Ja ich weiß…
Aber was manche US supporter abziehen geht halt gar nicht. 
Das spielt alles keine Rolle, wenn man im Ticket sagt man hat keinen Zugriff mehr auf sein Handy, oder hat die Sicherheitsfrage vergessen.
Kann ja sogar wirklich mal passieren, dafür ist dann der Support da um mit einer Ausweiskopie wieder Zugriff zu schaffen.
Und genau dies macht man sich eben hier zum Werkzeug für den Hack, nennt sich Social Engineering.
Man kann übrigens seine Daten noch so konservativ preisgeben und verschleiern, es reicht ein Datenleck bei einer Plattform die diese gespeichert hatte und schon sind die im Netz verteilt, zum Beispiel letztes Jahr mit Wakanim (Anime Streaming Seite), meine Mail hat seit diesem Leck etliche Spam Mails bekommen mit Phishing Links, weil ich dort registreirt bin
Einen Fake Ausweis mit beliebigen Daten kann man sich im Darknet kaufen, kostet ein paar € und geht recht schnell, bekommt man sogar mit DHL geliefert
1 Like
An sich recht einfach. Es braucht dazu auch nicht den Originalausweis.
Man nimmt dazu einfach nur die Musterausweise die man massenhaft im Netz finden kann und bearbeitet die. Ein Foto hat man schnell eingefügt, genauso wie man den Text entsprechend angepasst hat.
Da man die „Ausweiskopie“ als JPEG hochlädt, kann man hier niemals verifizieren ob es der echte Ausweis gewesen ist. Es wäre was anderes wenn zur Personenverifikation die eingebetten Sicherheitsmerkmale des Ausweises genutzt werden würden. Dafür braucht es aber ein entsprechendes Lesegerät was man nutzen kann und für Anbieter eine einfache Möglichkeit diese zu implementieren. Dazu müssen die Anwender auch bereit sein ihren Datenschutzgedanken etwas zu lockern und das auch zulassen.
Drei Dinge die man in absehbarer Zeit nicht haben wird.
Definitiv.
Und bei der Menge an Meldungen das der US-Support hier unberechtigt vorgeht und die Anfrage bearbeitet, hätte man meinen können das es dem Management aufgefallen sein muss. Man kann aber zurecht vermuten, dass das Management sich nicht darum kümmert was da gemacht wird und einfach nur nickt.
Brauch man nicht mal machen.
Gimp/Photoshop und Kenntnisse in der Grafikbearbeitung reichen aus.
1 Like
Was du nicht so alles weißt …
Das mag ja sein - nur hat ein Ausweis gewisse merkmale die überprüft gehören.
Da muss alles an Merkmalen übereinstimmen, wenn nicht muss er als nicht gültig angesehen werden. Und Fake hin oder her, eine wirkliche orginaltreue Kopie ist ohne Weiters kaum bis nicht möglich.
Und wenn man die Handynummer bei Blizzard hinterlegt hat, kann auch mal ein Code zugeschickt werden - machen andere US Firmen ja auch zur Sicherheit. Und selbst wenn die Handynummer durch ein Datenleck abgefangen wurde und wem anders in die Hände gefallen ist, die SMS mit dem Code zum bestätigen kommt beim Betrüger nie an, da er ja das zugehörige Handy gar nicht besitzt.
Wieso sollen dann aber denn die ganzen Merkmale stimmen?
Name, Geburtsort, Adresse etc und die an den Ausweis gebundenen Nummer (sind mehrere) etc.? Also sollten die allesamt stimmen, grenzt das doch schon an ein Wunder.
Aber vielleicht denke ich gerade auch etwas zu kurz.
erstmal ersten 
wirken lassen ^^
bereitstellt
Mache doch einfach mal den Test.
Nehme deinen Personalausweis und scanne diesen ein oder mache ein Foto davon. Danach suchst du die entsprechenden Sicherheitsmerkmale die man normalerweise sieht wenn man den Lichteinfall auf den Ausweis ändert.
Es gibt ja einen Grund, wieso man beim Video-Identverfahren dazu aufgefordert wird den Ausweis zu kippen.
Die werden mit keiner öffentlichen Behörde abgeglichen.
Blizzard gleicht nur Name, Adresse und Geburtsdatum ab und führt eine Plausibilitätsprüfung der Ausweisnummer durch. Das einzige was da wirklich stimmen muss sind die personenbezogenen Daten, mehr nicht.
Ist auch nicht weiter relevant.
Reicht aus in dem Ticket zu schreiben das man keinen Zugriff mehr auf das Handy und E-Mail hat und legt den gefälschten Ausweis und „alte E-Mail“ vor, den Rest kennt man dann schon.
3 Likes
Für die muss man aber Zugriff auf den Ausweis haben. In einer Kopie sind die nicht vorhanden. Das ist hier aber auch weniger relevant.
Der US Support ist nicht zuständig
Der US Support hat schriftlich hinterlegt das er die Finger davon lassen soll
Der US Support ist vermutlich bzgl. EU Ausweisen nicht mal geschult
Also egal was man machen KÖNNTE, es wird nicht gemacht und daher bleibt diese massive Lücke eben bestehen.
Es wird gesagt das hätte man inzwischen nicht mehr und die Email natürlich gewechselt.
Du übersiehst einfach das der US Support all das ignoriert, sie ignorieren ja schon das sie nicht zuständig sind.
Sicher das der US Support überhaupt bzgl. EU Ausweisen geschult ist?
Man muss dazu niemanden schulen. Gängige Accounting-Software die macht das automatisch wenn ein entsprechendes Bild vorgelegt wird, da entsprechende Librarys implementiert sind die das übernehmen. Die Accounting-Software wird auch Blizzard einsetzen, da hier auch zeitgleich der Zahlungsstatus eingesehen werden kann.
Und nein Blizzard wird hier nicht auf eine eigene Lösung setzen weil das zu aufwendig wäre diese extra zu programmieren.
Ok. Aber Name, Addresse und Geburtsdatum sind nun auch nicht unmöglich zu organisieren.
Je nach Verhalten des Users, hat man die schneller als eine E-Mailadresse und der Rest besteht nur noch aus kleinen Details.
Oder anders ausgedrückt, man will es gar nicht glauben wieviele User sich im Netz selbst doxen und sich dann wundern das jemand im schlimmsten Fall vor der Tür steht.
Ich erinnere mich da noch an den Blizzard CM der damals während der Debatte um den Realnamen seinen Namen veröffentlichte um klar zu machen wie ungefährlich das doch ist. Kurze zeit später waren Adresse, Uni, Namen der Kinder uvm. bekannt. Es war ein heftiger Fingerzeig wie vorsichtig man da sein muss.
3 Likes
Oder man kauft sie sich einfach beim zuständigen Einwohnermeldeamt…
OK, das wird der Wald und Wiesen Hacker wohl eher nicht tun, aber auch diese Möglichkeit der Datengewinnung ist möglich…
Dafür kann man zum Beispiel in Deutschland den „neuen Personalausweis“ in Verbindung mit PostIdent online nutzen.
Aber wer hat den schon Fingerabdruck und online beim Ausweis frei geschaltet, das geht ja gar, weil „Datenschutz“.
\s
Ohne weiteres nicht, aber visa-taugliche Kopien sind teilweise schon „günstig“ zu erhalten.
Und die schaffen auch die erstüberprüfung an Flughäfen.
Natürlich keine genauere Kontrolle, aber bei „normalen“ Verhalten ohne Auffälligkeiten…
1 Like
Das ist ja das was ich meinte.
An sich hat der aktuelle Personalausweis genug Merkmale um eine sichere Authentifizierung anhand des Ausweises durchzuführen. Dem steht aber der Datenschutzgedanke der Nutzer im Wege, da diese ihre Daten nicht rausgeben wollen aufgrund von Bedenken wegen dem Datenschutz.
Das ist wieder das klassische „Der Hund beißt sich selbst in den Schwanz und dreht sich dabei im Kreis“. Man müsste nur die eigenen Bedenken der Datensicherheit unterordnen, was einfach zu erreichen ist. Es reicht ja aus, wenn man sich selbst fragt wie toll man das Fände wenn jemand die eigenen Daten missbraucht. Vor allem dann wenn man geeignete Möglichkeiten hat das zu verhindern.
Wenn man schon mit gefälschten Papieren durch eine Kontrolle möchte, sollte man sich das auch nicht anmerken lassen.
Das ist ja alles schön und gut. Nur ist das wie bei der deutschen Gesetzgebung:
Es hilft alles nichts, wenn die Mittel vorhanden sind, sie aber nicht eingesetzt werden. Unsere Politiker rufen immer wieder nach „Mehr Geld, strengere Gesetze, mehr Befugnisse, etc.“ und wissen dabei gar nicht, was eigentlich schon geht. Nur hilft das halt nix, wenn das ignoriert wird.
Und so verhält es sich bei Blizzard: man hat (vermutlich, exakt wissen tun wir es nicht) die Mittel, um hier sauber zu arbeiten, einzig man benutzt das nicht. Man will halt lieber das Ticket schnell bearbeitet haben.
Eigentlich müsste es nämlich genau anders herum sein, wenn wiederholt festgestellt wird, dass hier jemand mit gefälschten Dokumenten (Urkundenfälschung, gerade bei Ausweisen, ist ein Straftat) versucht, sich widerrechtlich Zugang zu einer Sache zu verschaffen, müsste Blizzard mal aktiv werden, und versuchen, den Straftäter zu ermitteln.
Okay, wird nicht passieren. Womit wir wieder bei dem genannten Punkt sind: warum nach härteren Strafen rufen, wenn die möglichen schon nicht genutzt werden?
Du kannst aber nicht das eine mit dem anderen vergleichen. Bleibt man mal bei dem Beispiel mit den Ausweisen, dann ist weder die Politik noch der Nutzer dazu bereit die bereitgestellten Möglichkeiten effizient zu nutzen. Politiker werden sich nicht einig wer die Kosten tragen soll und wie das mit den Gesetzen gehandhabt wird und der Nutzer hat schlichtweg keine Ahnung wie das System funktioniert weil dieser sich nicht informieren will und die Informationen dazu lückenhaft sind.
Auf US-Seite weiß ich aus eigener Erfahrung das hier das Missbrauchs-Potential stark eingeschränkt ist wegen der Sozialversicherungsnummer die jeder US-Staatsbürger besitzt. Hier sind sie sehr stark dabei das System dahinter so wasserdicht wie möglich zu halten, auch wenn es hier ebenfalls immer wieder mal zu Identitätsdiebstahl kommen kann.
Also ja die Mechanismen sind vorhanden um das wirkungsvoll und sauber zu prüfen.
Nach geltendem US-Recht, welches beim US-Support angewandt wird, nein besteht die Verpflichtung nicht. Nach deutschem Recht müsste es wieder angezeigt werden, das hingegen ist richtig.
Wir können hier den ganzen Tag spekulieren wieso und wieso nicht, am Ende ist es in der Aufgabe von Blizzard-US dem US-Support zu untersagen das dieser keine Accounts aus anderen Regionen zu bearbeiten hat. Werden sie das machen? Wich bereits vorher geschrieben habe, nein werden sie nicht auch wenn man das gerne anders hätte.
Ach du … Das tut mir so unheimlich leid für dich 
Allein schon, dass die nicht auf die Notizen achten.
Mir fehlen wirklich die Worte… *Kopfschüttel
Scheint aber die oberste Etage nicht zu jucken, was mit ihren Kunden passiert…
Ich bin gerade am Grübeln, ob man nicht das Pferd vom anderen Ende an aufzäumen könnte.
Immerhin scheint ja Blizzard (EU und US) Fehler gemacht zu haben.
Verstoßen beide damit eventuell gegen die TOU?
Hat der geschädigte TE eventuell sogar gewisse Ansprüche, und zwar sowohl aus dem Vertragsverhältnis, als auch was man aus der DSGVO ableiten könnte?
Stichwort: Auskunftsrecht zur Verarbeitung personenbezogener Daten, Weitergabe, Auftragsdatenverarbeitung, Einsicht in sämtliche zur Person gespeicherter Daten, Korrekturanspruch falscher Daten usw.?
1 Like
Man kann jederzeit einen Auszug der gespeicherten Daten abrufen, sind die letzten 10 Jahre an Forenpostings drin, sämtliche Tickets usw. Vielleicht kann man da was finden.
Das ist die Frage.
Wobei müsste nachgewiesen werden wer wirklich den Fehler gemacht hat. Hat EU die Notes einfach nur vergessen oder hat sie US einfach nur ignoriert wenn sie vorhanden waren?
Nur wenn der TE einen finanzellen Schaden aufgrund der Leaks erhalten ist. Wäre halt die Frage was sich aber in dem Thread nicht zeigt. Psychische Belastung wird da nicht gewertet, ist für die verantwortlichen zu unwichtig.
Vielleicht ist das in diesem Fall, einer häufigen „Herstellung“ eines Accounts an einen Angreifer auch grob fahrlässige Beihilfe zum Account-/Identitätsdiebstahl?
Ja ja - ist ja nur eine Frage
Dafür müsste dir der Account aber gehören, der gehört Blizzard
Der Inhaber bezahlt aber dafür und es sind ihre/seine Daten. Ist wie bei einer Mitwohnung - habe ich einen Mietvertrag habe ich da Hausrecht und der Eigentümer hat da ohne meine Einwilligung nichts zu suchen - nur in bestimmten Ausnahmefällen.
Und meine Identität gehört natürlich mir und Blizzard hat da keinerlei, auch nicht die kleinsten, Rechte Daten, wie Passwörter, E-Mail-Adressen weiterzugeben, wenn da ein gefälschter Ausweis vorgelegt wird.
Ach ja: Bist du dann damit einverstanden, dass Blizzard deine Zahlungsinformationen an dubiose Leute weitergibt, deine Adresse an Werbefirmen und deine Telefonnummer an Schmuddel-Callcenter? Wär doch prima - ist ja nicht dein Account…
Was da zum Identitätsdiebstahl geschrieben wurde:
https://polizei.brandenburg.de/seite/ich-wurde-opfer-eines-identitaetsdiebsta/56591