Guild Wars 2

Guten Abend
ich bin eines der vielen Opfer dessen Acc gehackt und geklaut wurde doch ich schaffte es ihn mir selbstständig zurück zu holen (wie erwähne ich hier jetzt nicht) ich änderte sofort sämtliche daten nicht nur Passwörter auch neue Mails die nur GW 2 jetzt hat usw ABER was muste ich jetzt sehen ??? es ist gerade mal ein paar tage her und schon versuchte es schon wieder jemand zugriff auf den acc zu bekommen ??

Wie ist das möglich ?? die neuen Benutzernamen Passwörter u.s.w hat nur GW 2 mein Rechner ist bereits schon aus Beruflichen Gründen Sauber mein E-mail anbieter hat auch keinerlei Probleme (spiele GW 1 schon seit beta OHNE Probleme jetzt kommt GW 2 und das Hacken geht los).

Eines kann ich garantieren lang mach ich das nimmer mit man gibt Geld aus für das game eventuel noch ingame und mus sich von solchen zensiert das zeug klauen lassen.
Und solltet ihr das nicht in griff bekommen möchte ich mein Geld zurück und ihr könnt euer Hack wars 2 der rest verkneif ich mir

Irgendwann ist Schluß

Aber irgendwie bekommt der Hacker wohl mit was du machst.

Kann es sein, das du die neue Mail an einen “alten” Account weiterleitest und das dein Mailaccount kompromitiert wurde?

Mag jetzt kein Trost sein, aber innerhalb er nächsten 14 Tage kommt wohl ein Authenticator.

Ob ein Authenticator des Rätsels Lösung ist, ich weiss nicht…. vorher sollten doch gewisse Funktionen erstmal richtig funktionieren wie Passwort oder E-mail änderung ohne das man sich seinen Account unbenutzbar macht, Account Verknüpfung mit Guildwars 1 funktioniert nicht usw.
Ich möchte also nicht wissen was passiert wenn dann ein Authenticator kommt und man sich dann beim Einrichten seinen Account sperrt oder was weiss ich.
So lange der Support nicht einigermaßen schnell auf Probleme reagiert traue ich mich nichtmal mein Passwort zu ändern, ich warte ja schon 1 Woche auf eine Antwort bezüglich meiner Account-Verlinkung mit Guildwars 1 ….

Glaube das mit der E-Mail Änderung haben die Hacker gut drauf, sollten vielleicht die mal fragen wie es geht?!

Jetzt mal im Ernst, wieso wurden nicht im Vorfeld in Puncto Sicherheit und Support
was getan!? Wieso müssen die Spieler es ausbaden!?

Fragen auf die keine antworten kommen werden, ich weiss. In den meissten Games, was ich bisher spielen konnte, gab es wenigstens Sicherheits fragen, oder ähnliches.

Leahdana.8263:

Guten Abend
ich bin eines der vielen Opfer dessen Acc gehackt und geklaut wurde doch ich schaffte es ihn mir selbstständig zurück zu holen (wie erwähne ich hier jetzt nicht) ich änderte sofort sämtliche daten nicht nur Passwörter auch neue Mails die nur GW 2 jetzt hat usw ABER was muste ich jetzt sehen ??? es ist gerade mal ein paar tage her und schon versuchte es schon wieder jemand zugriff auf den acc zu bekommen ??

Wie ist das möglich ?? die neuen Benutzernamen Passwörter u.s.w hat nur GW 2 mein Rechner ist bereits schon aus Beruflichen Gründen Sauber mein E-mail anbieter hat auch keinerlei Probleme (spiele GW 1 schon seit beta OHNE Probleme jetzt kommt GW 2 und das Hacken geht los).

Eines kann ich garantieren lang mach ich das nimmer mit man gibt Geld aus für das game eventuel noch ingame und mus sich von solchen zensiert das zeug klauen lassen.
Und solltet ihr das nicht in griff bekommen möchte ich mein Geld zurück und ihr könnt euer Hack wars 2 der rest verkneif ich mir

Irgendwann ist Schluß

Wie das Möglich ist? Der Hacker bekommt live jeden Passwortwechsel mit, weil dein Rechner verseucht ist. Anders ist das nicht zu erklären. Eventuell ist ja ein anderer Rechner in Netzwerk verseucht.

@Aelna
Der Auth hat imo recht wenig mit Accountsicherheit zu tun, der greift ja erst, wenn schon der Gau passiert ist. Die Frage ist eher, warum so viele Kunden so leichtsinnig mit ihren Logindaten umgehen.

@Erytheia, wieso tust du so erhaben? Wieso glaubst du das wir alle so leichtsinnig sind? Wieso urteilst du uns ab?

Fakt ist und das kannst du auch nicht beschönigen, in keinem Game waren beim Release soviele Hacks und das der Support dermassen überlaufen ist, was sagt es aus?

GENAU wir sind SCHULD!!!

Ich verstehe euch nicht, sry

Weil in 99% der Fälle der User für seine Accountsicherheit verantwortlich ist. Woher kann das Passwort kommen? Einmal Arenanet, einmal der User. Mir ist keine Lücke bei Arenanet bekannt, dafür sprechen auch die wenigen Hacks, also ist in der Regel die Lücke beim den User zu suchen. Es ist nun mal so, das sich die meisten hier einfach auf “Arenanet ist schuld, das ich überall das gleiche Passwort benutze!” rausreden (nur ein Beispiel).

Sag mal arbeitest du bei denen, oder woher hast du soviel background wissen, oder glaubst du wirklich die sagen dir ihre Fehler auf oder bejahen irgendwelche Hacks o0

Wenn ich das höre ihr habt das gleiche PW genommen, platzt mir gleich die Hutschnur

Ist ziemlich interessant, das alle immer davon ausgehen, das sie selbst nichts falsch gemacht haben und lieber einen Sündenbock suchen. Viel zu oft kommt dann raus, das der jenige doch irgendwo einen Fehler gemacht hat. Ein Fehler bei Arenanet? Dafür sind es etwas zu wenige Accounthacks, oder? Bei Diablo gabs auch geschrei zum Release – und was war? Die benutzten das gleiche Passwort oder der Rechner war verseucht, alle wurden klassisch selbst gehackt, nicht Arenanet…

Aber es ist sooooo leicht, den Fehler woanders zu suchen.

Ich suche nicht ein Fehler, der Fehler ist offensichtlich da, ansonsten würden die jetzt nicht ein Auth rausbringen, aber ist eh egal du reitest auf deiner Schiene weiter und wir sind alle Bobs und nichts wissend.

so long …

@Aelna also mir hat er gesagt, er arbeitet nicht für die…ich glaub ihm aber auch nicht ;-)

Im Grunde ist zur zeit alles Spekulation, wobei man ja selbst über die Anzahl nur spekulieren kann.
Das problem ist, das einem hier aufgrund der extremen bearbeitungsdauer dieses sehr wichtigen anliegens (account Rückgabe) zuviel zeit bleibt im Forum zu sein, was ich bei den leuten, die ja alles richtig gemacht haben, nicht so ganz verstehe, da sie ja eigentlich spielen könnten ;-)

@Aelna
Ein Auth war schon seit längeren geplant (siehe Post über Sicherheit) und naja ein Auth erhöht die Sicherheit nur bedingt, weil die Logindaten schützt er nicht…
Die Bringen ihn auch, weil genügend ohne Sinn und verstand danach plären.

Ich hätte da nur eine Frage: Wenn für die Arenanet so das böse an sich ist: Warum zur Hölle verschwendest du noch Zeit mit den Spiel….

@Surffix
Ich wundere mich eher, wie die Leute posten können, derren Account ja eigentlich zu sein sollte…

@Erytheia es geht dich nichts an, wie und wo ich meine Zeit verbringe, es ist mein Leben die ich so sinnlos verprassen kann wie ich will und nicht wie du es willst. Ich kann hier auch meine Meinung kund tun wie du auch.
Ach und wenn du meinst ich soll nicht für mein Recht kämpfen, dann gib du mir doch mein Geld zurück und ich spiele nie wieder GW2, versprochen :P

@Erytheia du hättest an verschiedenen Stellen nachlesen können, das es der Acc meiner freundin ist, der gehackt wurde. Ich kann ins Forum….sie nicht…nur falls du mich damit meintest

Der PC, von dem ich spiele, ist nach Menschenermessen 100% virenfrei – Voller Check mit einer Boot-DVD. Trotzdem sehe ich einloggversuche aus China.

Wie schon woanders geschrieben: Virenscanner können keine 100% sicherheit garantieren. Zumal es genügend Fälle in letzter Zeit gab, wo Viren/Trojaner jahrelang nicht entdeckt wurden (Flame etc.). Auch scannen nicht alle Virenscanner nach alles. AntiVir bspw. scant in der freien Version nicht nach Keyloggern. Viren sind ja auch nicht das einzige Einfallstor.

Wäre die Lücke bei GW2, dann hätten wir mehr als die aktuelle Hackrate (momentan unter 1%!). Die Frage ist, woher die Hacker das Passwort und E-Mail haben und diese Frage muss jeder für sich beantworten.

Wow. Richtig gute Stimmung hier…

@andreas peter
Du siehst Einlogversuche? Welcher Art?

Wenn du Mails bekommst die eine Authentifizierung verlangen, kennt jemand eine Mail/Passwortkombi, da diese erst kommen, nachdem man sich richtig eingeloggt hat. Ein falsches Passwort vorher würde einen fehler bringen und keine Mail die man bestätigen soll erzeugen.

In diesem Falle rate ich dir ganz schnell eine eigene Mailadresse, die du auch noch nirgends verwendet hast und dann auch nirgends woanderes verwendem solltest und ein Passwort welches ebenfalls einzigartig ist.

Irgendwo stand auch, das jetzt ein Authenticator kommt, weil es soviele Hacks gab. Das ist doch Quatsch. Arenanet wollte was eigenes entwickeln und muss nun wegen DAUS (anders kann man viele nicht bezeichnen) schneller reagieren. Der Entwickler hätte wohl mal annehemen sollen, das viele mit Mailadresse und Passwort kommen die bereits in anderen Speilen verwendet worden sind und dort unbemerkt abhanden kommen.

Mensch. Nutzt eindeutige Dinge für so Spiele. Erytheia hat großteils recht.
100% der gehackten haben irgendwo etwas falsch gemacht, sonst wären hier viel mehr Accounts betroffen.

Internetexplorer verwendet? – dann mal schnell updaten. Dieses Sicherheitsloch reicht wenn man mal auf einer bestimmten Seite war. Wenn es interessiert : http://www.stern.de/digital/browser-probleme-kritische-schwachstelle-beim-internet-explorer-entdeckt-1896381.html

@erytheia /sign

@Deejoo, auch du wirst irgendwann feststellen, wenn man selber betroffen ist sieht man die Welt mit anderen Augen und möchte Leuten, die einem dann als “DAU” bezeichen am liebsten persönlich gegenüber stehen.

Deine ganzen achso tollen Tips haben bei mir nichts genutzt und wird auch vielen anderen nichts genutzt haben. Also mach dir doch gar nicht erst die Mühe paste und copy Tips als beweis deiner Unfehlbarkeit auszugeben

Bin ganz sicher nicht Unfehlbar und irgendwann wird es auch mich erwischen. Dessen bin ich mir durchaus bewußt. Und ja, ich werde mich Ärgern. Da GW2 vermutlich die nächsten Jahre mein MMO sein wird sind die Chancen hoch, dass es mich auch hier erwischt. Ich versuche das ganze nur solange wie möglich rauszuzögern indem ich regelmäßig meine Passwörter änder, meinen PC aktuell halte, Brain.exe sowie die vom Entwickler angeboteten Sicherheitsmaßnahmen verwende.

Auch ich werde irgendwann mal einen Account gehackt bekommen, denn ich spiele ausschließlich MMOs. Nur eine Frage der Zeit. Bin aber inzwischen schon einigen Hackwellen in diversen Spielen entkommen, wie übrigens auch meine Frau.

Wenn habe ich wohl gemeint mit DAU? Die Leute die in 4 Spielen mit der gleichen Passwort/Mailkombis spazieren laufen. Die müsste man noch erkennen und dann gaaaaz ans Ende des Supports setzen. Hast du/deine Freundin das? Wenn ja = DAU.

Meine ach so tollen Tipps haben mir bisher geholfen und du musst nichts, aber auch gar nichts davon annehmen. Du/Ihr habt ja irgendwo ein Problem und solltet daher selbst entscheiden was ihr macht, bis ja kein DAU, hoffe ich.

Sich jetzt auch noch gegenseitig anzupissen bringt ja wohl keinem was : /
@Surffix
Deejoo will dir ja nur helfen. Und seine Tipps haben schon Hand und Fuß.
Besser ein Tipp der vll nicht auf Anhieb was bringt, als wenn das Problem keinen scheeren würde und die gehackten Leute ganz alleine da stehen würden.
Viele beschweren sich ja das ArenaNET nicht schnell genug ist, da kann man doch froh sein das wenigstens die Community sich versucht zu helfen.

Ich hätte beinahe auch den Fehler begangen, den Deejoo angesprochen hat:
Eine mailadressse verwenden die so meine 0815-standart addy ist und die ich schon zig mal für irgendwelche Dinge verwendet habe. Manchmal denkt man da nicht großartig nach… es ist halt die bequemlichkeit – weil man sich diese mail addy am besten merken kann (genauso ist es ja oft mit dem Passwort). Ich hatte mich dann zum Glück bei der Anmeldung vertippt und er hat die GW2 anmeldung noch abgebrochen. Aus irgend einem Reflex… kp warum, habe ich dann eine mail adresse genommen die ich zwar schon etwas länger besitze, diese aber praktisch noch nirgendwo benutzt habe…. zum Glück.

Deejoo.1265:

Meine ach so tollen Tipps haben mir bisher geholfen und du musst nichts, aber auch gar nichts davon annehmen. Du/Ihr habt ja irgendwo ein Problem und solltet daher selbst entscheiden was ihr macht, bis ja kein DAU, hoffe ich.

Du hast schon ein bischen schwierigkeit mit dem lesen oder?

Für uns ist es eine selbstverständlichkeit verschiedene Passwörter zu verwenden und das obwohl wie wir mit spielen anfingen Account hacks noch ein Fremdwort waren.

Hier hat es nichts genutzt und vielen anderen wird es auch nichts genutzt haben. Wie kannst du also davon ausgehen das 100% der Spieler etwas falsch gemacht haben und nicht so wie du und wir die maximal möglichen Sicherheitsvorkehrungen getroffen haben und dazu dann noch verurteilen das arena net nun schnell an verbesserungen der Sicherheit arbeitet, was ja schliesslich allen zugute kommt?

Man sollte nicht einfach vorschnell urteilen und mit zahlen rumspielen für die man keinerlei anhaltspunkte hat. Das hilft hier keinem und giesst nur Öl ins Feuer.

Wenn du helfen willst beschränke dich darauf und erspare uns deine Belehrungen.

@Rubi danke für deinen vermittlungsversuch, aber hilfe heisst nicht pauschal einen großteil der betroffenen als dumme User zu bezeichnen.

ich weiß nicht….

Wenn es für euch selbstverständlich ist dann ist doch alles ok. Warum fühlst du dich dann so von DAU angesprochen?

Für mich sind und bleiben es DAU wenn immer die gleiche Mailadresse mit dem gleichen Passwort verwendet wird. Das trifft auf einen Teil der gehackten sicherlich zu. Ich habe nirgends behauptet, das 100% der gehackten DAUs sind, wär auch doof weil es mir wie gesagt wahrscheinlich irgendwann selbst passieren wird.

Ich habe gesagt das 100% irgendwo was verkehrt gemacht haben. Da gibt es viele viele mögliche Punkte und ich bin nach wie vor überzeugt davon, das die Fehler auf Seiten der User liegen solange hier nicht minütlich neue Threads zum Thema “Ich bin gehackt worden” auftauchen.

Also beruhige dich erst mal wieder, trink nen Beruhigungstee und was sonst noch hilft. Du gehst ja hier ab wie ein Zäpfchen…

Deejoo.1265:

Also beruhige dich erst mal wieder, trink nen Beruhigungstee und was sonst noch hilft. Du gehst ja hier ab wie ein Zäpfchen…

Was sonst noch hilft? Nunja, arena net könnte mal tätig werden, aber ich glaube der tee inklusive Anbau, Ernte und Zubereitung ist schneller verfügbar.

Ich wünsch euch trotzdem viel Glück das ihr bald wieder beide loslegen könnt.

Dann auch ein Danke von mir.

Hmm, echt Stimmung hier .. cool

ES ist nicht von der Hand zuweisen das in einigen Fällen, der User fehler macht .. gottseidanksindwirallesmenschen .. ABER

Sicherheitsmanko seitens ANet.
Passwortänderungen sind nicht geschützt .. weil eine Verifizierung nicht stattfindet
Beispiel: Man ist eingeloggt und spielt .. plötzlich fliegt man aus dem Spiel und beim wieder einloggen ist es nicht mehr möglich weil die Meldung kommt “Die eingegebene E-MailAdresse wurde nicht gefunden” .. Hallo .. wie geht das denn .. das allein schreit zum Himmel ..
Oder man bekommt die Meldung PW-falsch .. Hallo … wie geht das denn .. das ist für geht gar nicht … ohne Verifizierung PW geändert .. HALLO

Wenn man dieses Forum aufmerksam liest, ist der überwiegende Teil, meiner Meinung nach, deren ACC gehackt wurden, NICHT SCHULD daran.

Es gibt erhebliche Sicherheitsmängel die darauf beruhen, das ANet versäumt hat, sich über gewisse Sicherheitsstandards Gedanken zu machen. Mein erstes Ziel muss sein, nach dem heute gegebenen Umständen eine Sicherheitsplattform zu gestalten die aus den Erfahrungen der Vergangenheit beruhen. Dazu gehört es auch Unbedarfheit, Unkenntnis oder gar Dummheit des Kunden mit einzubeziehen. Es kann nicht sein das man Sicherheitsvorkehrungen nur dem Kunden überlässt. Zudem ist es versäumt worden , das Passwortänderungen nur mit entsprechender Verifizierung des User statt finden kann, das gleiche gilt für E-Mail-Änderungen. Diese sind teilweise für den User unzugänglich oder gar deaktiviert. Nach dem zur Zeit bestehenden Sicherheitsmaßnahmen bezweifel ich das die IP-Verifizierung ein wirksames Mittel sind, zumal die Loggeinträge sich nur auf einen Tag beziehen, hier keinerlei Kontrolle über mögliche Zugriffe in der Vergangenheit. Ich Bemängel auch das es möglich ist, obwohl man eingeloggt ist überhaupt Zugriff auf den ACC hat. Hier muss eine Sicherheitsmeldung kommen oder “ACC ist bereits eingeloggt”.
Wer sich wirklich ein Bild über die gegebenen Umstände der gehackten ACC machen will, sollte wirklich aufmerksam das Forum durchlesen, ich denke dann bekommt man ein genaueres Bild über das Geschehen in GW2. Für Leute die dennoch meinen hier den Zeigefinger auf den User zurichten, ignoriert sie.

@CaptBlade
Zweifellos wäre so eine Mailbestätigung nicht verkehrt um Fehleingaben etc. besser abzufangen, aber ernste Frage: Wieviel Hacks wären damit verhindert worden? Kein einziger, weil trotzdem Zugriff auf den Account hat und man alles ausräumen kann…

das ganze ist eh ne Lachnummer.
ANet zeigt schoen auf andere, heh, da macht ihr grundsaetzlich was falsch ! Mit euren Accountproblemen gaben wir doch nix zu tun ^^

Wenn man aber bisserl was von Sicherheit versteht, kommen einen schon dolle fragezeichen ….

Anfragen von 1000 unterschiedlichen IP’s erzeugen Millionen Versuche mit “guten” Passwoertern ??? das sind 1000 versuche pro IP bis irgendwas reagiert ? Hoffe das war nur ungluecklich ausgedrueckt ^^

- Warum sind Account fuers managen und Account im Spiel die selben, bzw. haben das selbe Passwort ?

- warum wird ingame der volle Login-name angezeigt ???

- Warum ist dieses Forum so scriptverseucht, so das man alle Technicken mit nachweisslich möglichen sicherheitsluecken aktiviert werden muss, bevor man was lesen kann ? einfache dynamisch vom Server generierte Html seiten haettens auch gemacht. vielleicht ned soo bunt. Aber hier fuehlt man sich wie auf nem Browser Uebungsplatz !

- jede 2 verbindung endet in nem Timeout …. d.h. das tcp/ip protokoll hat schon alles durchprobiert, bevor sie resigniert. Da gehen mit hacks sicher auch noch paar dinge ….

Klar iss es fuer Anet schoener, wenn die User sich photographische Gedaechntisse anlegen, um sich 100erte von passwortern merken zu muessen …. ne Passwortrotation waer doch auch noch cool . So dass auch der letzte sich nen Zettel vorm monitor klebt oder im home-verzeichniss ne passwort.txt pflegt.
Allemal billiger und die Schuld besser abweisbar als wan selber mal das eigene Netz sicherheitstechnisch unter die Lupe nimmt. Weil da geht auch noch ne Menge …

Der Authentificator klar bringt mehr sicherheit fuer den character, Aber auch fuer die persoenlichen daten im Anet … glaub eher nicht
Naja, nach “für jedes Spiel nen eigenes passwort” kommt sicher bald: “fuer jedes Spiel ne eigene Kreditkarte”, ^^

Ciao …

Siehe gepinnten Thread. Tausende Passwörter – dann bist du selbst schuld. Gibt einfache Methoden. Zumal man nicht 10000 verschiedene Passwörter braucht. Für billige Foren reichen reicht ein 0815-Passwort – für alle Foren. Nur sollte das sich von EMail und Spiel unterscheiden. Auch kann man sich Passwörter tatsächlich aufschreiben – für Dinge die man nicht so oft braucht.

Lustig ist aber, das du dann für die Accountverwaltung ein eigenes Passwort haben willst und damit 2….

Das mit den 1000 Versuchen ist 100% unglücklich ausgedrückt.

Ingame wird der Loginname angezeigt? Hä? Von was träumst du? Da wird der Accountnick angezeigt, nicht der Loginname = Email

Und scripte – ja, zurück zur Steinzeit…. Deine Aussage ist bezüglich Sicherheit völliger Unsinn… Man kann über Scripte Sicherheitslücken ausführen, nur die Scripte hier sind von Arenanet! Wenn dann müsste der Webserver gehackt werden – und das ist alles andere als einfach. Sowas fällt auch relativ schnell auf. Zumal wir dann ein ganz anderes Szenario haben – vermutlich wäre die erste Reaktion von Arenanet erstmal alle Server abzuschalten und zu analysieren. Weil wenn wer den Webserver verändern konnte, hatte er Zugriff auf mehr.

Und was soll der Unsinn mit den persönlichen Daten in Arenanet – wo ist da ein Leck?

Es ist wieder lustig, wie sich die Leute über Sicherheit bei arenanet aufregen und selbst offensichtlich überhaupt keine Ahnung haben und völligen Unsinn schreiben.

Es ist wieder lustig, wie sich die Leute über Sicherheit bei arenanet aufregen und selbst offensichtlich überhaupt keine Ahnung haben und völligen Unsinn schreiben.

Ich reg mich ned ueber die Sicherheit bei Anet auf, sondern dass sie zuerst !!! auf den User zeigen, anstatt selber erst mal vor der eigenen zu haustuer kehren …

Ob ich Ahnung hab oder ned … lies dich mal bissi ueber sicherheitskritische ein … Dann nimm dir nen Wireshark, und schau mal was so alles preisgegeben wird bei fehlerhaften logins, etc.

Ne grundregel ist auch, zuerst vorhandene und ausreichende SW zu nutzen, welche sich scho 1000 fach bewahrt hat etc …
Warum muss man also jedes mal das Rad (oder Forum) neu erfinden ??? mit neuen tollen Möglichkeiten ….

Und noch was, die Account hack Welle hat eingesetzt als GW2 online ging … und hat auch Leute betroffen, die kein namenhaft anderes Game gespielt haben.

Wo sind die PW hergekommen, wenn es keine Sicherheitsluecke gab ?
Wie koennen die Hacker zugegebener Massen einfache PW knacken, die nur bei GW verwendet wurden ? Wenn kein Brutforce Angriff moeglich ist?

Und selbst wenn die Angriffe mit pw aus anderen Quellen erfolgen, warum haben die hacker bis auds release von GW2 gewartet ?

Kein mensch / Firma ist fehlerfrei …. also bitte nicht die Schuld nur auf eine Seite schieben. Beide Seiten sitzen im Boot !

Ciao …

@RHBaum

Zeitgleich mit Release wurden Fanforen gehackt und da viele leute überall gleiche Passwörter benutzen BAM. Als Diablo 3 Released wurde, da gab es auch massig hacks, gab so ein Gerücht, das man die Session von jemanden klauen konnte.

Naja, schlussendlich war es so, das die “gehackten” schon länger einen Keyloger laufen hatten oder halt die Accountdaten von anderen Foren etc. gehackt wurden.

Es sind aktuell nicht mal 1% gehackt – meinst du allen ernstes, wenn die Lücke bei Arenanet wäre, das so wenige gehackt worden wären?

Wer sagt, das sie nicht schon lange probiert haben, die Passwörter woanders auszuprobieren – nur wenn sie bspw. nicht WoW spielen kann dort kein Account gehackt werden und die bekommen nichts mit.

Ganz ehrlich – es deutet NICHTS darauf hin, das Arena.Net gehackt wurde. Nada, überhaupt nichts.

Und mal ehrlich, von welchen Sicherheitsmassnahmen reden wir hier? Das man das Passwort ohne E-Mail-Bestätigung ändern kann? Sorry, aber was hier jeder ausblendet: Die Hacker haben hier bereits die Logindaten! Sie können sich ins Spiel einlogen und die Chars ausnehmen. Selbst wenn es die Bestätigung geben würde, die Leute wären alle noch gehackt worden und hätten ihr Hab und Gut verloren! Es würde sich bezüglich Hack nichts – rein garnichts ändern.

Das man mehrere Accounts über eine IP erlaubt. Auch das ist leider notwendig, man denke nur Richtung Studentenwohnheim und ähnlichen. Nö, da geht nichts. Abgesehen kann ich eine IP innerhalb von 10s wechseln – meine Fritzbox hat da ein Button für. Hacker können zudem diverse Proxys belästigen, die dürfte es herzhaft wenig jucken, wenn der Proxybetreiber die geklauten Accountdaten ausliest.

Das einzige was man Arena.Net vorwerfen kann ist, das sie die Hacks völlig unterschätzt haben, die Kunden sehr lange Wartezeiten aufbürgen und nicht mal einen Rollback des Accounts durchführen können. Ja, da haben sie auf ganzer Linie versagt. Das ist auch der Grund, warum man hier so viel liest. Weil die Leute sauer sind, weil sie so lange warten mussten. Bei anderen MMOs hat man da schon mehr Erfahrung und das ganze ist sehr schnell erledigt und die Sache ist dann für die Beteiligten vergessen. Hier ist die Phase zum Vergessen unverhältnismäßig lange. Und es ist ein Naturgesetz, da eine Minderheit die Lautstark sich Aufführt unverhältnismäßig stark Wahrgenommen wird. Siehe Stuttgart 21, beim Bürgerbegehren hatte nicht mal in Stuttgart sich gegen das Projekt ausgesprochen, sondern dafür.

Das die Accountsicherheit nicht ausreichend ist, das hat bis jetzt kein einziger hier auch nur ansatzweise beweisen können. Und zwar Sachlich begründet. Genauso wie 99% der Vorschläge hier nicht einen einzigen Accounthack verhindern hätten können und teilweise, wenn man nur ein bischen drüber Nachdenkt, sogar teilweise Unsinn sind. Einzig ein Auth hätte tatsächlich was bringen können (wobei Blizzard warnt, das es gehackte Accounts trotz Auth gibt), aber er in Prinzip auch nur den Login, nicht die geleakten Accountdaten verhindern könnte.

p.s.: Lustig ist, das Arena.Net vor der eigenen Haustür kehren soll, aber nicht verlangen darf, das der User das auch machen muss. Ohne den User ist Accountsicherheit eine Illusion. Wenn der Benutzer nicht mit macht, ist jede Massnahme von Arena.Net völlig Sinnlos. Sie werden ja demnächst alle zwingen neue Passwörter zu benutzen – wetten es gibt so ein paar Schlaumeier, die bspw. ihr E-Mail auf das neue Passwort von GW2 umändern?

Ganz ehrlich – es deutet NICHTS darauf hin, das Arena.Net gehackt wurde.

DU musst unterscheiden, zwischen gehackt werden, und ein System betreiben was nicht geringen Sicherheitsbestimmungen standhaelt …

Es sind aktuell nicht mal 1% gehackt

Der momentan wirksamste Schutz ist die Email-Authentifizierung …. Ohne die, haetten wir hier faktor X mal Probleme.
Die 2-Wege Authentifizierung als Schutz hat aber auch Probleme ….
Fakt ist, das Hacker die Benutzer/basswort Touples haben. Die Frage ist, wie sind sie rangekommen ?

Meine Freundin und ich nutzen z.b. passwort-variationen. die variation erzeugt zum beispiel 3 unterschiedliche stellen und ist nicht anhand des contextes zu erraten.
D.h. unser pw war einmalig …
Wir sind nicht gehackt wurden, zum glueck ….
Aber bei uns sind zur selben zeit ca. die Email Warnungen gekommen ???
wie kann sowas passieren ?
Das auf unseren rechnern nen keylogger drauf war, iss genau so wahrscheinlich, als wie man passwörter mit einem versuch trifft ….

Meine Schlussfolgerung …. wenn Anet nicht gehackt wurde, gingen einfache Brutforce angriffe ….

Das naechste, was absolut gar ned geht, der gute herr da laesst sich ueber die Qualitaet der passwoerter aus …. Hallo ?
In welchen vernuenftigen system werden die Passwoerter im Klartext aufn server verwendet ??? Hallo ? Normal sollten die vorm Weg zum Server gehasht werden ….

Die 1% gefuehlt gehackten accounts, vielleicht sinds auch weniger, sind traurig … waeren aber einfach zu vermeiden gewesen.

Uebrigends gibts dafuer auch Normen … Iso27xxx leider in DL noch nicht zwingend in allen bereichen …

Ciao …

@RHBaum
Komm bitte nicht mit der E-Mail-Bestätigung bei Passwort und EMail-Änderung.
Ja das würde eine Übernahme verhindern, aber kein Accounthack.

Brutforce-Angriffe gegen einen Server sind unwahrscheinlich. Eventuell ein Rechner in Netzwerk verseucht, der dann einfach den Netzverkehr mitprotokolliert? Warum schließt du einen Virenbefall aus? Weil der Virenscanner nichts findet. Erfahrungsgemäß ist es leider so, das Viren Virenscanner austricksen. Wenn so manche wüssten, wie “billig” meine Passwörter sind

Es besteht eine sehr geringe Chance, das Arenanet eine Lücke hat (das Problem gabs mal bei Rift) – nur ich würde dann mit mehr gehackten Accounts rechnen.

Auf Google find ich gerade auf die Schnelle nichts, was steht denn in der ISO drin?

Komm bitte nicht mit der E-Mail-Bestätigung bei Passwort und EMail-Änderung.

Hmmm ?

Wenn so manche wüssten, wie “billig” meine Passwörter sind

Wann genau sind denn “billige” passwörter ein Problem ?
In einem idealen sicheren system wuerdest du allein mit einer 4 stelligen pin die chance auf einem Missbrauch auf ca. 0,1% senken ….
Das “billige” Passwörter ein Problem sind, setzt ein Problem an anderer Stelle voraus ….
Trotzdem, klar sicherere Passwörter sind besser, keine Frage. Aber Probleme mit billigen Passwörtern sind nich Problem des Users allein …

Warum schließt du einen Virenbefall aus? Weil der Virenscanner nichts findet.

2 unterschiedliche Rechner, 2 unterschidliche Provider in sogar 2 unterschiedlichen Ländern, demnach definitiv 2 unterschiedliche Netzwerke !
2 unterschiedliche Betriebssysteme ….

meine systeme werden regelmaessig auf viren gescannt, klar. und nein antivir installieren und einmal drueber laufen lassen mein ich nicht.

Btw, ich nutze Rechner und Netzwerk beruflich auch fuer sicherheitskritische Dinge, ich treib etwas mehr Aufwand wie andere. Google z.b. mal nach SELinux und co. Dann weisst auch warum mich dieses Forum hier so nervt ^^
Bleibt die Platte mit den Spielen drauf, die koennte natuerlich komprimmitert sein, obwohl die scans negativ sind.
Dann haette aber jeder mit windows 7 paar bestimmten spielen und beispielsweisse den steam client nen Problem ….

Auf Google find ich gerade auf die Schnelle nichts, was steht denn in der ISO drin?

Ohje … “ISO 27” brachte schon zig seiten … aber alternativ nen Überblick:
http://de.wikipedia.org/wiki/ISO/IEC_27001

Ciao …

Ach viele sehen als allheilmittel, das man für die Änderung der EMAIL und Passwort immer einen Bestätigungslink in einer E-Mail anklicken muss. Übersehen dabei immer, das der Hacker trotzdem in Spiel einlogen kann und ihn ausräumen. Klar, man hätte so noch seinen Account, der Hack an sich wäre aber noch da.

Viren sind allgemein eine lustige Sache. Gibt ja die schönsten Geschichten, bspw. bei den einen Windows-Update, wo alle erstmal rumgeplärt haben, das es das System zerschiesst. Raus kam, das die Leute mit Problemen ein Rootkit drauf hatten

Ich bin halt skeptisch, wenn wer behauptet, er sein absolut Virenfrei. Kenne einen Fall, da wurde einer 3x hintereinander in WoW gehackt, weil er ja absolut sicher ist, das er nichts hat.

Ich kann halt nur für mich sprechen, wenn ich jetzt in GW2 gehackt werde, meine erste Reaktion wäre, den Rechner abstecken, meinen alten wieder anstöpseln und sämtliche Passwörter überall ändern. Anschließend würde ich den abgestöpselten Platt machen und neu aufsetzen.

Viren sind halt auch trügerisch, da Virenscanner sie nicht immer finden können (Virenprogrammierer sind ja auch nicht blöde). Und dank Zero-Day-Lücken man teilweise ziemlich ungeschützt ist.

Bei euch ist zeitlich das mit den EMail-Warnungen losgegangen – das wiederum finde ich komisch. Wäre interesannt, wenn sich bei euch ein dritter einlogt, würde er auch sofort haufenweise Hack-Einlog bekommen, dann wäre der Beweis eigentlich sicher erbracht, woher das Passwort bekannt wurde – nur woher ein Opfer kriegen
(Kennst du jemanden, der noch einen Account mit Betazugang hat, damit könnte man es bspw. gefahrlos testen.)

Wenn Du Dich mit viren so auskennst, wundert mich doch Deine eine Aussage zum thema Scripts.
Dann solltest doch auch die Statistiken bissi kennen …

Sagen wir mal, aufn normalo user Desktop ist Virenbefall mit einigermassen Unschuld des Anwenders doch recht selten. Server sind noch mal was anderes.
Aber trotzdem kommen Faelle Ab und an vor …
in weit ueber 90% daran sind das Dreigestirn zustaendig, IE, Mozilla, chrome, und da immer uneingeschraenkt die Scriptengine, teilweisse in verbindung mit anderen leaks (java runtime …. )

Da passt die Aussage, “Seiten ohne sripts sind von vorgestern”, ueberhaupt ned zu …
Ehrlich, browst du mit aktivierter Scriptengine ?

Bei euch ist zeitlich das mit den EMail-Warnungen losgegangen – das wiederum finde ich komisch. Wäre interesannt, wenn sich bei euch ein dritter einlogt, würde er auch sofort haufenweise Hack-Einlog bekommen, dann wäre der Beweis eigentlich sicher erbracht, woher das Passwort bekannt wurde – nur woher ein Opfer kriegen

Versteh ehrlich gesagt nicht, worauf du hinauswillst ?
Wenn sich jetzt nen 3ter bei uns(also mit unseren userdaten einloggt) … was soll da passieren ?
Er wird hoffentlich! durch das 2 wege system abgeswiesen und wir kriegen ne warnung per mail … und muessen ihn expliziet freischalten.

worauf ich hinaus wollte was, das jemand unsere passwoerter kannte (sonst haetten wir die warnung ned bekommen) .Dieser Jemand war aus dem ueblichen verdaechtichen netz, da aus china / Tokio …

Das zeitgleich war so im bereich von nem Tag gemeint…
Das wiederum seh ich als indiz das nen brutforce mit im spiel ist. Unsere passwoerter sind nicht gleich, nur das shema iss aehnlich … und wahrscheinlich isser einfach im gleichen zeitrahmen zum ergebniss gekommen ….

Das war kurz nach den beta events …
in ca. 2 wochen kriegst “normal” keine passwoerter mit mehr als 8 stellen raus … also iss an der theorie das nen teil des passwortes bekannt war, schon was dran. Also an dem Problem sind schon externe Stellen auch beteiligt (einbruch in Fan Seiten eher nicht,aber andere Spiele, SOE z.b.) trotzdem haettens den rest ned rauskriegen duerfen ….

Ciao …

RHBaum.6538:

Wenn Du Dich mit viren so auskennst, wundert mich doch Deine eine Aussage zum thema Scripts.
Dann solltest doch auch die Statistiken bissi kennen …

Sagen wir mal, aufn normalo user Desktop ist Virenbefall mit einigermassen Unschuld des Anwenders doch recht selten. Server sind noch mal was anderes.
Aber trotzdem kommen Faelle Ab und an vor …
in weit ueber 90% daran sind das Dreigestirn zustaendig, IE, Mozilla, chrome, und da immer uneingeschraenkt die Scriptengine, teilweisse in verbindung mit anderen leaks (java runtime …. )

Da passt die Aussage, “Seiten ohne sripts sind von vorgestern”, ueberhaupt ned zu …
Ehrlich, browst du mit aktivierter Scriptengine ?

Jup, weil 99% der Seiten nicht mehr vernünftig funktionieren und bisher auch keine Probleme und du missverstehst mich da völlig. Flash/Java werden bei mir aber nur nach nachfragen aktiv.

Scripts sind in Prinzip wie primitive Programme. Wenn du weist, von wen die kommen, kann man einschätzen, wie gefährlich diese sind. Ich glaube nicht, das Arenanet Scripts installiert, die Schadcode verbreiten, von daher hab ich auch keine Probleme hier Scipts zu aktivieren. Was möglich wäre ist, das jemand die Server hackt und Schad-Scripts installiert. Aber in diesen Fall haben die vermutlich eh mehr Zugriff gehabt…

Versteh ehrlich gesagt nicht, worauf du hinauswillst ?
Wenn sich jetzt nen 3ter bei uns(also mit unseren userdaten einloggt) … was soll da passieren ?
Er wird hoffentlich! durch das 2 wege system abgeswiesen und wir kriegen ne warnung per mail … und muessen ihn expliziet freischalten.

Sollte da auch auf einmal viele EMails mit Fremdzugriff kommen, wäre die Beweislage eindeutig: Bei euch eingelogt, sofortiger Hackversuch.

Das zeitgleich war so im bereich von nem Tag gemeint…
Das wiederum seh ich als indiz das nen brutforce mit im spiel ist. Unsere passwoerter sind nicht gleich, nur das shema iss aehnlich … und wahrscheinlich isser einfach im gleichen zeitrahmen zum ergebniss gekommen ….

Das verstehe ich ehrlich gesagt nicht: Wenn bei euch Sicherheit so groß geschrieben ist: Wie konnten die Passwörter mit BruteForce entschlüsselt werden? Selbst wenn ein Teil des Passwortes bekannt ist – wie konnten sie wissen, das der Teil des Passwortes immer gleich bleibt?

Es existieren mehrere Threads zum Thema Accountsicherheit und Co. bitte verwendet diese:
https://forum-de.gw2archive.eu/forum/support/account/Accountsicherheit-was-kann-man-tun
https://forum-de.gw2archive.eu/forum/support/account/Anleitung-Was-tun-bei-Account-Hack