werden. So wurde es ein paar Beiträge vorher auch angekündigt.

Share this post


Link to post
Share on other sites
XiJee_grrl_gmr
3 minutes ago, Drombal said:

Er wurde eigentlich ja wegen Cheatens gebannt. Abgesehen davon gibt es kein Problem zu lösen, da kein Sicherheitsproblem existiert.

Ich denke das kannst du aber auch wieder rückgängig machen. Ich verwende leider kein Paypal, aber ich denke es gibt entweder direkt bei Paypal eine Übersicht über erteilte Erlaubnis, oder man zieht die Einwilligung bei Xsolla zurück. Aber wenn es nicht passt, dann würde ich das von vornherein nicht genehmigen.

Ich kann mir aber nicht vorstellen dass die kompletten Zugangsdaten aus der internen Datenbank von BSG gestohlen wurden. Nüchtern betrachtet resultieren Hacks von Accounts aus unsicheren Zugangsdaten oder Methoden. Die Lizenzvereinbarungen sehen auch diese Punkte vor; jeder Benutzer hat die Verantwortung für die Sicherung seiner Zugangsdaten zu sorgen. Ich für meinen Teil hatte in den letzten 20 Jahren, seit dem ich mich im Internet bewege und auch unzählige Accounts für E-Mail Konten, Spiele und sonstige Spaßangelegenheiten erstellt habe, noch nie Probleme in dieser Richtung gehabt. Aber ich kenne auch persönlich Leute die erst klicken und dann Lesen, und auf deren PCs würde ich niemals meine Zugangsdaten für irgendetwas verwenden xD.

 

Bitte bleibt auch weiterhin beim Thema Accountsicherheit. Bei Abweichungen besteht nur wieder die Gefahr dass wir einen Beitrag entfernen werden. So wurde es ein paar Beiträge vorher auch angekündigt.

Gut, ob er gebannt wurde wegen Cheatens oder Meldung der Lücke - Henne/Ei Diskussion - aber er hat es gemeldet. Dass Glockworks kein Kind der Unschuld ist, da muss man nicht drüber reden. Dennoch, er hatte die Lücke gemeldet. Und das Problem war, dass über eine Schnittstelle die User-Daten abgezogen werden konnten. Also war/ist es ein Sicherheitsproblem. Niemand möchte, dass seine Registrierungsmail oder noch mehr Daten im Netz abgreifbar sind. 

Ja, man kann es Rückgängig machen. Xsolla hat sich nun doch mal gemeldet. Paypal hat es aber nun schon über eine Supportmeldung/Telefonat gemacht. Wie auch immer - warum räumt sich Xsolla Vollzugriff ein? Leider lässt es sich vorher nicht abstellen und beim Kauf von EoT räumt man diese Rechte mit ein und man wird darauf nicht Aufmerksam gemacht. Es reicht doch einmaliger Zugriff für den Zahlvorgang...

  • Wer Xsolla raus lösen will, bei Paypal einloggen - auf Einstellungen (das Zahnrad oben-rechts) - Zahlungen - "Zahlungen im Einzugsverfahren verwalten" und die betreffenden Dienstleister rauswerfen. 

Nein, die gesamten Daten sind nicht gestohlen worden. Hab ich auch nicht gesagt. Das bezweifel ich auch. Was aber gemacht wurde, die BSG-Mail-Adressen wurden abgezogen und dann mit Datensätzen aus Leaks von Webseiten und anderen Games verglichen. Bei Treffern wurde dann das alte Passwort ausprobiert und scheinbar funktionierte diese Methode bei diesen Accounts, je nachdem wie oft der User das selbe Passwort benutzt hat.

Zitat aus Facebook:

We conducted our investigation and were convinced that this video is also a complete lie. According to the bits of information in the video, we found out which profiles were compromised. Quick search revealed that all data of all the three accounts shown in the video were in free access on the Internet, particularly in the database of one well-known game that has been leaked a year ago. Why did the passwords work? Because quite often, users use identical emails and passwords for multiple profiles. We took measures immediately, forcibly resetting passwords of the accounts which we found in the leaked databases of other games on the Internet. In addition, we began process of enhancing the safety of profiles in case of REAL threats.

Sie nahmen an, dass das Video eine Lüge ist. Aber die im Video gezeigten Accounts waren mit den Datenbank-Infos aus einem anderen Leak abgleichbar und die Passwörter waren identisch. Danach wurden die Passwörter zurückgesetzt. BSG dachte es wäre ein Lügen-Video, gibt aber zu sich geirrt zu haben. Ist ja der erste Schritt zu Verbesserung. Danach wurden weitere Sicherheitsmaßnahmen ergriffen. Also, es ist was an der Sache dran.

Und als Firma die Verantwortung auf die User zu schieben, nein, so einfach geht das nicht. Auch die Firmen haben den Sicherheitsaspekt mitzutragen und den User dazu zu bringen, dass dieser sich absichert, was BSG ja bisher vernachlässigt hat. Ja, BSG hat die Möglichkeiten angeboten, aber die User nie dahingehend gebracht, es zu nutzen. Erst jetzt. 

Denn wenn die Firmen ihrerer eigenen Verantwortung nicht nachkommen würden, dann kommt der User erst recht nicht hinterher. Der Mensch ist ein Gewohnheitstier und macht es sich möglich einfach. Werden wir von den Firmen nicht gezwungen Passwörter mit Mindestanzahl von Zeichen und Komplexität zu wählen, dann wählen die User 123456 als Passwort. Dann muss sich die Firma aber auch nicht wundern, wenn die User Reihenweise gehackt werden und es zum PR-Gau kommt, denn schlussendlich fällt die Faulheit/Ignoranz der Firma, die User zum Selbstschutz zu zwingen, auf sie selber zurück. Dann den Fehler bei dem User zu suchen, ist der falsche Weg. Die Firma muss sich fragen "Wie hätten wir es besser machen können?".

Und man kann auch nicht von sich auf andere schließen, nur weil man selber 20Jahre im Internet unterwegs ist und bisher nichts passiert ist, trifft das nicht auf viele andere User zu. Die meisten sind ja auch nur "User" und bedenken nicht ihre eigene Sicherheit. Bestes Beispiel ist doch Facebook. Die Leute haben ihre persönlichsten Daten rausgepustet, weil sie selber mit den Einstellungen überfordert waren. Somit war Facebook nach zahlreichen Skandalen selber gezwungen die User (vor sich selber) zu schützen. 

Und sowas muss pro-aktiv kommen und nicht erst nach einem PR-Gau oder Datenskandal.

 

Share this post


Link to post
Share on other sites
steel90

Das ganze was aus der ganzen Accountsicherheit hervorgeht ist dass immer am schwächsten Bindeglied angesetzt wird und das sind bestimmt nicht die Server von BSG!

Angenommen die verhaun einen Patch was schon einmal war dass es einige Bugs gegeben hat, wurden diese sofort mit glaube ich zwei oder drei hotfixes behoben, das Tempo war erstaunlich!

Was passiert? ein paar Einträge im Forum und das war es schon, nichts weltbewegendes da es eine BETA ist.
Angenommen wie hier behauptet wird dass BSG ja ach so fahrlässig mit den Daten umgeht alá MD5 und sonstigen SCHWACHSINN denn ich die letzten Tage hier still mitgelesen habe konnte ich mir nur am Kopf greifen.

Wenn BSG die Daten nicht richtig schützen würde und es kommt durch Fahrlässigkeit seitens BSG zu Accountdiebstählen oder sonstiges hätten die ein richtiges Problem.

 

Die Acoounts die "gecracked" wurden stell ich mir GENAU SO vor:

email. [email protected]
PW: Superman12467

Dann für die ID die man per mail bekommt ist es ein Kinderspiel an diese heranzukommen da der e-mail Zugang zu 95% genau so "gesichert" ist wie die Zugangsdaten zum Louncher.

und wie @Drombal richtig erwähnte dass JEDER BENUTZER für die Sicherung seiner Zugangsdaten zu sorgen hat, dazu gehört auch ein ordentliches Passwort zu wählen und wenn man sich diese nicht merken kann speichert man diese NICHT im Browser ab sondern notiert diese und verstaut sie =) da es auch ein Sicherheitsrisiko ist überall das gleiche PW zu verwenden worauf viele pfeiffen und wenn was los ist soll dann BSG die Schuld für eure FAHRLÄSSIGKEIT übernehmen, sag mal gehts noch ?

Bei solchen Passwörter kann man trauriger weise sogar ein altes Programm (Name erwähne ich jz bewusst nicht) drüber laufen lassen und man hat es in relativer kurzer Zeit.

 

Wenn wirklich ein oder zwei Accounts gecracked wurden durch eine Sicherheitslücke kann ich mir bei besten Willen nicht vorstellen dass da nur kommt: "blyat uns egal, kauf neu oder schleich dich"

Kurz Offtopic zum Schluss:
Habe mit dem Support von BSG beste Erfahrungen gemacht und sende sogar private Aufzeichnungen die weiterhelfen könnten und diese bedanken sich nett dafür.
Dieser ganze Hype von Eroktic ist für mich in keiner Art und Weiße nachzuvollziehen da mit gefährlichen Halbwissen herumgeworfen wurde und jemand der es nicht besser weiß steigt voll drauf ein.
Ich selbst schaue gelegentlich Eroktic zu da seine Art teilweise echt lustig ist die Geschmacksache ist, aber das Video hätte man sachlicher gestalten können, wer so scharf schießt mit solchen Unwahrheiten braucht sich nicht wundern, jeder schimpft gelegentlich über das Game auch Streamer, wieso passiert da nichts ? Richtig weil es nur Kritik wegen was auch immer ist aber nicht mit Titel wie 1,9Millionen......... ich gehe mit meinen gefunden Fehlern auch nicht zu irgendwelche Streamer und heule mich aus, vor allem nicht bei Sicherheitslücken, dazu gibt es ein Kontaktformular aber das erzeugt ja keine "clicks" und "fame".

Wenn ihr Probleme habt, meldet euch doch beim Support, verfasst es in Englisch und ihr bekommt garantiert eine Antwort, auch wenn es Russen sind, es sind Menschen mit denen man ganz normal kommunizieren kann und das haben hier wohl einige außer Acht gelassen was ich persönlich lächerlich finde!

 

Wer Probleme hat mit BSG bzw kein Vertraun wie sie mit euren Daten umgehen, euch bleibt es frei euren Account zu löschen.

@XiJee_grrl_gmr Das mit Xsolla und PayPal muss ich mir selbst noch anschauen was dahinter steckt und werde es hier im Forum für euch noch ergänzen was mir der Support mitteilt.

  • Like 2
  • Thanks 1
  • Upvote 1

Share this post


Link to post
Share on other sites
steel90

Ich muss ergänzen, habe gerade mit PayPal telefoniert und auf mein Konto nachgeschaut.

 

!!!! XSOLLA HAT KEINEN DAUERHAFTEN ZUGRIFF AUF DAS PAYPALKONTO !!!

Wie weit gehen bitte diese Unwahrheiten noch ?

  • Like 1

Share this post


Link to post
Share on other sites
XiJee_grrl_gmr

 

Just now, steel90 said:

Ich muss ergänzen, habe gerade mit PayPal telefoniert und auf mein Konto nachgeschaut.

 

!!!! XSOLLA HAT KEINEN DAUERHAFTEN ZUGRIFF AUF DAS PAYPALKONTO !!!

Wie weit gehen bitte diese Unwahrheiten noch ?

Schliess nicht von Dir auf andere. Ich hatte mit Paypal auch telefoniert, weil meine Mails mit auto-Antworten beantwortet wurden. Mir sagte der Support am Telefon, dass Xsolla sich automatisch Zugriff beim Kauf eines Produktes über Xsolla einräumt. 

Voller Zugriff heisst nicht, dass Xsolla von sich aus ohne Auftrag abbuchen kann, sondern, dass jemand mit Account-Zugriff, ohne weitere Hinderung, weitere Käufe tätigen kann. Man würde dies für den User so "bequemer" machen. Der Support findet das selber auch nicht gut, weil es viel Ärger damit gibt, aber so ist das heute. Der Support verglich es mit einem "Automatischen Einzugsverfahren" auf einem Bankkonto. Find ich nicht gut. Muss nicht sein. Man kauft das Spiel höchstens ein Mal oder zwei Mal, wenn man aufwertet, vielleicht noch eine Lizenz an einen Freund verschenkt.

Wäre ganz nett, wenn Du einfach freundlich bleiben kannst, sonst brauch ich mit Dir nicht weiterreden.

Und was die Account-Sicherheit angeht, für Entwickler ist es ein leichtes eine kleine Barrikade einzubauen, die im Rückschluss den User schützen. Sicher liegt es in der Verantwortung der User ihre Passwörter richtig zu wählen, aber da gehen Theorie und Praxis weit auseinander. Und das ist schon immer so gewesen. Und um den ganzen einfach einen Riegel vorzuschieben, kann man diesen Sicherheitsaspekt einfach einbauen. Das gilt für alle Firmen.

 

 

  • Like 1

Share this post


Link to post
Share on other sites
steel90
vor 3 Minuten schrieb XiJee_grrl_gmr:

Wäre ganz nett, wenn Du einfach freundlich bleiben kannst, sonst brauch ich mit Dir nicht weiterreden.

Wollte in keiner Art und Weiße dir gegenüber unfreundlich auftretten, falls du dies so empfunden hast tut es mir leid es war nicht meine Absicht.

 

vor 4 Minuten schrieb XiJee_grrl_gmr:

Voller Zugriff heisst nicht, dass Xsolla von sich aus ohne Auftrag abbuchen kann, sondern, dass jemand mit Account-Zugriff, ohne weitere Hinderung, weitere Käufe tätigen kann. Man würde dies für den User so "bequemer" machen. Der Support findet das selber auch nicht gut, weil es viel Ärger damit gibt, aber so ist das heute.

Ja das hat man zb. auch von iTunes, Netflix und sonstige Anbieter, das meiste Problem was es hier gibt dass es meistens Abomäßige Verträge sind wie bei Netflix wenn du es über iTunes kaufst.

Der Support hat halt die meiste Arbeit damit weil jeder die Kunden nur auf schnell, schnell was einkaufen und nicht einmal wissen was genau die gerade gekauft haben, das man sein PayPal Konto auch verwalten und überprüfen kann was genau da derzeit autorisiert ist und was nicht, wissen leider auch nur ein Bruchteil :D

Share this post


Link to post
Share on other sites
steel90
vor 22 Minuten schrieb XiJee_grrl_gmr:

Und was die Account-Sicherheit angeht, für Entwickler ist es ein leichtes eine kleine Barrikade einzubauen, die im Rückschluss den User schützen. Sicher liegt es in der Verantwortung der User ihre Passwörter richtig zu wählen, aber da gehen Theorie und Praxis weit auseinander. Und das ist schon immer so gewesen. Und um den ganzen einfach einen Riegel vorzuschieben, kann man diesen Sicherheitsaspekt einfach einbauen. Das gilt für alle Firmen.

Ja währe möglich, weiß ich aber nicht da ich die Vorgehensweise nicht kenne und wenn absichtlich Sicherheitslücken im Spiel/Acc eingebaut werden hat dies einen anderen Hintergrund der für das Spiel essentiell wichtig ist und das macht nicht nur BSG so.

Da stimme ich dir zu das Theorie und Praxis weit auseinander liegen in gewisse Bereiche.

Nur wenn man für EfT ein eigenes PW verwendet und für die e-mailadresse auch ein anderes und die Gamingmailadressen von PayPaladressen trennt, ist die Wahrscheinlichkeit sehr gering das etwas passieren kann.

Ich bin schon seit eh und je im www unterwegs und hatte nur EINMAL ein Problem mit einem Googlekonto wo ich selbst Schuld war und das war es schon.

Edited by steel90

Share this post


Link to post
Share on other sites
ningamertendo
vor 43 Minuten schrieb XiJee_grrl_gmr:

Was aber gemacht wurde, die BSG-Mail-Adressen wurden abgezogen und dann mit Datensätzen aus Leaks von Webseiten und anderen Games verglichen

Also selbst in den Dokumenten von GlockWorks steht, dass folgende Informationen erhalten werden können:

  • Login-ID -> Name bei Login -> meist mit Forum identisch
  • Nutzernamen -> sowieso öffentlich
  • Account-ID -> Eindeutige ID im System der EFT Server -> nicht direkt öffentlich aber nutzt aktuell nichts.
  • Avatar -> öffentlich

Daher gibt es keinen Email-Adressen Leak. Bitte alle mal selbst die Dokumente lesen.

 

  • Thanks 1
  • Upvote 1

Share this post


Link to post
Share on other sites
ningamertendo
vor 25 Minuten schrieb XiJee_grrl_gmr:

Und was die Account-Sicherheit angeht, für Entwickler ist es ein leichtes eine kleine Barrikade einzubauen, die im Rückschluss den User schützen. Sicher liegt es in der Verantwortung der User ihre Passwörter richtig zu wählen, aber da gehen Theorie und Praxis weit auseinander. Und das ist schon immer so gewesen. Und um den ganzen einfach einen Riegel vorzuschieben, kann man diesen Sicherheitsaspekt einfach einbauen. Das gilt für alle Firmen.

Also aktuell ist die Sicherheit möglich mithilfe von Google Authenticator einzustellen. Wer das nicht macht muss nunmal selbst auf die Passwörter achten. 

Man kann die Seite möglicherweise durch weitere Device IDs schützen, jedoch danach ist BSG machtlos. Bringt dann auch nichts, wenn die Email-Adressen mit dem Account in Verbindung gebracht werden können und das Passwort nahezu identisch ist. Daher 2 Faktor Authentifizierung (in dem Fall eher 3) aktivieren wie das auch in jedem anderem größeren Studio wie z.B. Ubisoft empfohlen wird.

  • Like 1

Share this post


Link to post
Share on other sites
steel90
vor 6 Minuten schrieb ningamertendo:

Also selbst in den Dokumenten von GlockWorks steht, dass folgende Informationen erhalten werden können:

  • Login-ID -> Name bei Login -> meist mit Forum identisch
  • Nutzernamen -> sowieso öffentlich
  • Account-ID -> Eindeutige ID im System der EFT Server -> nicht direkt öffentlich aber nutzt aktuell nichts.
  • Avatar -> öffentlich

Daher gibt es keinen Email-Adressen Leak. Bitte alle mal selbst die Dokumente lesen.

Wieso selbst lesen wenn man auf einen Zug aufspringen kann ?
Sry für die provokante Fragestellung aber die letzten Tage kam es gefühlt einfach nicht anders rüber.

Gebe dir vollkommen Recht und wenn diese e-mailadressen wirklich zugänglich gewesen währen bzw. man diese so leicht hätte stehlen können währe dies schon längst passiert!
BSG weiß sehr wohl wie sie Daten zu sichern haben und zweifle daran nicht weil das schlimmste was BSG passieren kann ist wenn Daten gestohlen werden, da ist ein Spielrückschritt von 3 Monaten nicht einmal ansatzweise so vernichtend!

  • Like 1

Share this post


Link to post
Share on other sites
XiJee_grrl_gmr
16 minutes ago, steel90 said:

Wollte in keiner Art und Weiße dir gegenüber unfreundlich auftretten, falls du dies so empfunden hast tut es mir leid es war nicht meine Absicht.

Ja, hab es so empfunden, aber nun gut. 

Ich kannte diese automatischen Einzüge vorher nicht. Leider ist das auf der Paypal Seite auch etwas versteckt. Ich hab erstmal ein paar große Spielehersteller rausgeworfen. Netflix wird mir da nicht angezeigt, obwohl ich damit monatlich zahle. Was ich nicht monatlich zahle - Games über Xsolla....warum sind die im "automatischen Zahlungsverfahren"? >:(

EA und Blizzard waren noch vertreten. Alle raus! Wie der Support von PP schon sagte, was seine persönlich Meinung war, dass das nicht sein muss und das nicht dem Schutz des Kunden dient, sondern nur seiner Bequemlichkeit.

@ningamertendo  In den PDFs steht, dass die Mail Adresse nicht geleaked wurden, richtig. Stattdessen das, was Du schon gepostet hast. Aber scheinbar ist es dann auch mit den gegebenen Daten möglich, sich Zugriff zu verschaffen, die Mail ist scheinbar dafür nicht benötigt. Andere Datenbanken aus einem anderen Game (wie BSG ja selber auf FB schreibt, haben die selber solch eine Datenbank aus einem Leak oder schauen die auf haveibeenpwned nach?) scheinen diese Lücke zu füllen? Kann man sich dann mit der Login-ID via Bruteforce sich einen Zugang erzwingen?

 

 

Share this post


Link to post
Share on other sites
steel90
vor 1 Minute schrieb XiJee_grrl_gmr:

Kann man sich dann mit der Login-ID via Bruteforce sich einen Zugang erzwingen?

Nein kannst du nicht, da nach eine bruteforce attack schon so alt ist und ich kenne kein aktuelles System was nicht dagegen geschützt ist wenn du zb. ein paar tausend anfragen pro Sekunde bekommst.

Share this post


Link to post
Share on other sites
ningamertendo
vor 1 Minute schrieb XiJee_grrl_gmr:

Kann man sich dann mit der Login-ID via Bruteforce sich einen Zugang erzwingen?

Also das kann ich nicht bestätigen oder verneinen dazu müsste das jemand ausprobieren. Jedoch denke ich, dass nicht unendlich viele Loginversuche möglich sind. Wobei wenn man bedenkt ein Bruteforce nur bei schwachen Passwörtern nicht auffallen würde. Bruteforce geht zuerst alle im Wörterbuch zu findenden Wörter durch was in der deutschen Sprache alleine mindestens 300.000 Versuche benötigen würde. 

Zudem würde auch nicht nur BSG dann bemerken, dass hier quasi DDoS gefahren wird, sondern auch die Spieler auf dem Forum oder der Seite.

Share this post


Link to post
Share on other sites
XiJee_grrl_gmr

Gerade einen Thread dazu gefunden. Also bekommt man eine Mail, wenn jemand versucht sich Zugang zu verschaffen? 

 

 

Share this post


Link to post
Share on other sites
steel90
vor 15 Minuten schrieb ningamertendo:

Also das kann ich nicht bestätigen oder verneinen dazu müsste das jemand ausprobieren. Jedoch denke ich, dass nicht unendlich viele Loginversuche möglich sind. Wobei wenn man bedenkt ein Bruteforce nur bei schwachen Passwörtern nicht auffallen würde. Bruteforce geht zuerst alle im Wörterbuch zu findenden Wörter durch was in der deutschen Sprache alleine mindestens 300.000 Versuche benötigen würde. 

Ich kann dir bestätigen dass es nicht funktioniert!

Das Wörterbuch für eine bruteforce attack nimmst du entweder vorgefertige, schreibst selbst welche bzw. ergänzt diese im ASC II Editor, diese Methode hat schon soooo einen langen Bart und ist in der heutigen Zeit komplett hinfällig.

 

vor 15 Minuten schrieb ningamertendo:

Zudem würde auch nicht nur BSG dann bemerken, dass hier quasi DDoS gefahren wird, sondern auch die Spieler auf dem Forum oder der Seite.

Das sind ganz andere Mechanismen und Algorithmen, DDos ist grob gesagt nichts anderes als zig tausend Anfragen an einen betroffenen Server zu stellen um zb. diesen für eine temporäre Zeit außer Gefecht zu setzen, was damals die ganzen Skriptkiddies gefahren sind und meinten boa ey bin voll der geile Hacker.

Gegen DDos gibt es auch schon längst Sicherungen und wenn du DDos in der heutigen Zeit fahren möchtest reichen da ein zwei Skripte nicht aus, da ist schon etwas mehr wissen notwendig.

vor 13 Minuten schrieb XiJee_grrl_gmr:

Gerade einen Thread dazu gefunden. Also bekommt man eine Mail, wenn jemand versucht sich Zugang zu verschaffen? 

Dies könnte ja zb. ein ganz gutes Beispiel sein was passiert wenn jemand probiert mit einer bruteforce attack einen Acc zu hacken, wie man sieht BSG hat sehr wohl Sicherheitsmechanismen eingebaut.
Ich erwähne es nocheinmal es KÖNNTE sein, nicht dass es so wahr, ist eine reine Vermutung.

bruteforce ist in der heutigen Zeit quasi fast komplett Wertlos geworden!

Edited by steel90

Share this post


Link to post
Share on other sites
ningamertendo
vor 1 Minute schrieb steel90:

Das sind ganz andere Mechanismen und Algorithmen, DDos ist grob gesagt nichts anderes als zig tausend Anfragen an einen betroffenen Server zu stellen um zb. diesen für eine temporäre Zeit außer Gefecht zu setzen, was damals die ganzen Skriptkiddies gefahren sind und meinten boa ey bin voll der geile Hacker.

Gegen DDos gibt es auch schon längst Sicherungen und wenn du DDos in der heutigen Zeit fahren möchtest reichen da ein zwei Skripte nicht aus, da ist schon etwas mehr wissen notwendig.

Ich weiß, daher auch ein quasi, denn bei einem Bruteforce von Passwörtern von 1.9 Millionen Accounts bräuchte es so viele Server, dass wieder Millionen Anfragen gesendet werden. Dies führt dann zwangsläufig bei langsameren Servern zu einem Denial of Service.

Share this post


Link to post
Share on other sites
steel90
vor 12 Minuten schrieb ningamertendo:

Ich weiß, daher auch ein quasi, denn bei einem Bruteforce von Passwörtern von 1.9 Millionen Accounts bräuchte es so viele Server, dass wieder Millionen Anfragen gesendet werden. Dies führt dann zwangsläufig bei langsameren Servern zu einem Denial of Service.

Einen DoS wirst so schnell nicht mehr erreichern, es gibt eine gewisse Seite im Netz die ich hier nicht angeben will weil ich nicht weiß ob es erlaubt ist, aber da sieht man wie viele Server BSG am laufen hat und diese alle mit DDos lahm zu legen bis zum DoS, das dauert :D ^^

Sagen wir mal so, ich will alles andere als prangern, ich besitze das Wissen und weiß wie ich an Acc Daten komme wenn ich möchte (Aufwand sei mal dahingestellt)
Habe auch studiert in mehreren IT-Zweigen und arbeite in einer sagen wir gewissen Einrichtung.

Angenommen ich möchte mir deinen Acc ergattern, da ist in den vorhanden Möglichkeiten eine bruteforce attack eher nebensächlich bzw. nicht mehr notwendig und heutzutage eine Sicherheitslücke finden und diese richtig auszunutzen macht als privater sowieso keinen Sinn da der Aufwand einfach nur hoch ist und das für einen einzigen Acc, denn der Aufwand der dahinter steckt ist kriminell schon so hoch angesiedelt, dass man gleich alles was geht mitnimmt und diese Daten dann zu welchen Zwecken auch immer verkauft.
Eine Möglichkeit gibt es sehr wohl noch, aber diese hat hier nichts verloren.

Da geht es eher weniger die meinen ja ein Cheater hat meinen Acc gehackt und hat gecheatet und bin grundlos gebannt, ich lache innerlich bis heute noch wenn ich so etwas lese.

Vor 15 Jahren hätte ich es mir eher einreden lassen, aber nicht heute und vor allem nicht mit den Sicherheitstandarts.

Wer glaubt man kommt so leicht an Acc-Daten wie GW und ein gewisser Streamer behaupten, der glaubt auch das BSG sein W-lan mit WPA sichert :D

Edited by steel90
  • Like 1
  • Thanks 1

Share this post


Link to post
Share on other sites
ningamertendo

@steel90 ich weiß das. Ich bin jetzt aber nur von der Frage des Bruteforce aus gegangen und weiß ebenso wie ich in Systeme Zugriff bekomme. Bruteforce lohnt sich in den wenigsten Fällen, weil es auch zu offensichtlich ist. 

Ich selbst besitze Server, welche vor DDoS und anderen typischen Angriffen geschützt sind. 

vor 6 Minuten schrieb steel90:

Vor 15 Jahren hätte ich es mir eher einreden lassen, aber nicht heute und vor allem nicht mit den Sicherheitstandarts

Ähm... Ich kenne die IT bin ja selbst Informatikstudent vor dem Abschluss, jedoch gibt es sehr viele primitive Systeme:

  • NFC Bankkarten sind nicht abhörsicher trotz der kurzen Reichweite, da das System dahinter zu einfach gestaltet ist.
  • Ich würde nie Elektroautos fahren wollen, da man auf einfache Weise die Bezahlkarten von den Tankstellen kopieren kann. Sogar kann man einfach das System mit einem USB Stick flashen und kostenlos Tanken.

Und ich kannte die Sicherheitslücken der x86 Architektur schon weit ein Jahr bevor diese bekannt worden. Falls dir der Chaos Communication Congress etwas sagt, dann weist du woher diese Sicherheitslücken stammen ;)

Share this post


Link to post
Share on other sites
steel90

@ningamertendo ah ein Informatikstudent :D wusste ich nicht ^^

vor 31 Minuten schrieb ningamertendo:

Bruteforce lohnt sich in den wenigsten Fällen, weil es auch zu offensichtlich ist. 

Da sind wir gleicher Meinung!

vor 32 Minuten schrieb ningamertendo:
  • NFC Bankkarten sind nicht abhörsicher trotz der kurzen Reichweite, da das System dahinter zu einfach gestaltet ist.
  • Ich würde nie Elektroautos fahren wollen, da man auf einfache Weise die Bezahlkarten von den Tankstellen kopieren kann. Sogar kann man einfach das System mit einem USB Stick flashen und kostenlos Tanken.

Leider gehen viele Sicherheitsfaktoren aufgrund der Bequemlichkeit leider verloren, genau wie du es beschrieben hast.
Deshalb bezahle ich prinzipiell nie mit Bankomat, zwar etwas altmodisch aber ich habe meine Gründe =)

vor 34 Minuten schrieb ningamertendo:

Und ich kannte die Sicherheitslücken der x86 Architektur schon weit ein Jahr bevor diese bekannt worden. Falls dir der Chaos Communication Congress etwas sagt, dann weist du woher diese Sicherheitslücken stammen ;)

Freut mich zu hören, kannten nur die wenigsten.

Ja sagt mir sehr wohl was :D aber da ich aus AUT bin ist mir GER leider zu weit aber ich überlege schon für das Jahr 2019 ^^
Bist du da auch vertretten ?

Jedenfalls alles Gute für deinen Abschluss!

Share this post


Link to post
Share on other sites
Cuze
vor 4 Stunden schrieb XiJee_grrl_gmr:

Gerade einen Thread dazu gefunden. Also bekommt man eine Mail, wenn jemand versucht sich Zugang zu verschaffen? 

 

 

Ja bekomme ich....von Paypal und von BSG wen jemand auf mein Konto will....dann kommt zugriff so und so ist gescheitert und war womöglich nicht von dir das ist paypla....BSG will dann die Geräte ID haben. Daher ist mein BSG PW ein anderes seit ein paar Wochen weil ich vermehrt zugriffsversuche (!!!!!!) hatte ( Nicht das mir hier wieder jemand Fakten umdreht um BSG haten zu können)

 

Einfach regelmäßig PWs ändern und aufpassen und keiner klaut oder bestellt was über deinen Account. NIE.

  • Like 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...
b38e7c858218a416ef714554dce933a2