Hijacking? Unbekannte plündern Diablo-3-Accounts

Update 2 Jirko Alex
470 Kommentare

In den Battlenet-Foren mehren sich seit dem Wochenende Nutzerberichte, wonach die Gegenstände sowie das Gold mehrerer Spielcharaktere gestohlen worden sein sollen. Vermutet wird, dass auch der Serverausfall am Sonntag mit dem Problem in Zusammenhang steht.

Immer wieder berichteten Nutzer in den vergangenen Tagen von anscheinend geplünderten Accounts, die gezielt nach wertvollen Items und Gold durchsucht wurden. Oft wurden dabei High-Level-Charaktere ihrer Ausrüstung beraubt; Spielfiguren mit sehr geringem Level wurden hingegen selten angefasst. Die betroffenen Diablo-3-Spieler berichten auch davon, nach einem solchen Angriff auf den Account unbekannte Freundesanfragen in der Kontaktliste zu haben und/oder in einem Spiel mit einem unbekannten Mitspieler zu sein.

Blizzard selbst hat sich offiziell noch nicht zu den Problemen geäußert, weshalb das Vorgehen noch nicht bestätigt wurde. Glaubt man investigativen Nutzerberichten in den Battlenet-Foren, dann soll es sich um ein Problem mit der Session-ID der Spieler handeln. Diese sei relativ leicht auslesbar, womit Angreifer versuchen können, die laufende Spielsession eines Diablo-3-Spielers zu übernehmen. Dabei versuchen sie den eigentlichen Spieler beispielsweise durch DDoS-Angriffe vom Server zu trennen und seine Session-ID zu übernehmen. Durch dieses Hijacking umgehen sie Authentifikationsabfragen von Blizzard – weder der Battlenet-Login noch ein etwaiger Authenticator-Code würden dabei abgefragt.

Wenn die Täter tatsächlich so vorgehen, dann ist es ratsam, schnellstmöglich einen neuen Verbindungsaufbau zu Diablo 3 herzustellen. Dann nämlich würde eine neue Session-ID für den Account generiert werden, sodass die alte ungültig wäre. Sollten die Angreifer mit DDoS-Angriffen arbeiten – was etwa dann deutlich wird, wenn man nicht nur aus Diablo 3 heraus fliegt sondern auch darüber hinaus schwerlich im Internet surfen kann – sollte man versuchen, den Router neuzustarten. Vergibt der Provider dynamische IP-Adressen, laufen die Angriffe nach einem Routerneustart ins Leere und man kann erneut versuchen, sich in seinen Battlenet-Account einzuloggen.

Mangels einer offiziellen Bestätigung ist nicht klar, ob Blizzard das Problem bekannt ist und an einer Lösung gearbeitet wird. Auch könnte der EU-weite Serverausfall am Sonntag nur zufällig zeitgleich mit den ersten Meldungen zur Account-Plünderung eingetreten sein. Möglich ist aber auch, dass Blizzard versucht hat, dem Problem zu begegnen.

Update

Blizzard hat inzwischen in einem Post in Battlenet-Forum Stellung zu den Meldungen bezogen. Dabei geht der Diablo-Entwickler allerdings nicht auf die angeblich leichte Auslesbarkeit der Session-ID ein, sondern verweist auf die Sicherheitsfeatures, mit denen man seinen Account schützen kann. Die augenscheinlich so zahlreichen Meldungen der vergangenen Tage seien zu erwarten gewesen, so Blizzard, und würden bei jedem Release eines neuen Blizzard-Produktes verstärkt auftreten.

Vielen Dank an unseren Leser Lagerhaus_Jonny für den Hinweis zu diesem Update!

Update

In einem weiteren Battlenet-Posting stellt Blizzard klar, dass man die Vorfälle ernst nehme und alles unternehme um festzustellen, wie die Account-Kompromittierungen zustande kamen. Der Diablo-Entwickler konnte dabei nach eigenen Angaben bisher nicht verifizieren, dass über einen ausgefeilten Hack wie etwa das oben benannte Hijacking Accounts übernommen wurden. Stattdessen seien die Angreifer in den untersuchten Fällen stets an das Passwort der Nutzer gelangt. In einem Fall werde allerdings untersucht, ob auch der Authenticator manipuliert wurde.