Versuchter Account diebstahl mit Blizz Unterstützung

Dazu gibt es schon ein anderes Topic, in dem Tyryndar vor einigen Tagen meinte, dass dazu schon eine Untersuchung läuft, man aber aktuell noch überhaupt nicht weiß, ob und was da nicht funktioniert.
Siehe: Tonline Telekom Problem bei Verifizierungscodes

Die Angabe der Herkunft ist leider nicht sonderlich genau, da dies technisch nicht wirklich machbar ist. Es werden bei einem Internetanschluss keinerlei Daten dazu bereitgestellt, wo dieser genau ist, weshalb derartige Angaben von externen Dienstleistern „vermutet“ werden müssen - bspw. über bestimmte Bereiche von IP-Adressen, die gewissen Regionen zugeordnet sind.

Ich bin Bei Vodafone/Kabeldeutschland. In diesem Artikel gehts um Tonline Telekom. Ich weiß nicht ob man da Parrallen ziehen kann.

Das ist halt die Frage, zu der aktuell wohl noch nichts herausgefunden wurde. Falls das ein Problem ist, auf das Blizzard Einfluss hat, dann können da durchaus mehrere Provider - bzw. Email-Anbieter betroffen sein.

Und selbst wenn das bspw. problematische Einstellungen beim Spam-Schutz auf Seiten der Email-Anbieter sind, dann wäre es trotzdem denkbar, dass da mehrere Anbieter ähnliche Einstellungen nutzen.

Prinzipiell gibt es bei Offline-Tickets eine E-Mail-Nachricht, dass die Bearbeitung stattfand und ein Update des Tickets zur Verfügung steht. Das Problem hier war wohl, dass die Drittpartei uns nicht über die E-Mail-Adresse des Inhabers kontaktierte, was bei Spielern, die keinen Zugriff mehr auf ihren Account haben, nicht sonderlich außergewöhnlich ist.

Die SMS-Nummer hingegen wurde zusammen mit dem Authenticator entfernt. Dabei handelt es sich wohl um einen Fall von „vorauseilendem Gehorsam“, da dieser Schritt standardmäßig nicht zum Prozedere gehört. Der den Fall bearbeitende Gamemaster ging wohl davon aus, dass dies ebenfalls im Sinne des Spielers sei, denn die Nummer der Mobilen Benachrichtigungen dürfte sich mit einem Mobilen Authenticator dasselbe Gerät teilen. Sprich: verliert man den Zugriff auf eines, ist auch das andere weg.

Es gibt bei uns im Kundendienst das geflügelte Wort der „extra mile“, und die Absicht hier war wohl, zu verhindern, dass uns der Spieler noch ein zweites Mal kontaktieren müsste, um auch die SMS-Nummer noch entfernen zu lassen. In dieser besonderen Situation war das natürlich kontraproduktiv, bzw. der Gamemaster ist diese extra mile sprichwörtlich zu weit gegangen.

Das größere Problem bleibt aus unserer Sicht aber noch immer der Umstand, dass jemand dein Ausweisdokument fälschen konnte.

Gruß

~ Tyryndar

–––––––––
Die Welt kann nie genug Umfragen haben

Danke dir ,Tyryndar, für deine ausfürliche Info,danke. Ich habe alles so gemacht wie der GM im Game es mir geraten hatte. Mal schauen wie es sich endwickelt. Aber nichts destrotrotz Danke dir Vielmals für deine Gedult und deinen Bemühen. Da ihr den Überbegriff " Ausweis" für mich relativ weit ausdehnt( Geburtsurkunde/Truppenausweis) müssen wir schauen was die Zukunft uns bringt. Deswegen Danke an alle die hier rege an der Diskusion teilgenomen haben .

Wobei man hier bedenken sollte das die Handy Nummer (Stand jetzt, inwiefern sich das in Zukunft ändert steht auf einem anderen Blatt) nicht an das Gerät gebunden ist. Nun kenne ich den Ticket Text nicht, es kann sein das dieser andeutet dass das Gerät verloren wurde oder ähnliches. Aber evtl wäre es sinnvoll hier dafür zu sorgen das eine solche SMS/email IMMER rausgeht.

Zum einen die Accountdaten: Das Passwort ist mit den Enstprechenden tools ganz leicht über die Webseite abgreifbar, sobald Du den Accountnamen hast. Und den Accountnamen bekommt ein geübter Hacker ganz leicht über den Battlenettag, der ist nämlich vor richtigen angriffen so gut wie nicht geschützt.

Wer sagt denn das er eine Kopie von seinen echten Ausweis gehabt hat, sowas ist mit viel Pfiff, dem richtigen Werkzeug ruckzuck gefälscht, und das merkt ein Onlinesupporter noch nicht einmal, weil er´s nicht prüfen kann.

Ich finde den Hammer das man einen Konnektierten Authenticator außer Kraft gesetzt hat. Man kann das Testen ob der Authenticator immer noch online geht oder Bindungslos ist.

Na dann erklär mal. Brutforce kann es ja nicht sein da nach X Versuchen die Zeit für erneute Eingabe verlängert wird bis hin zu dicht gemacht wird. Nutzt man die gesamt Mögliche Länge aus kommt man erst recht nicht weit zudem man dann auch noch am fehlenden Authenticator scheitert.

Jetzt musst du nur noch die Brücke von Btag auf Emailadresse zum Account erklären. An Btag kommt man im Spiel recht leicht. Nur wie willst du damit die dazugehörige Emailadresse rausfinden? Mit deinem Btag kannst du dich nicht anmelden.

Ein echter Ausweis zeigt entsprechende Sicherheitsmerkmale die bei Kopien zum Vorschein kommen. Die müsste man eben mit fälschen oder eine der einfacher zu fälschenden Alternativen benutzt haben.

Du brauchst keine Bruteforce einfacher Backendlogger reicht. Die Blizzardseite rückt Dir dann durch die direkte Verbindung zur Accountdatenbank das verschlüsselte Passwort raus. Jetzt musst du es nur noch entschlüsseln und kalt ist die Kuh.

Und Ingame gibts ebenfalls die Direktverbindung vom Battlenettag zum Accountservice hier geht es ebenfalls über einen Logger, die gibts im Darknet übrigens tonnenweise. Ergo bekommst Du die Emailadresse und den Accountinhaber weil der Battlenettag daran gebunden ist.

In der Tat ist das wo am Schwierigsten vorbeizukommen ist der Authenticator.
Deshalb hat der Dieb ja auch den weg über eine andere Emailadresse gewählt.

Sicherheitsmerkmal im deutschen Ausweis loooooooooooooooooooooooooooooooooooooooooool

Jetzt sag ich Dir mal was, diese Merkmale sind so angelegt das Sie nicht verhindern das Du einen echten Ausweis einscannst und mit einem Computer einen anderen Namen drauf schreibst, weil die ganzen Sicherheitsmerkmale nicht durch die Schrift gehen, jedenfalls nicht bei einem Deutschen Ausweis.

Noch Fragen ?

P.s. Ich mache It-Sicherheit.

Das ist korrekt. Allerdings ist es auch ein merklicher Mehraufwand diese korrekt mit zu fälschen Denn ein ordentlich geschulter Mitarbeiter bekommt das auch mit gesagt welche Sicherheitsmerkmale er auf dem Scan/Kopie sehen wird.
Du kannst auch Geldscheine kopieren genauso wie Ausweise aber man erkennt das auch deutlich.

Achso deiner Meinung nach rückt die Seite einfach auf irgendwelche Loginversuche mit irgendwelchen Emailadressen Passwörter raus? Fände ich arg befremdlich. Aus welchem technischen Grund sollte das notwendig sein? Falsch oder Richtig sind an sich als Antworten vom Server ausreichend. Zudem ein korrekt verschlüsselt und salted PW auch viel Aufwand darstellt.
Knackbar ist an sich alles mit genug Aufwand nur lohnt dieser sich irgendwann nicht mehr

Und der Logger läuft auf welchem System? Sobald man Zugriff auf das System des Users hat ists eh gelaufen da kannste dir den Rest auch sparen

Bisher hat noch niemand erklären können wie er an die Infos für einen Fakeausweis kommen will über die Accountverwaltung wenn er von Anfang an nur maximal die Logindaten außer den Authenticator hat.

Muss man dir nicht glauben so wie du hier auftrittst. Seriös ist anders.

Der Ingamelogger wird im Account des Angreifers mitlaufen lassen, er schreibt Dich über Battlenet an und wenn Du ihm antwortest kann er deinen Tag loggen und die Daten über die Direktverbindung auslesen. Das ist jetzt etwas arg vereinfacht dargestellt aber im Prinzip läuft es so. Er bricht nicht die Sicherheitsmaßnahmen er umgeht Sie.

Die Seite rückt es nicht raus wenn Du nicht die richtige Emailadresse hast. Es wird nur abgeglichen wenn die Emailadresse stimmt. Und genau dieser Abgleich ist der Schwachpunkt bei der Geschichte. Und ich habe nicht behauptet das das entschlüsseln schnell geht.

Ach so die Sicherheitsmerkmale : Ja die Sieht er ja auch, aber er kann daran nicht feststellen ob die Schrift geändert wurde. Ergo in dem Falle Nutzlos.

Und glauben musst Du gar nichts. Seriös ?? Was ist Seriös ? Höflich Nett und Seriös muss ich im Job schon sein, brauch ich hier nicht auch noch. Und mir ist Wurst ob Du mir das glaubst.

Fazit Blizzard hat mit seinem Authenticator die beste waffe gegen Accountdiebstahl aber wenn es jemand ernst meint kommt er an der Rest relativ schnell ran, ich finde da müsste Blizzard nachbessern.

Dann will ich mal meine Geschichte erzählen…ich hatte diese zwar im alten Forum schon einmal gepostet, aber schaden kann`s ja nicht.

Mein Account wurde auf dieselbe Weise trotz Authenticator (!) in regelmässigen Abständen insgesamt 6 mal (!) gehackt, jedesmal ermöglicht durch den US Support.

Es reichte eine lapidare Mitteilung des Hackers per Ticket, dass er sein PW verlegt oder sich seine Telefonnummer geändert habe und mein Authenticator wurde aufgrund gefälschter Dokumente entfernt. Da von dem Hacker gleichzeitig meine Mobilnummer geändert wurde, hatte ich keinerlei Möglichkeiten mehr, mich in meinen Account einzuloggen oder an Blizz heranzutreten. GsD konnte ich noch telefonisch Kontakt aufnehmen. Dass ich eine deutsche Spielerin mit deutschem Account und einer seit 12 Jahren hinterlegten Bankverbindung, Ausweis -Verifizierung etc. habe, ist dem US Support scheinbar nicht aufgefallen.

Die vom deutschen Support gemachten mehrfachen Infos und Kennzeichnungen meines Accounts an den US Support, vor Änderungen die verifizierten Angaben zu vergleichen, haben erst nachdem 6. Hackangriff gefruchtet auf Holz klopf (seit Ende 2016 ist nichts mehr passiert, die weiteren Tickets des Hackers wurden jeweils abgebrochen).

Zweimal sind die bestellten Dienstleistungen (Charaktertransfers) übrigens an einer gefälschten (oder geklauten) Kreditkarte gescheitert.

Ich weiß es bis heute nicht sicher, auf welchem Weg der Hacker überhaupt an meine e-mailadresse gelangt ist. Auf einer Website konnte ich aber prüfen lassen, ob mein e-mailadresse kompromittiert wurde – das war einmal der Fall in 2009 (!). Ich erinnere mich, dass ich damals 1 Woche lang nicht auf meine e-mailadresse zugreifen konnte, weil ein Krimineller mit asiatisch klingendem Namen diese gehackt hatte.

Um an Daten von Nutzern zu gelangen, halte auch einen Keylogger für möglich und das trotz Kaspersky, hoher Sicherheitseinstellungen und Finger weg von suspekten Webseiten/Links etc.

Alle Vorgehensweisen habe ich im Nachhinein den diversen Tickets des Hackers entnommen, diese Frage blieb jedoch letztendlich ungeklärt. Nach dem mehrfachen Wechsel meiner e-mailadresse und Löschen der alten erfolgten weitere Tickets durch den Hacker an den US Support unter der nicht mehr existierenden e-mail, die trotzdem weiter bearbeitet wurden. Evtl. ist da kein zeitnahes, technisches Update erfolgt?

Der Support konnte/wollte mir keine konkreteren Auskünfte geben, bei bestimmten Fragen wurde ich auf den Datenschutz verwiesen, der auch für diese Kriminellen gilt.

Ein ganz grosses Lob gebührt dem deutschen Support – ich bin denen auf ewig dankbar – meine liebevoll transmoggten Charaktere zu verlieren, hätte einen grossen Verlust für mich bedeutet.

Viele Mitarbeiter haben sich lange durch Datenbanken gewühlt, um mir meine Sachen/Gold wiederzubeschaffen, Schwund lange gesammelter, alter Mats war natürlich trotzdem. Meine Charaktere waren jeweils bereits auf Server in aller Welt verteilt, von Allie zu Horde getranst, um sie unkenntlich zu machen.

Ja, also das gibt es.

Glaub ich Dir sofort. Wie oben erwähnt, wird der Authenticator außer Kraft gesetzt wie oder von wem auch immer. Ist der Rest sehr schnell beschafft.

Ups auch noch mit dem falschen Char gepostet Sollte eigentlich mit Dallben gepostet werden. Sorry

Dazu muss er aber a) erst mal einen hinzufügen und b) man irgendwelche Leute annehmen die einfach mal aus heiterem Himmel einen hinzufügen wollen UND dann noch mit denen schreiben^^

Naja auf Vorder und Rückseite ist das Bild einmal in normal und einmal als kleines Hologramm. Das sollte ja auch zueinander passen und sehe ich als deutlich höheren Aufwand an da was passendes rein zu kriegen.

Da frag ich mich echt jedes Mal wo die ganzen Daten dafür herkommen.

Sobald man n Keylogger und ähnliches auf dem Rechner des Opfers hat ist eh sehr viel an Sicherheitsmaßnahmen ausgehebelt^^ Ich stell da mal nur die ganze div. Staatliche Schnüffelsoftware in den Raum. Kommt da was in die falschen Hände helfen dir Kaspersky &Co. auch nicht viel weiter da die dafür konzipiert wurden über Jahre auf nem System nicht aufzufallen.
Ist nur an sich viel zu viel Aufwand für n lausigen WoW Account.

Dann müsste man bei der Erstellung gleich Kopien des Ausweiß verlangen und diese hinterlegen nur gibt es damit rechtliche Probleme^^
Und sowas wie verschlüsselte Passwörter auch nicht übertragen bei einer korrekten Mailadresse (wenn dem so wäre…)

Der Warden erkennt und warnt im Login Bildschirm vor den bekannten/älteren Loggern.

Dazu kommt, dass wenn bereits ein Logger installiert ist, die Verbindung zu dem Rechner sowieso besteht und man daher auch niemanden mehr anwhispern muss. Um einen übers Bnet anzuwhispern brauche ich übrigens schon seine RealID/Btag. Es gibt auch bei wispern keine Direktverbindung, die laufen ebenfalls über die Server. Die Verbindung würde direkt da auch nur über die Malware bestehen.

Und drittens gibt es auf 99% der Rechner interessantere Daten zum Loggen als den WoW Account. Da zahlt sich Geduld doch mehr aus, als jemanden anzuschreiben und so die Gefahr der Entdeckung zu erhöhen.

Oder aber eben doch das Entfernen eines Authenticators zumindest wahlweise erheblich (!) erschweren. Eine Option dies Wahlweise nur über den Postweg zu regeln wäre imho durchaus effektiv… aber vermutlich auch etwas teuer
Aber wäre mir das 1-2 Euro im Monat wert? Offen gesagt ja.

Ich bin immer happy, von Kollegen aus der Branche hier zu lesen. Zumal von jemandem, der sehr bald wohl sehr berühmt sein wird!

Behauptet nicht, aber impliziert:

Also: wenn du Beweise dafür gefunden hast, dass Blizzard

• bei ungesicherten und
• nicht über Token autorisierten Zugriffen
• über eine nachvollziehbare Methode
• mit nur einer gespooften Email oder B-Net Tag als Identifikationsfaktor
• einem Dritten (dir) ein „verschlüsseltes Passwort“ (!) ausspruckt

anstatt z.B. einem Token-Wert oder einen gesalzenen Hash (die beide nicht in ein verwertbares Klartext-Passwort umgewandelt werden können) und

• du eine Methode kennst, dieses verschlüsselte Passwort
• binnen absehbarer Zeit (du schreibst „relativ schnell“, s.u.) in Klartext umzuwandeln

dann ist das nichts weniger als eine Sensation. Du bräuchtest nicht mal hart am zweiten Teil zu arbeiten, wenn da wirklich Passwörter rauskommen kannst du mit Rainbow Tables argumentieren, zumal dann ja ein massenhaftes Abgreifen von Passwörtern über credential stuffing möglich wäre.

Da solltest du dich umgehend entweder an hacks@blizzard.com wenden und denen sagen, dass du deren Job besser machst als sie - das ist die nette Variante - oder dich direkt an den Datenschutzbeauftragen deines Landes wenden, weil Blizzard dann keine ausreichenden Methoden einsetzt, um die Nutzerdaten zu schützen.

Das ist die nicht mehr so freundliche Variante, mit der du Blizzard definitiv zu einer Handlung zwingst, wenn du deinen obenstehenden Text nachweisen kannst. Du sagst ja selbst: „Blizzard sollte da nachbessern“ - du hast die Mittel in der Hand!

Du schreibst auch von einer „direkten Verbindung zur Accountdatenbank“, was impliziert, dass die Accountdatenbank nicht durch eine API beschrankt ist, gegen die man (und auch z.B. die Apps) sich autorisieren müsste. Die Wahrscheinlichkeit für injectability bei einer direkten Verbindung wäre sehr hoch, gerade wenn der unerwartete Input nicht ordentlich sanitized wird.

Nach deiner Darstellung wäre damit jedes Blizzard-Konto ohne 2FA prinzipiell geknackt, wenn du den Battle-Tag des Kontoinhabers kennst:

Ich gehe aber davon aus, dass du als IT-Sicherheits-Spezialist allein wegen der Berufsehre nicht einfach derart kritische angreifbare Exploits in the wild in einem Forum dokumentierst, das von der Welt gelesen werden kann, wenn du nicht bereits mit den entsprechenden Stellen in Kontakt getreten und das Problem schon in der Triage wäre. Ich meine als Spezialist in der Branche würdest du sicher keinem mehrere Milliarden schweren Unternehmen völlig ohne Beweise derart grundsätzliche Fehler im Datenschutz vorwerfen, zumal noch in einem öffentlichen Forum, da wären ja Regressansprüche noch und nöcher im Raum.

Wenn du in Infosec arbeitest, weisst du sicher, welche weitreichenden positiven Konsequenzen diese Entdeckung für deine berufliche Zukunft hat, wenn du sie belegen kannst. Du bist die Person, die als erste zu einem millionen- wenn nicht milliardenfachen Verstoß gegen grundsätzliche Opsec in der IT bei Blizzard publiziert! Whitepaper auf der Defcon, wenn die Lücke geschlossen ist, und du kannst dich vor Job-Angeboten nicht mehr retten. Du solltest vor deiner Konferenz definitiv Activision-Aktien leerzeichnen. Ich denke, da werden wir in naher Zukunft auf vielen Zeitschriftencovern aus der Branche von dir lesen.

Eine Server-Opsec wie Kuchenblech. Das Konto ist im Prinzip geknackt.

~https://www.youtube.com/watch?v=PVhYhLQ4Y64

also im prinzip ist das konto jetzt offen.

Dazu kann ich sagen wenn man den Twitch Streamer Sodapoppin kennt dem ist das 3-4 mal passiert