Powerslide: Sicherheit!

Standard

by v000nix (Letztes Update: 09.05.2010, 22:30)

„TrackMania lässt niemanden los!“ – Irgendwie stimmt es schon. Auch wenn ich seit Wochen den Launcher noch nicht einmal aus dem Augenwinkel angeschaut habe, ganz los kommt man von der Community nie. So wurde ich gestern inmitten von Englischhausaufgaben in ICQ angeschrieben. „AO“ machte es und auf meinem Bildschirm landeten 3 Screenshots. 3 sehr brisante Screenshots – Denn sie zeigten den Account eines hohen Communitymitglieds im Trackmania-Forum, in seinem Claninternen Forum und Ingame – Immer eingeloggt. Über eine Million Coppers auf dem Konto – Respekt!

Nachfragen, wie es dazu kam, konnte ich leider in dem Moment nicht – Englisch war wichtiger. Heute veröffentlichte TStar in seinem TMC-Forum eine Meldung, die das ganze ein wenig aufklärt. In mindestens einer seiner Strecken hat unser Opfer das Passwort verwendet, mit dem er auch seine Accounts geschützt hat. Mittels BruteForce-Attaken wurden alle Passwörter, die er in seinen Strecken benutzt hat, automatisch zum Login ausprobiert. Das Problem ist, dass die Passwörter in älteren Strecken im Klartext gespeichert sind. Mittlerweile wird das Streckenpasswort zwar verschlüsselt, aber die Verschlüsselung ist wirklich leicht zu knacken, von daher nicht wirksam.

Da der TM-Server auch keinen Anmeldeschutz hat, wie ihr ihn von Foren kennt (a la „Nach 3 mal falschem Passwort gibt’s ne Loginsperre für 15 Minuten“), war das auch kein Problem – Schon nach wenigen Minuten hatten die Hacker Zugang zum Account, zu Unmengen an Coppers, zum claninternen Forum, uvm.. Warscheinlich hat die Person sogar bei mindestens einem Trackmania-Betatest teilgenommen – Auch der Zugriff auf solche Daten wäre möglich gewesen!

Dieser Angriff wurde anscheinend Automatisiert. Angeblich sollen bereits alle auf TMX verfügbaren Strecken heruntergeladen und nach passenden Passwörtern durchsucht worden sein. Also könnte auch dein Account betroffen sein! Falls sich das als Gerücht erweist – Früher oder Später wird es eh jemand versuchen…;-)

Was lernen wir daraus?

Dass ihr niemandem euer Passwort verraten solltet, ist natürlich klar. Aber es ist genauso wichtig, ein und das selbe Passwort niemals an wirklich unsicheren Stellen (Wie zB zum Schützen von Strecken…) benutzen. Überall ein anderes zu verwenden, ist natürlich utopisch. Auch Serverbesitzer warnt TStar – Doch lest euch den (englischsprachigen) Artikel doch selbst durch: Don’t get HACKED … A friendly security reminder !

Was solls. Nichts für ungut. Und denkt an eure Sicherheit!

»

  1. Ach mensch, ne übersetzung wäre schöner xD

    Hört sich ja mal interessant und schockierend an.
    Gut das ich für die TM-Accounts andere passwörter hab, sonst hab ich auch auf ziemlich vielen seiten unterschiedliche Passwörter.

    Gut das keiner in mein zimmer schauen kann, was da zettel rumliegen 😀

  2. Sehr Interessant.
    ist schon erschreckend wie einfach man an ein passwort kommt…

  3. Auf der einen Seite ist die Aktion interessant und erstaunlich. Auf der anderen Seite bin ich bei so etwas grundsätzlich skeptisch, weil Nachahmungseffekte auftreten können.
    95% der Trackmania-Spieler werden von der Geschichte nämlich nix mitbekommen. Wenn jetzt bei den 5% hingegen Nachahmer dabei sind, ist das ungefähr so, wie der Wolf inmitten einer Schafsherde.

  4. 1 Million Coppers ? Muss wohl Mistral gewesen sein 😛

    Auf der einen Seite ist das schockierend, auf der anderenSeite frage ich mich, was die Hacker damit tun wollen ? Im WoW hacken sie die Accounts, um Gold zu verkaufen. Aber Coppers werden sich wohl schlecht verkaufen lassen ?

  5. Autsch.
    Ja, mit PWs muss man echt vorsichtig sein. Mich würde auch interessieren wem das passiert ist….

  6. Da tipp ich mal auf Mistral 😀 😀

    Nach dem Lesen das Artikels kommen sicher ein paar ganz schlaue darauf das nachzumachen. obwohl ich jetzt nicht gerade viele kenne die an das passwort eines Tracks kommen, aber so leute wie skoubido sollen das ja können ;D

  7. Achja, ich denke nicht das jemand alle tracks nach pw’s durchsucht hat und dann alle getestet hat. für ein „paar“ coppers is das doch ein recht großer aufwand

  8. @Treck: Das ist ja die Sache…Das passiert vollkommen automatisiert. Heißt, sobald so ein System steht (Wenns denn nicht schon am Arbeiten ist!), brauchen die boesen Buben nurnoch Daeumchen drehen. 😉

  9. Das ist hart…
    Der ganze Account kann weg sein, wenn die Hacker auf die Idee kommen das login PW zu ändern :O

  10. Das Ändern des Login PW geht so viel ich weiss in Trackmania gar nicht. Zumindest habe ich das noch nirgends gefunden.

  11. @stranger natürlich kann man das PW in TM ändern Profil und dann auf die Sterne klicken!

  12. einfach die email adresse ändern, und dann beim einloggen auf pw vergessen klicken 😀 😀
    trek ohne c voo ;)^^

  13. Es ist schon erschreckend, aber sicherheitslücken gibt es leider überall…

    Ich vertraue daher immer noch dem zettel 😉

  14. Aber nirgents so viele wie bei TM :P.
    Nach dem lesen des Artikels kommt einem so ein Schauer auf, dass man auch wirklich bei keiner Map das gleiche PW verwendet hat (ich hab ja zum Glück nicht so viele Maps 😉 ). Jetzt mein Ingame Passwort zu ändern mach ich aber trotzdem nicht.

  15. Bin grad erst drauf aufmerksam geworden.
    „Zugang zu Unmengen an Coppers“. Falsch! Es werden doch auch noch die letzten drei Zeichen des Handbuch-Schlüssels gebraucht.
    (Wobei ich glaub, dass auch das für Hacker kein Problem wär. Obwohl – gibts da nicht die Meldung „Bitte versuchen Sie es später noch einmal“ nach 3-maliger Falscheingabe?)

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s