Ingame.de: Datenleak oder unerlaubte Weitergabe von Userdaten an Dritte?

[RaiseHell]

Hallo,

habe soeben eine sonderbare e-Mail erhalten:

Subject: World of Warcraft - Account Issue
From: wowaccountadmin@blizzard.com
Reply-To: wowaccountadmin@service-blizzard.com

Greetings!
It has come to our attention that you are trying to sell/trade your personal World of Warcraft account(s).
As you may or may not be aware of, this conflicts with the EULA and Terms of Agreement.
If this proves to be true, your account can and will be disabled. It will be ongoing for further investigation by Blizzard Entertainment's employees.
If you wish to not get your account suspended you should immediately verify your account ownership. If the information is deemed accurate, the investigation will be dropped.
This action is taken because we at Blizzard Entertainment take these sales
quite seriously. We need to confirm you are the original owner of the account.
This is easiest done by confirming your personal information along with concealed information about your account.
You can confirm that you are the original owner of the account by replying to this email with:
Use the following template below to verify your account and information via email.
* First and Surname
* Date of birth
* Address
* Zip code
* Phone number
* Country
* Account e-mail
* Account name
* Account password
* Secret Question and Answer
-Or-
WoW CD-Key
Show * Please enter the correct information
If you ignore this mail your account can and will be closed permanently. Once we verify your account, we will reply to your e-mail informing you that we have dropped the investigation.
We ask you to NOT change password until the investigation is fully completed.
Blizzard Entertainment Inc
Account Administration Teamaa
P.O. Box 18979, Irvine, CA 92623
Regards,
Account Administration Team
Blizzard Entertainment

Da ich noch nie in meinem Leben World of WarCraft gespielt, geschweige denn einen Account verkaufen wollte, wurde ich natürlich stutzig.
Außerdem gehört die Domain service-blizzard.com definitiv nicht zu Blizzard, sondern wurde offenbar irgendwo in China registriert.

Soweit wäre das ja noch nichts Außergewöhnliches.

Besorgniserregend finde ich folgende Tatsache:
Ich lege für jeden Account, den ich irgendwo registriere, eine eigene Mail-Alias an, also zB acc.computerbase@meinedomain.com. So auch mit Ingame.de, wo ich mich mal auf inDiablo.de registriert habe.
Und eben jene e-Mail von oben habe ich an diese Mail-Adresse, also acc.ingame.de@meinedomain.com bekommen. Da ich die Adresse nur für die Registrierung auf inDiablo.de verwendet habe, kann sie auch nur von dort an irgendwelche suspekten Personen weitergegeben worden sein. Ob per Hack oder irgendwie anders, keine Ahnung, aber so sieht man, wie Mail-Adressen in irgendwelchen Spam-Verteilern und bei betrügerischen Personen landen.

Solltet ihr so eine Mail bekommen, auf jeden Fall nicht darauf antworten.

 

[Eagle-PsyX-]

Ich lege für jeden Account, den ich irgendwo registriere, eine eigene Mail-Alias an, also zB acc.computerbase@meinedomain.com.

Sollte ich auch machen, bin aber zu faul dazu^^

Nun, es liegt doch auf der Hand? Ingame.de verkauft Daten an Dritten. Machen SEHR viele noch so große und angesehen Firmen. Ist vermutlich auch in der AGB etc. wasserdicht abgeriegelt. Kannst ja dort den Weiterverkauf von Daten an "Zweiten" untersuchen. Wie wird man "Zweiter"? Einfach ein Stück Papier unterschreiben dem beide Parteien (Ingame.de) + (Spam-Company?) einwilligen.

 

[RaiseHell]

Ja, ich mach das auch erst seit etwa einem Jahr, weil ich einfach neugierig war, woher denn nun der ganze Spam kommt, weil ich eigentlich meine e-Mail Adressen nirgendwo im Internet veröffentliche, entsprechende Bots, die Foren etc. nach Adressen durchforsten, also schon mal wegfallen.

Dass die ingame.de Adresse als erste betroffen ist, ist schon irgendwie traurig und besorgniserregend, immerhin sind über deren Seiten Millionen von Usern registriert.

Ob ingame.de selbst dahintersteckt, indem sie Daten verkaufen, möchte ich nicht beurteilen, da ich es nicht beweisen könnte. Dass heutzutage aber jede Website über eine obligatorische Privacy Policy verfügt, und dennoch der Spam kaum einzudämmen ist, lässt einen nicht komplett naiven Menschen durchaus vermuten, dass hier fleißig Geschäft mit den Daten der User gemacht wird – und die Datenskandale der letzten Zeit, die so aufgeflogen sind, lassen das ebenfalls stark vermuten.

Bin schon "gespannt", was demnächst noch so alles an Spam auf der ingame.de-Alias eintrudelt, jetzt, wo klar ist, dass sie den Sprung in die Weiten des Internets geschafft hat...

 

[Eagle-PsyX-]

Nun, wieso "Datenskandale" wenn es denn alles legal zugeht? Das ist ja das miese dabei.
Skandale sind es nur, weil die Leute davor zu naiv oder blind waren die AGB/Haftungsaussschluß etc. zu lesen.

Da ich gerade auch eine AGB schreibe weiß ich, was das betrifft, von was ich rede.

Was du jetzt machen solltest, wäre dich bei denen im Forum melden und über an "Support"ler melden. Vielleicht bringst du uns etwas Licht dahinter.

Aus reiner neugier überlege ich mir gerade, dort auch einen Benutzernamen mit einer eigens dafür erstelle Email Adresse zu erstellen. Meine "Domain"-Palette ist eh vielfältig genug (glaube ich muss ~7 Domains bezahlen), so dass ich eigentlich gleich mehrere Emails machen könnte um zu sehen was damit passiert.
Nehmen wir mal an, dass in kürzester Zeit auf alle Addys Spam kommt, dann können wir von einem Datenverkauf ausgehen. Wenn es gehackt wurde, dann sicher nicht regelmässige x-D

Ergänzung:
Zudem fällt mir auf: Die Werbung ist sehr zielorientiert auf die Zielgruppe von Ingame.de-User. Oder bekommst du auch Viagra-Spam auf die Email?

 

[RaiseHell]

Ja, hab mir auch überlegt, mich mal direkt an ingame.de zu wenden, was die dazu sagen. Hatte bisher leider nicht die Zeit dafür, bzw. war gestern auch lange Zeit ingame.de wegen Serverumzugs nicht erreichbar.

Desweiteren könnte es durchaus sein, dass die Mail-Adressen durch einen Hack nach außen gedrungen sind. Im Forum von inDiablo.de hab ich einen entsprechenden Thread gefunden, aus dem hervorgeht, dass am 29. Oktober die Seite gehacked wurde. Möglicherweise steht das also im Zusammenhang damit.

Dass die Mail sehr zielgruppenorientiert war, ist mir auch gleich aufgefallen, und nein, von dieser einen Mail abgesehen hab ich bisher keinen Spam bekommen.


Edit:
So, hab im inDiablo-Forum mal ein Kommentar verfasst. Mal sehen, was da kommt.

 

[Eagle-PsyX-]

Hmm interessante Antwort.
Doch wenn du die Email Adresse wirklich NUR an alle "ingame.de"-Seiten (intern) weitergegeben hast/wurde. Dann wurden hier eindeutig Daten geklaut. Vielleicht solltest du das nochmal explizit(er) erwähnen.

 

[RaiseHell]

Hab ich gerade.

 

[Eagle-PsyX-]

Mir kommt's so vor als ob die nur ablenken möchten.

Benutzt du Outlook Express oder noch besser Thunderbird mit SSL-Übertragung? Oder wie rufst du eine Emails ab?

Und klar das sich nicht viele User gemeldet haben, die wenigsten haben einen eigenen Server und seperate Email Konten => die meisten bekommen eh Spam auf irgendeine Art.

 

[RaiseHell]

Ja, immer aktuellste Version von Thunderbird über SSL-Verbindung. Ich hab in einem weiteren Kommentar jetzt auch etwas detaillierter erklärt, dass zB mein eigener PC unmöglich das Leck sein kann.

Zu deinem letzten Satz:
Exakt mein Gedanke, hab ich ebenfalls in meinem letzten Kommentar im ingame.de-Forum einfließen lassen.

Zumindest reagieren sie auf die Kommentare und wirken nicht unbemüht, die Sache zu klären. Dass sie natürlich erstmal die Ursache wo anders suchen, das hätte man sich fast denken können. Keine Community mit zig-tausenden Usern gibt gerne zu, dass deren Daten in die Hände von Hacker/Spammer gelangt sind.

Finde es aber schon auch seltsam, dass man die Variante mit dem Hack als eher unwahrscheinlich einstuft, wo doch auf dem Screenshot eindeutig ein Root-Access sichtbar ist... Ich mein, ich kenn mich mit Linux kaum aus, aber was Root heißt, das weiß ich grade noch, auch wenn ich natürlich die Server-Architektur von ingame.de nicht kenne und daher auch nicht beurteilen kann, auf welche Server und auf welche Daten der/die Hacker Zugriff hatten.

 

[firexs]

Du hast ne eigene Domain und bekommst dort Spam-emails ? würd mich nicht wundern. bekomme täglich die skurrilsten emails mit genauen daten, zb mit der anrede. und das nur, weil ich eine registrierte website habe. am anfang war es sogar so, das man nur beliebigertext@meinedomain.de als emailadresse nehmen brauchte und sie direkt an meine weitergeleitet wurde.

lg fire

 

[RaiseHell]

Ja, ich hab eine eigene Domain, allerdings eine mit Domain Privacy, man kann also keinerlei Daten über mich in Erfahrung bringen, schon gar nicht die korrekte Anrede etc.

Des weiteren habe ich bis jetzt noch kein einziges Spam auf meine Domain erhalten, dieses WoW-Phishing Mail hatte somit Premiere.

beliebigertext@meinedomain.de war eines der ersten Dinge, die ich deaktiviert hab, es werden also nur Mails zugestellt, die an eine wirklich existierende Adresse gesendet werden, und wie in diesem Fall eben eine explizit für meinen ingame.de-Account angelegte Adresse.

 

[Eagle-PsyX-]

In irgendeiner Form wirst diese E-Mail aber angegeben haben. Sei es auf deiner Seite oder sonstwo.

Ich besitzte nähmlich ca. 5-7 aktive Konten (von support, admin, webmaster ...) auf jeweils 4 Domains. Und bekomme NUR über eine wenn überhaupt Spam, die in einem PHP-Konakt-Formular steht.

Ergänzung:
Also im allgemeinen verhalten die sich dort, bzw. Nai sehr korrekt. Eins scheint aber immer wieder übersehen worden zu sein: Wieso melden sich überhaupt User dort mit dem Problem? Da reicht schon einer aus

 

[RaiseHell]

Ja, einerseits verhält man sich dort kooperativer, als man das sonst so von manch einer Community/Website gewöhnt is.

Andererseits muss ich schon auch sagen, dass man mit dieser "nur keine Panik verursachen" Taktik teilweise auch fahrlässig handelt. Man versucht zwar, sich die Sache schönzureden, schließt gleichzeitig aber nicht aus, dass es rein technisch möglich ist, dass bei dem Hack Userdaten gestohlen wurden. Da stellt sich doch auch gleichzeitig die Frage, was für Daten – außer e-Mail Adressen – sonst noch dabei waren. Eventuell Passwörter?

Man sieht in den ingame.de Foren ja auch kaum Threads über den Hack, das behandelt man sehr stillschweigend, und offizielle News darüber findet man auf ingame.de erst gar nicht. Man sollte zumindest mal die User informieren, dass bei dem Hack eventuell Daten gestohlen wurden, und man sicherheitshalber mal das Passwort ändern sollte.