Account gehackt

Also irgendwas kommt mir an der Geschichte komisch vor. Auth. kann nicht umgangen werden, außer du meldest dich einfach an deinem eigenen Rechner an, für alle Fremdzugriffe muss du bestätigen. Das klingt mir nach einem Bruder, der dich ärgern will oder sowas, aber diese Art von „Hack“ macht so an sich nicht wirklich Sinn.

Doch leider eben schon, wenn dem US-Support erfolgreich was vorgemacht werden kann.
Und das ist in der Vergangenheit leider nicht nur einmal vorgekommen.

Das einzige was wirklich „eigenartig“ ist, ist das die Einwahl Daten nicht abgeändert worden sind, das gehört normalerweise gleich zum ersten das gemacht wird.

Bis heute keine Antwort auf mein ticket.

Hallo Alchibob,

wie bereits angesprochen ist der Kundendienst leider stark überlastet. Aus diesem Grund steigen auch die durchschnittlichen Wartezeiten an und Tickets, die normal innerhalb von 24 Stunden beantwortet wurden, brauchen inzwischen mehrere Tage.

Das wichtigste ist, dass du deinen Account wieder sichern konntest. Damit ist schon mal ein großer Schritt getan. Bestellungen, die durch einen Fremdzugriff eingeleitet wurden, können auch später noch erstattet werden.

Bitte fechte sie aber nicht über PayPal an, da das wie eine Rücklastschrift gewertet wird. In der Regel wird ein Großteil solcher Bestellungen vom System abgelehnt. Du siehst zwar die Vormerkung auf PayPal, aber keine passende Bestellung dazu in der Transaktionsübersicht. Diese Vormerkungen werden nach ein paar Tagen wieder gelöscht, da das Geld nicht angefordert wird. Es lohnt sich daher die Bestellungen in PayPal mit den Transaktionen im Account abzugleichen. Sobald dein Ticket bearbeitet wird, können meine Kollegen die verbleibenden Bestellungen erstatten.

Grüße

Hallo!

Schön das sie sich hier zu Wort melden aber das Ticket wurde nicht beantwortet und mein Konto wurde belastet mit mehreren hundert Euro.

Ich setze sie jetzt in Kenntnis das das ich das am Montag von der Bank zurück buchen lasse und einen Rechtsanwalt einschalten werde.
Mein Konto ist durxh diese Abbuchungen ins Minus gegangen und ich konnte andere Zahlungen nicht tätigen das dazu führt das mit ein finanzieller schaden zugefügt wurde.

Da sie bis heute 08.10.2022 meinem Ticket nicht nach gekommen sind.

Mfg

…dann wirst Du jedoch keinerlei Antworten mehr auf die Tickets oder Mails erhalten, da die Rechtsabteilung von Blizzard nicht über das Ticketssystem mit Dir kommunizieren wird (sondern nur noch via Anwalt / Gerichtsentscheid)

Es wird dann also erst in Monaten oder Jahren für Dich zu einer wie auch immer aussehenden Lösung kommen.

Ich wünsch Dir also schonmal „viel Glück“ und „viel Ausdauer“!

Sie hatten genug Zeit der Sache nach zu gehen.
Der schaden der entstanden ist ist nicht gerade wenig.
Und das der Support überlastet ist interessiert mich in dem Fall gar nicht das ist derren internes Problem.

den du erstmal selbst zu verantworten hast bis geklärt ist ob ein fremdzugriff statt fand oder nicht

Die Ursache des angeblichen Schadens besteht darin, dass Du behauptest, die Güter nicht erworben zu haben, sondern der Meinung bist, das dies jemand anderes entgegen Deinem Willen tat.

Bitte erbringe den Nachweis, dass nicht Du die Güter erworben hast, und erbringe auch Nachweise dafür, welche wirksamen Maßnahmen Du ergriffen hast, das keine Dritten in Deinem Namen handeln konnten, und warum dies dennoch geschah.

So ungefähr wird die Argumentation vor Gericht gegen Dich lauten.

Deine Meinung ist allen Ehren aber das lassen wir lieber die richtigen Profis begutachten etc

Ich persönlich würde da jetzt nicht so hart auf das Opfer eindreschen.

Es gibt durchaus Szenarien, in denen diese Käufe von böswilligen Dritten durchgeführt werden können: gerade mit dem neu gelaunchten WotLK Classic werden wahrscheinlich viele Goldverkäufer Spampuppen brauchen, um ihre Ware an den Mann zu bringen, werden gebannt, erstellen sich einen neuen WOW-Account mit Northrend-Pass etc.

Dass der US-Support auf Basis fragwürdiger Dokumente schon mal Accounts in Europa vom Auth erleichtert, ist ebenfalls denkbar (weil sie sich eben nicht ausreichend mit Ausweisdokumenten aus Nicht-US-Regionen auskennen), und Blizzard selbst sagt ja, dass der Auth als Sicherungsmaßnahme das höchste Mittel der Wahl ist, also kann man dem TE nicht ankreiden, dass er sich mit dem Auth vor dem Account in Sicherheit gewähnt hat.

Das Einzige, woran man sich aufhängen könnte, ist, dass in der Regel bei Käufen (zumindest bei mir) immer noch das Passwort des B.net-Accounts abgefragt wird, also der Angreifer sowohl Login-Email als auch Passwort gekannt haben müsste.

Für alles andere sollte man dem TE keine Schuld geben, bis das Gegenteil bewiesen wurde, und einfach mal annehmen, dass hier durch die Überlastung des Kundensupport bei Blizzard ein realer Schaden entstanden ist, der bei einem realen Menschen ein reales Problem ausgelöst hat, und zwar ausserhalb der World of Warcraft.

Ähm sorry aber ich dachte :

???

Du scheinst bei deiner Kommunikation ein wenig ich sag Mal nicht den richtigen Ton zu treffen.
Wenn ich bei PayPal mich melde und denen sagen diese Käufe habe ich nicht getätigt gehen die auch nicht von meinem Konto ab.

Ach und btw

Irgendetwas stinkt doch an der Sache.

…setzt voraus, dass der Angreifer mindestens Accountnamen, Mailadresse und Mailpasswort hat, um dann Accountpasswort und im Anschluß den Authentikator angreifen zu können.

Die Verantwortung für die Sicherheit von Accountnamen, Mailadresse und Mailpasswort trägt nicht Blizzard, sondern der Spieler.

Ist grundsätzlich richtig und auch das kann man als merkwürdig bezeichnen, dass sich der TE hier noch mit seinen bekannten Daten einloggen konnte.

Aber Blizzard bietet selbst die Option an bei einem Hack, dass auch die Mailadresse geändert wurde. Du kannst Blizzard völlig ohne Zugriff auf einen Account oder die dazugehörige E-Mail-Adresse ein Ticket senden und sagen, dass ein Account dir gehört, so lange du den Vor- und Nachnamen des Accountinhabers und ein Ausweisdokument mitlieferst:

https://imgur.com/a/G9DRX9q

Die letzte Linie der Verteidigung ist dann der Kundendienstler, der dieses Ticket bearbeitet, ein gut gefälschtes Ausweisdokument für richtig akzeptiert und dem Angreifer den Zugriff auf den Account überstellt. Das hängt dann am Training und der Überlastung mit Ticketquoten, die erfüllt werden müssen.

Und ja, die persönlichen Daten des Accountinhabers sollten nicht in der Öffentlichkeit bekannt sein, aber es gibt genügend Dumps im Darknet und sonstwo, bei denen diese Informationen von woanders abgegriffen wurden und mit anderen potentiell lohnenswerten Logins verglichen werden, ohne dem TE direkt Fahrlässigkeit zu unterstellen. Wenn man sich nur mal

https://haveibeenpwned.com

anschaut und dort - auch ohne auf seine eigene E-Mail zu prüfen - sieht, in welchem Umfang und von welchen Quellen da persönliche Daten exponiert wurden und teilweise öffentlich einsehbar sind, wundert man sich, dass die Masche nicht häufiger funktioniert. Wenn man sich z.B. den Wattpad-Leak anschaut, dann gab es da

[…] personal information including names and usernames, email and IP addresses, genders, birth dates […]

und zwar von insgesamt 268.765.495 Konten (Fettung von mir).

Dann schaut man, ob die E-Mails z.B. auf anderen Seiten verwendet werden, die mit WoW zusammenhängen: Einlogversuch auf so eine Seite scripten und auf die Antwort „Passwort falsch“ anstatt „Kein Konto mit dieser Email vorhanden“ prüfen, und schon hat man einen Ansatzpunkt für ein existierendes E-Mail-Konto mit mutmaßlichem WoW-Bezug und dazugehörigem Vor- und Nachnamen.

Nur, weil der TE teilweise sehr patzig schreibt hier, sollte man ihm nicht vorwerfen wollen, dass er entweder einen Paulaner erzählt oder sich selbst einen finanziellen Schaden zugefügt hat. Es kann beides sein, aber ich würde da im Zweifel für den Betroffenen werten.

Das wirkt halt auch komisch.
Davor sagte er, er konnte das klären und jetzt wurden die doch abgebucht. O.o

Anwalt bzw Gericht wird am ende noch länger dauern.
Und irgendwas stinkt an der Sache, weil fremdzugriffe immer darauf bedacht sind, den eigentümer solange wie möglich aus dem Account fernzuhalten.
Und wenn der US Support die Finger mit im spiel hatte (sprichwort authenticator), dann muss auch irgendwo sein Name etc durchgekommen sein (deine seite da oben zum mail prüfen ist z.b eine super anlaufstelle)
Und wenn Festgestellt wird, dass jeder Zugriff von seinem Rechner (HWID,IP) waren, dann wird es auch vor Gericht noch schwierig.
Auf die Kulanz bzw den Support zu warten wäre eine deutlich schneller und klügere lösung.

Das ist komplett richtig und das stelle ich auch nicht in Abrede.

Aber: wenn ein Schaden entstanden ist der sogar zu einer Kontoüberziehung geführt hat - weil z.B. Paypal sagt „wir buchen das nicht ab“ aber mangels Haftbarkeit dieser Aussagen bei Paypal doch abgebucht wird oder Abbuchungen schon angeschoben waren, die wegen des Feiertags erst später durchgebatcht worden sind - dann kann man dem Kundendienst die momentane Dauer schon ankreiden, insbesondere wenn man wie der TE so hart betroffen ist und die Bank andere, wichtige Zahlungen mangels Deckung abweist.

Ich würde da auch nicht direkt mit dem Anwalt drohen wollen, aber wenn dir halt im RL der sprichwörtliche Hintern auf Grundeis geht, weil dein Konto plötzlich nicht mehr gedeckt ist, obwohl du das Problem so schnell wie möglich an der Quelle gemeldet hast, dann ist die Reaktion meiner Ansicht nach zumindest verständlich.

da bin ich auch voll bei dir.
Auch wenn der Support überlastet ist, muss der sowas wirklich wichtiges schneller beantworten.
Finanzielle schäden durch was auch immer, kann ein unternehmen nicht lange stehen lassen und muss es klären.
Wenn das Unternehmen selbst betroffen wäre von finanziellen schäden, wären die da auch schnell hinterher.

Ich wollte eigentlich nur sagen, dass der TE besser auf den Support warten sollte anstatt noch mehr finanzielle schäden wie z.b durch einen Anwalt zu bekommen.

Zumal was das abklären mit der Bank betrifft:

Hat man gesagt wenn Blizzard Entertainment /Activision Blizzard Geld abbuchen will, bitte untersagen / verhindern oder hat man dran gedacht eher Richtung Global Collect BV (oder wies heißt) diese Vormerkung eingereicht.
Ich wüsste gerade nicht ob Bankangestellte per see einen genauen überblick haben welcher Firma mit welchen Zahlungsdienstleistern arbeitet oder zumindest ein Nachschlagewerk dafür zur Hand haben.

Soll heißen evtl. gibt es diese Vormerkung zwar immer noch, aber da sie an die „falsche Adresse“ gerichtet ist verpufft sie und das Geld ist nun dennoch erstmal weg.

Ja ändert jetzt nichts mehr im Falle des TE aber ggf. für andere die mal selbst in so ne Laage kommen könnte das interessant sein, das die sich etwas besser „schützen“ können.

Kann mir irgendwer bitte erklären, an welcher Stelle blizzard schuld ist, dass der wow-Account gehackt und wie man durch den Hack eines wow-Account auf einmal mit Paypal einkaufen kann?
Der wow-Account hat doch nichts mit paypal zu tun, außer man bezahlt damit sein Abo. Und selbst dann bekomm ich durch wow ja nicht die Zugangsdaten von Paypal.

Also irgendwie finde ich das komisch.

Aber Blizzard in der Situation mit nem Anwalt drohen finde ich lustig.

p.S.: aaaah, überlesen dass Blizzardprodukte gekauft wurden. Sorry.
Naja, da hast ja aber das korrekte Vorgehen schon bekommen in blau. Den Aufstand versteh ich jetzt trotzdem nicht, zumindest nicht in diese Richtung.
Blizzard hat den Account ja nicht gehackt.

Weil Produkte von Blizzard mit dem Account gekauft wurden und wenn die Bezahlinformation hinterlegt ist, dann musst du nur dein Passwort nochmal bestätigen und es läuft alles automatisch.
Dadurch hatte der TE jetzt sein Konto im minus.
Blizzard hat auch bis dato das Ticket nicht bearbeitet, obwohl es sich um ein Thema mit hoher Prio handelt.
Blizzard ist nicht schuld am hack etc sondern nur am beantworten des Tickets.

Edit: Hab dein P.S. zu spät gesehen