Guild Wars 2

An Arenanet:

nach den folgenden Links wurde Gaile Grays GM-Account von einer Drittperson übernommen, indem diese ein Support-Ticket erstellt hat und den Zugriff auf den Account erhalten hat.

https://forum-en.gw2archive.eu/forum/support/support/If-you-own-a-gw1-account-your-gw2-is-at-risk
https://www.reddit.com/r/GuildWars/comments/4vwgql/gaile_grays_account_got_taken_over/
https://www.reddit.com/r/GuildWars/comments/4vwlt2/server_outage/

Da GW1 Accounts mit GW2 verknüpft sind, bedeutet das auch für GW2 den Account-GAU: Account weg ohne dass ich persönlich irgendeine Schuld daran tragen würde und ohne dass ich persönlich irgendwelche Sicherheitmaßnahmen ergreifen könnte, um dies zu verhindern.

Wie sieht das mit der Sicherheit meines Accounts aus? Ich gehe davon aus, dass das jeder mit jedem Account machen kann – meinem inklusive. Ich brauche keine gestohlene Passwortdatenbank – ich muss einfach nur dem Support sagen: “Gib mir den Account”, dazu noch zu ergoogelnde Daten wie z.B. Name oder auch Wohnort, und ich bekomme mit hoher Wahrscheinlichkeit den Account.

Wie sehen die Maßnahmen auf Seiten Arenanets aus, um solche Dinge zu verhindern? Mir scheint, euer Support ist nicht kompetent und die Sicherheit des Spiels vorne herum zwar hervorragend (2-Factor Authentifizierung) aber hinten herum existieren so offene Scheunentore, dass man da einfach hineinspazieren kann. Was tut ihr, um diese Scheunentore zu schließen und meinen Account gegen diese Form von social engineering abzusichern? Gaile Grays Account ist mir persönlich relativ egal, aber mein eigener Account ist mir wichtig.

So wie sich das darstellt, ist mein Account bei Arenanet nicht sicher.

Wie würdest du denn Name und Wohnort eines beliebigen Spielers ergoogeln wollen?
Wenn jemand praktisch die Hälfte seiner Accountinformationen öffentlich macht, ist es natürlich einfacher dessen Account zu hacken.
Von einem x-beliebigen Spieler hast du aber nur den Displaynamen und Charakternamen.
Würdest du beim Support nun Email oder Passwort ändern lassen wollen, werden sie wohl schon mehr Informationen verlangen als nur das.

Der beste Schutz gegen Social Engineering ist es mit seinen eigenen Daten sorgsam umzugehen.
Das einzige was Anet machen könnte, ist für jede Anfrage den Key zu verlangen, in der Hoffnung, dass der nicht auch vom Spieler preisgegeben wird.

Auch hier wird nichts so heiß gegessen, wie es gekocht wird. Dieser Vorfall ist zwar an Peinlichkeit nicht mehr zu überbieten dennoch braucht man sich jetzt keine Sorgen um seinen Account zu machen. Nach wie vor können Accs zurückgesetzt werden falls (und das ist ein verdammt großes “falls”) diese gehackt wurden. Zumal es sich hier eher um ein Bedauerlichen Einzelfall gehandelt hat. Nichts desto trotz bleiben einige Fragen offen die mich wirklich interessieren würden:
https://forum-de.gw2archive.eu/forum/game/gw2/Gaile-Gray-account-gehackt/first#post503904

Ich hoffe nur das Anet aus diese Nummer was gelernt hat und anfängt das Support-Team besser zu organisieren um gegen mehrfach versuche vorzugehen.

Mein GW1 Account ist jedoch nicht mit der 2-Faktor-Authentifizierung geschützt, so dass ich mich gegen einen Schaden nicht wappnen kann. Es ist möglich, dass ein Hacker unter Angaben erfundener und erratener Daten (so wie das bei Gaile Grays Account gemacht wurde – die Supportanfrage wurden gezeigt) den Zugriff auf meinen GW1 Account erhält und dort Sachen kaputtmacht. Das ist nicht wiederherstellbar, denn die Accountwiederherstellung gibt es nur für GW2 Accounts.

Er könnte es soweit bringen, dass mein GW1 Account gebannt wird und ich in Folge auf meinem GW2 Account z.B. die Sachen und Skins aus der Halle der Monumente verliere. Es hat also eine Auswirkung auf meinen GW2 Account.

Außerdem, wer sagt mir denn, dass man mit derselben Masche nicht einfach auch den Authentikator vom GW2 Account entfernen lassen kann? Ich gehe davon aus, dass das ebenso möglich ist, denn ob man nun jemanden (falsch) verifiziert und seine email-Adresse plus Passwort resettet, oder ob man jemanden (falsch) verifiziert und den Authentikator entfernt, das ist ja derselbe Verifizierungprozess.