Guild Wars 2

hi…
sry passt vielleicht nicht ganz hier rein aber ich hab seit langem mal wieder gw1 gespielt heute nacht stand “Gaile Gray” (oder zumindest ihr account )in Kamadan ae1
hat erklärt wie es ihm möglich war den account zu bekommen und fing an leute zu “muten” und probierte rum gerade eben kam dann eine nachricht von ihm/ihr das es leid tut das die login server jetzt down sind ,er oder sie kaffee über die server verschüttet hätte und kurz darauf flogen alles raus und einloggen kann sich jetzt keiner mehr …nun meine frage wie kann es sein das sowas passieren kann?ich bin erschrocken das Gaile Gray (jeder kennt sie ) so in den dreck gezogen wurde und nichts passiert

“update” einloggen geht wieder

http://imgur.com/4Bgo8lh

da es erst in der nacht passiert ist wird wohl erst heute drauf reagiert werden , kommt vor das auch gm accounts fremenden leuten zugänglich sind , ärgerlich wenn das passiert aber is nicht das erste mmo wo ich das erleben durfte XD siehs so , immer wenn sowas passiert reagieren die entwickler / support drauf und es wird zukünftig noch schwerer werden das sowas passiert , unmöglich wird es leider nie sein ^^

ja das schon aber das es so einfach war für die Person einen Admin Acc zu bekommen find ich schon sehr fragwürdig

Zwei meiner Gw1 accs wurden seinerzeit gehackt. Beide mit einzigartigem E-mail und passwort. Ich hatte keine Trojaner. Habe die mail und paswörter nicht weitergegeben. und alle sicherheitsvorkehrungen getroffen die es damals gab. Und trotzdem wurde ich gehackt.

Endlich weis ich wie ich gehackt wurde. Danke Anet dafür das ihr MIR immer die schuld unter die schuhe geschoben habt.

im englischen forum stehts
https://forum-en.gw2archive.eu/forum/game/gw2/Account-hacking-incident

Danke für die ausführliche Antwort Ramon, schön zu sehen, dass sich auch noch um Nostalgiker wie mich gekümmert wird.

Moment! Versteh ich das jetzt richtig: Ein Hacker hat mehrmals versucht beim Support-Team eine Anfrage zu stellen um die Kontrolle über ein und den selben GM_Acc zu erlangen und ihr habt ihn mehrfach abblitzen lassen bis auf diesen einen Mitarbeiter?

Wenn dem wirklich so ist versteh ich hierbei zwei Sachen nicht:

1. Wieso ist es möglich mehrfach eine Anfrage zu senden die darauf aus ist die Kontrolle über einen Acc zu erlangen? (Insbesonder über einen GM_Acc). Das gleicht fasst schon dem Versuch Zugriff auf ein fremdes Bankkonto zu erhalten, nur mit dem unterschied, dass ich mehrfach den PIN falsch eingeben darf.

2. Warum hat der Support den GM nicht persönlich kontaktiert um zu erfahren was da los ist bzw. das ganze Support-Team gewarnt? Wenn es sich hierbei wirklich um Social Engineering handelt bedeutet das der Hacker genügend Information besaß sich als den GM selbst auszugeben. Wenn er aber keine Persönlichen Daten angeben konnte würden doch bei mir mindestens drei Alarmglocken läuten.

“Wir haben ein großartiges Team an Support-Mitarbeitern, die sich alle an diese Richtlinien halten. Der Hacker hat dieses Vorgehen mehrmals versucht, bis er einen Mitarbeiter gefunden hat, der die Richtlinien nicht befolgte.”

Irgendwie witzig, dass selbst bei einer peinlichen Sicherheitslücke nicht auf selbst-beweihräuchernde Superlative verzichtet werden kann.

Wenn Mitarbeiter ihren Job richtig machen, ist das nicht “großartig”, sondern als normal vorauszusetzen.
Und-wenn sich Einer nicht an die Richtlinien hält, ist es eben nicht so, dass sich Alle
daran halten.
Nur so als Tipp für künftige beschwichtigende public relations.

lg. T.

MO stellt sich korrekterweise vor seine Mitarbeiter, um den drecksturm abzufangen und sie davor zu schützen.

Das täuscht natürlich nicht darüber hinweg, dass das System nur so stark ist wie sein schwächstes Glied. Gibt es einen, der meinen Account auf eine x-beliebige Anfrage an einen social hacker herausgibt, dann ist die Arbeit aller anderen wertlos, und mein Account ist so gefährdet wie wenn der Support nur aus solchen Mitarbeitern besteht.

Das Problem ist ja kein Einzelfall. Im Rahmen dieser Geschichte sind Erklärungen anderer Spieler zu vernehmen, dass sie erstaunt waren, mit wie wenig Angaben (und eigentlich unzureichenden) sie ihre eigenen Accounts wiedererlangt haben. Das ist bisher nicht als problematisch aufgefallen, weil hier der rechtmäßige Inhaber Zugriff zurückerlangt hat, aber im Licht des aktuellen Ereignis zeigt es, dass hier ein prinzipielles Problem vorliegt.

In aller Regel ist das eine finanzielle Sache. Man bekommt, was man bezahlt. Wieviel Arenanet ihrem outgesourceten Support bezahlt, weiss nur Arenanet. Wieviel davon bei dem einzelnen Support-Mitarbeiter am Ende ankommt, bestimmt darüber wie sorgfältig der arbeitet. Richtlinien hin, Richtlinien her: Papier ist geduldig. Wie der Mitarbeiter tatsächlich arbeitet, hängt von seiner Einstellung ab, und je weniger bezahlt wird, desto egaler ist den Mitarbeitern der Job-Inhalt. Chris Cleary ist als Chef mit Sicherheit der am höchsten motivierte Supporter, der auch überall den Überblick hat, aber wie schaut das mit dem armen Würstchen am Ende des Tischs aus, das tagein, tagaus Tickets mit “ich habe mein Passwort und meine email-Adresse vergessen” bearbeiten muss?

Alucard.6395:

Moment! Versteh ich das jetzt richtig: Ein Hacker hat mehrmals versucht beim Support-Team eine Anfrage zu stellen um die Kontrolle über ein und den selben GM_Acc zu erlangen und ihr habt ihn mehrfach abblitzen lassen bis auf diesen einen Mitarbeiter?

Wenn dem wirklich so ist versteh ich hierbei zwei Sachen nicht:

1. Wieso ist es möglich mehrfach eine Anfrage zu senden die darauf aus ist die Kontrolle über einen Acc zu erlangen? (Insbesonder über einen GM_Acc). Das gleicht fasst schon dem Versuch Zugriff auf ein fremdes Bankkonto zu erhalten, nur mit dem unterschied, dass ich mehrfach den PIN falsch eingeben darf.

Ja, das hab ich mich auch gefragt. Im Normalfall sollte das System so angelegt sein, dass die Support-Mitarbeiter die anderen Tickets die einen Account betreffen sehen können (wozu auch das “Eröffnet keine neuen Tickets zu einer Frage weil ihr damit nichts erreicht”-Mantra passen würde das ANet immer wieder hervorholt). Und wenn ich da in den letzten Wochen 10 Tickets habe wo jemand Zugriff haben will und das jedes mal abgelehnt wird sollten ALLE Alarmglocken schrillen.

2. Warum hat der Support den GM nicht persönlich kontaktiert um zu erfahren was da los ist bzw. das ganze Support-Team gewarnt? Wenn es sich hierbei wirklich um Social Engineering handelt bedeutet das der Hacker genügend Information besaß sich als den GM selbst auszugeben. Wenn er aber keine Persönlichen Daten angeben konnte würden doch bei mir mindestens drei Alarmglocken läuten.

Naja, ich tippe mal darauf, dass der Support von irgendwelchen Leuten gemacht wird die weder vom Spiel noch von den “prominenteren” ANet-Mitgliedern viel Ahnung haben. Wenn deren Support-System dann nicht einen dicken, roten “DAS IST EIN GM-/ANET-ACCOUNT! FINGER WEG!!!”-Hinweis anzeigt… werden die mit den GM/ANet-Accounts genauso umgehen wie mit jedem anderen Account.

Wobei ich mich frage wieso diese Account nicht sowieso extra geschützt sind. Ich würde den Zugriff auf diese Accounts für alle normalen Support-Mitarbeiter komplett sperren.

Und ehrlich gesagt halte ich MO’s Posting auch für reine Augenwischerei… statt zu sagen “Ja, wir haben offenbar ein ernstes, grundlegendes Problem” wird das ganze runtergespielt nach dem Motto “Oh, Sorry, das war ein total bedauerlicher Einzelfall”.

Und genau das scheint es nicht zu sein… z.B. kann man auf Reddit eine Konversation zwischen jemandem der genau diese Masche benutzt hat um mehrere Accounts zu übernehmen und dem offiziellen ANet-Account “ANetCSLead” nachlesen, wo ANet garnicht gut aussieht → ich mag vor Allem das Schweigen nachdem der “Hacker” dem CS-Lead gesagt hat er soll sich das Ticket mal ganz durchlesen und nicht nur die letzte Antwort.

ich denk das thema is erledigt , vote 4 close bevor es jetzt ein heulthread wird ^^

Nein, Zanjii. Das Thema Accountsicherheit ist wichtig.
Wir wissen jetzt das es sehr viel leichter ist den Zugang zu einem GW1 Account zu bekommen als zu GW2 oder dem Forum. Von den Dreien sind mir meine GW1 Accounts am Wichtigsten! Da habe ich am meisten hinein gesteckt und ich spiele es nach all den Jahren immer noch aktiv mit viel Freude am Spiel. Was nutzt mir denn eine Zwei-Phasen-Authentifizierung wenn sie genau das NICHT schützt, was ich auf keinen Fall verlieren möchte?

Sozialmanipulation erlangt zugang zu einem gm account… Spricht nicht gerade für die verantwortliche führungskraft. Hoffe das die führungskraft sich nun verantworten muss.

SlateSloan.3654:

Sozialmanipulation erlangt zugang zu einem gm account… Spricht nicht gerade für die verantwortliche führungskraft. Hoffe das die führungskraft sich nun verantworten muss.

Ich denke genau das meinte Zanji damit.
Fehler sind Menschlich, sind ja schließlich keine Maschinen und Verantworten muss sie sich bestimmt, aber vermutlich nicht in dem Maße wie hier manche hoffen.

Ich meine, ich wette ihr habt noch nie Fehler auf Arbeit gemacht ^^, auch in bezug mit Kunden.

Finnkitkit.8304:

SlateSloan.3654:

Sozialmanipulation erlangt zugang zu einem gm account… Spricht nicht gerade für die verantwortliche führungskraft. Hoffe das die führungskraft sich nun verantworten muss.

Ich denke genau das meinte Zanji damit.
Fehler sind Menschlich, sind ja schließlich keine Maschinen und Verantworten muss sie sich bestimmt, aber vermutlich nicht in dem Maße wie hier manche hoffen.

Ich meine, ich wette ihr habt noch nie Fehler auf Arbeit gemacht ^^, auch in bezug mit Kunden.

Ich glaube, Zanjii sagte was von Heulthread.
Bisher läuft alles sachlich.
Das könnte auch so bleiben, falls der Freundeskreis ArenaNet die Diskussion nicht auf die emotionale Ebene hebt.
Hier wird über ein scheinbar mangelhaftes System diskutiert, da kann man Mitleid, Solidaritätsbekundungen und und sonstige Zeichen der Fankultur guten Gewissens mal außen vor lassen.

Gailes Account wurde durch einen Zwei-Phasen-Authentikator geschützt. Dadurch war es dem Hacker selbst mit Zugriff auf den Account durch besagte Sozialmanipulation nicht möglich sich in Gailes Foren-Account oder ihren Guild Wars 2 Account einzuloggen. Lediglich Guild Wars (1) stammt noch aus einer Zeit vor der Einführung von Zwei-Phasen-Authentifizierung.

Also irgendwie steh ich auf dem Schlauch und begreife es nicht.
- Fuer GW1 braucht man nur die Email-Addy und das Passwort
- Fuer GW2 braucht man neben der Email-Addy und dem Passwort noch Zugriff auf entweder die Email-Addy oder auf die hinterlegte Telefonnummer.
So weit, so gut.
Aber:
Fuer den Foren-Acc und damit auch fuer den Zugriff auf die Acc-Sicherheit reicht wieder die Email-Addy und das Passwort.
Hat man aber Zugriff auf die Acc-Sicherheit, kann man die Telefonnummer fuer die SMS-Auth aendern.
Womit sich mir drei Fragen stellen:
1. Warum ist der Hacker diesen Weg nicht gegangen?
2. Warum bietet ANet die SMS-Auth als Mehr an Sicherheit an, wenn es doch – zumindestens nach meinen obigen Ueberlegungen – ein Weniger an Sicherheit bringt?
Ich meine, die Email-Addy kann man nicht selber aendern, die Telefonnumer zur SMS-Auth schon.
3. Wo liegt mein Denkfehler?

Rima.5314:

Fuer den Foren-Acc und damit auch fuer den Zugriff auf die Acc-Sicherheit reicht wieder die Email-Addy und das Passwort.

Jedes Mal, wenn du dich in einem neuen Netzwerk anmeldest, erhälst du eine Verifizierungsabfrage (SMS-Code), auch für das Forum. Somit reichen E-Mail und Passwort nicht aus, um die Acc-Sicherheit zu erreichen und die Telefonnummer zu ändern, es sei denn du befindest dich im gleichen Netz des zu stehlenden Accounts.

@ Vinceman:
Ahh, ok.
Dass das auch fuer`s Forum gilt, dessen war ich mir nicht bewusst.
Musste mich hier noch nie authen, da ich das immer schon ueber`s Spiel erledigt hatte.
Danke fuer die Aufklaerung.

Hallo, das schöne daran ist, daß ANet jetzt mal sieht wie “einfach” ein Account gehackt werden kann und die ganzen Sprüche “Selbst schuld”, “Benutze ein besseres Passwort” … die sie den normalen Spielern vorwerfen nichtig werden.

Ein ANet Mitarbeiter würde über den normalen Support gehen ? Ehrlich. Dachte die hätten sichere Kanäle für die Kommunikation und jeder Support-Mitarbeiter wüsste das!

Egal, es tut mir für Gaile Gray leid weil ich die schönen GW1 Tage wenn sie mal aufgetaucht ist noch in Erinnerung habe. Manche Leute haben einfach zu viel Zeit sich solchen Blödsinn auszudenken anstatt etwas Vernünftiges mit ihren Fähigkeiten anzufangen.

Monti

Ein ANet Mitarbeiter würde über den normalen Support gehen ? Ehrlich. Dachte die hätten sichere Kanäle für die Kommunikation und jeder Support-Mitarbeiter wüsste das!

Der Support ist outgesourced.
Die allermeisten Supporter duerften kaum ne Ahnung haben, wer Mike O’Brien ist.
Geschweige denn, dass da jemand schon mal den Namen “Gaile Gray” gehoert haette.
Und offensichtlich hat es ANet verabsaeumt denen ne Liste mit Mitarbeiteraccs zu geben, bei denen die roten Lichter angehen wuerden.

ich seh das ganze jetzt nicht so Tragisch.
die Authentifizierung für GW2 hat geklappt.