Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 74, views: 30.619 •
Submitter: Thymon

Blizzard maakt bekend dat er ingebroken is in de servers waarop Battle.net draait, de portal die spelers toegang geeft tot games als Diablo III, World of Warcraft en StarCraft II. Er zijn e-mailadressen en wachtwoorden buit gemaakt.

Blizzard Entertainment logo (über)Directeur Mike Morhaime heeft een boodschap geplaatst op de website van Blizzard om uit te leggen dat er is ingebroken op de Noord-Amerikaanse servers van Battle.net. Bij de inbraak zijn inloggegevens voor Battle.net buit gemaakt. Zo is een lijst met e-mailadressen ontvreemd en hebben de inbrekers inzage gehad in de antwoorden op de beveiligingsvraag die spelers op kunnen geven. Verder zijn gegevens van Blizzards eigen Mobile and Dial-In Authenticator buit gemaakt. Ook zijn wachtwoorden die Amerikaanse spelers gebruiken om bij Battle.net in te loggen buit gemaakt, al gaat het daarbij om versleutelde wachtwoorden.

Volgens Morhaime gebruikt Blizzard het secure remote password protocol, wat ervoor zorgt dat de inbrekers elk wachtwoord apart zouden moeten ontcijferen. De studio denkt dan ook dat de inbrekers met de gestolen gegevens geen toegang kunnen krijgen tot de Battle.net-accounts van Noord-Amerikaanse spelers, al raadt Morhaime deze gebruikers wel aan om hun wachtwoord te veranderen. De studio vraagt ook om het antwoord op de beveiligingsvraag te veranderen, al zal het Amerikaanse spelers daarvoor zelf in de komende dagen benaderen. Volgens Morhaime is het gat in de beveiliging van Battle.net inmiddels gedicht en probeert het de inbrekers op te sporen.

In mei was er ook al melding van een inbraak bij Battle.net. Die was volgens de studio vals. Het ging daarbij niet om een inbraak bij Blizzard, maar om inbraken bij individuele spelers.

Reacties (74)

Voor de mensen die beveiligd zijn met een Battle.net Authenticator zijn voor alsnog veilig, aangezien je met wachtwoord altijd een gegenereerde cijferreeks dient in te voeren. Toch voor de zekerheid wachtwoord maar veranderen dan!

Off-topic: Typfoutje in de titel! ;)
For players on North American servers (which generally includes players from North America, Latin America, Australia, New Zealand, and Southeast Asia) the answer to the personal security question, and information relating to Mobile and Dial-In Authenticators were also accessed. Based on what we currently know, this information alone is NOT enough for anyone to gain access to Battle.net accounts.

Bron: http://eu.blizzard.com/en...p;utm_content=left-banner
Dit geldt dan lijkt me alleen voor de fysieke Authenticators. De random gegenereerde code op bijvoorbeeld een iDevice of een Android toestel is zeer eenvoudig te repliceren op het moment dat je de benodigde Serial en Restore code hebt.

Ik denk dat het voor deze spelers misschien voorzichtigheidhalve wel de moeite waard is om hun authenticator los te kopelen, onder 'help' een nieuw serienummer te laten kiezen en deze opnieuw te koppelen.
Denk dat je daar behoorlijk naast zit.

Immers, wat denk je dat die 'hardware' authenticator doet? Ja, bij de telefoon versies kun je zelf de code waarop hij de generatie van je OTP baseerd invoeren. O.a. voor recovery na problemen met je telefoon. Die hardware generator gebruikt echter ook zo'n code, alleen kun je die niet wijzigen.

Als je aan de server kant dus die codes weet te achterhalen en je weet die in te voeren in de applicatie, genereert hij vervolgens dezelfde codes.

En nu komt de crux, op je hardware token kun je de code niet vervangen. Dus mag je hem vervangen. Op je telefoon genereer je gewoon een nieuwe basis code (eerst authenticator verwijderen van je account, nieuwe code genereren (de basis code waarop hij OTP passwords genereert dus, geen nieuwe OTP) en opnieuw aan je account hangen.
Voor de mensen die beveiligd zijn met een Battle.net Authenticator zijn voor alsnog veilig, aangezien je met wachtwoord altijd een gegenereerde cijferreeks dient in te voeren. Toch voor de zekerheid wachtwoord maar veranderen dan!
In de tekst staat juist dat ook die gegevens buit gemaakt zijn. In het geval dat de inbrekers het algoritme weten, kunnen ze dus in feite n het kraken van het wachtwoord (mits deze niet gewijzigd is!) gewoon inloggen op dat account.
zie zijn helemaal niet veilig.

meer dan de helft van ale mensen gebruikt voor hun mail voor paypall voor facebook allemaal hetzelfde password als je je mail adres kwijt ben en vervolgen je facebook kwijt ben en mensen je bankrekening om zeep helpen met je paypall account denk ik dat je toch echt een probleem heb.
"De studio vraagt ook om het antwoord op de beveiligingsvraag te veranderen"

Lekker handig bij vragen als:
"Wat is de naam van jouw moeder"
"Wat is jouw geboortedatum"
Sowieso vind ik die vragen altijd bullshit en er zijn teveel sites waar ze verplicht zijn. Ik ram maar gewoon een paar keer willekeurig op mijn toetsenbord als ik verplicht zo'n vraag / antwoord moet invullen, ik heb daar echt geen zin in en het is een groot beveiligingsrisico. Wie dat ooit verzonnen heeft...
Totdat je zelf je wachtwoord niet meer weet en je op geen enkele manier je account kan herstellen omdat je willekeurig op je toetsenbord hebt zitten slaan! ;)

Het kan een goede beveiliging zijn, maar veel vragen zijn te makkelijk te achterhalen. Daarom zouden meerdere vragen een oplossing kunnen bieden, in de vorm van een verificatie via SMS of e-mail.
Je kunt gewoon bellen en je CD key en laatste vier cijfers van je credit card nummer doorgeven.
Je kunt gewoon bellen idd.

Met m'n CD key en laatste 4 cijfers kwam ik er echter nooit hoor. Moest altijd nog een kopietje van m'n identificatie mailen.

En geheime vragen zijn bullshit in de meeste gevallen omdat ze te voorspelbaar zijn. Mits je ze naar waarheid beantwoord.

Mijn antwoord is overal anders. Zo kan de naam van m'n moeder bijv:

HMlcFP0GrbIADNdn3GN2JNKCRlykxUZfdu7IPMqvVOpsUtv2o

bewaar die antwoorden netjes in m'n keepass bestandje en kan ze dus ook doorgeven. Gek genoeg vertrouwen alle helpdesk medewerkers me al na of:
a) Mijn antwoord is een hoop random crap, wil je het weten? (<- heel erg slecht); of
b) na de eerste 12 karakters ofzo ;) (al stukken beter)
Een kopie maken/opsturen van je identificatie moet je goed mee oppassen, het is namelijk in de meeste gevallen verboden.

http://www.cbpweb.nl/down...pie-identiteitsbewijs.pdf

[Reactie gewijzigd door 96284 op 10 augustus 2012 15:21]

Het is niet verboden voor jou, maar de ander zou er eigenlijk niet om mogen vragen.

In dit geval echter uiteraard wel. Juist omdat de persoonsgegevens bevestigd moeten worden. Men vraagt dan vaak ook een hantekening erbij te zetten, zodat je ook kun kunt aantonen dat je niet ook de pas gestolen hebt. Nog meer paranoide? Kan, dan vraag je een 'notarised' kopie, en moet je in NL bijvoorbeeld langs het gemeentehuis zodat men terplekke controleert of jij wel jij bent, en moet je terplekke tekenen.
9 van de 10 keer is de wachtwoord vergeten optie genoeg.
Dat deed ik vroeger ook altijd bij zulk soort geheime vragen altijd als antwoord iets van "jafgvkajfvbjabfv" in te vullen.
Maar dat heeft me de laatste tijd aardig opgebroken.

Niet omdat ik mijn wachtwoorden was vergeten maar om andere redenen zoals extra beveiliging ineens.
Zo heb ik al een kopie paspoort naar blizzard moeten sturen om mijn gebruikersnaam aan te passen en paypal kwam ook eens langs met een controle check waarbij ook geheime vragen werden gebruikt.

Ik zag het vroeger altijd als een makkelijke manier om een bekende te hacken, maar tegenwoordig vul ik ook normaal het geheime antwoord in.
De laatste maand al met Paypal en Blizzard aan de telefoon gehangen puur om het geheime antwoord.
Je kan ook gewoon de eerste vraag kiezen en een antwoord gebruiken die alleen jij weet en nergens op slaat.

hoe heet je moeder?
appeltaart

Wat voor ras is je hond?
appeltaart

Wat voor kleur is je auto?
appeltaart

het valt niet te raden, maar het is doodsimpel te onthouden.
Ik vul altijd iets in wat niet direct een antwoord op de vraag is maar juist een ander antwoord. Wel iets wat je onthoud als je ooit die vraag moet beantwoorden natuurlijk :)
Dit doe ik dus ook. Het is voor mensen nogal moeilijk om te raden waar mijn moeder geboren is als het antwoord gebaseerd is op een ingredient wat je terug kunt vinden in ... zeg maar wat ... Cola? :)
mja na 8 jaar weet ik het antwoord op mijn vraag ook echt niet meer. Ik geloof dat het iets met een huisdier naam was :P
voor mij is het 1 van mijn huisdieren die ik ooit gehad heb :P enige die dat nog weet is mijn vader. Maar het is iets wat zelfs mijn beste vrienden never nooit zullen raden :P en gezien mijn pa ook een ITer is van de oude garde en zo paranoia als het maar kan als het om beveiliging gaat. weet ik wel dat niemand er ooit achter zal komen :D
Hmmm. "repelsteeltje" toevallig? :o
En niemand wint ooit de loterij en de naam van Repelsteeltje is ook nooit boven gekomen.

Assumption is the mother of all fuck-ups.
Als jij om een of andere reden toegang tot je account kwijtraakt, kan je Blizzard gaan bellen en wat ze daar vragen is antwoord op je geheime vraag. Die weet je dan dus niet meer.
Tsja, ik vergeet gewoon mijn wachtwoord niet. En mocht het toch zo ver komen heb ik legio manieren om aan te tonen dat ik het spel echt gekocht heb en dat het mijn account is.
Ik word ook zelden warm van die beveiligingsvragen.

Zou het niet handiger zijn daar je eigen vraag te bedenken?
Er zijn ook games waar je ook je eigen vraag kan verzinnen, dat werkt idd een stuk beter en is veel veiliger
"In the coming days, we'll be prompting players on North American servers to change their secret questions and answers through an automated process."

Morhaime vraagt daarom ook dat je de vragen verandert ;)
"Zo is een lijst met e-mailadressen ontvreemd ..."

3x Raden waar de aanvallers hun phishing mails op gaan baseren..
Je bent ook niet zo slim als je als antwoord op die vragen daadwerkelijk de naam van je moeder / je geboortedatum als correct antwoord hebt opgegeven.

Bij dergelijke vragen gebruik ik altijd hetzelfde antwoord. Dus bijvoorbeeld: Wat is de naam van jouw moeder? Antwoord: lalalala01
Wat is je geboortedatum? Antwoord: lalala01

Zo weet ongeacht wat de vraag is altijd het juiste antwoord, zonder dat voor bekenden oid te raden valt.
Je bent ook niet zo slim als je denkt dat iedereen die logica ook zo maar volgt, niet iedereen "ziet" dat, snap je.
En als iemand dus 1 keer dit antwoord weet, ben je flink de sjaak bij andere accounts. Volgens mij ga je op deze manier compleet voorbij aan het nut van security questions.

Klinkt mij in de oren als overal hetzelfde wachtwoord gebruiken.
Als je braaf altijd ook effectief de naam van je moeder opgeeft, ben ook ook de sigaar.
altijd lalala01 is dus nog steeds veiliger dan effectief de vragen beantwoorden.
Je omzeilt het social hacken op die manier alvast.
ja als ze het weten ban je meer kwetsbaar, maar de hindernissen zijn moeilijker.
Mja ook niet helemaal waar. Voor social hacking van iemand die jou kent wel.

Echter voor een hacker ben jij nick freaky bijv, vaak hebben ze de persoonlijke gegevens niet. Dan valt het niet mee te achterhalen wie je mama is.
Ja, als er dan 1 site gekraakt wordt dan heb je hetzelfde probleem. Er kan dan op elke server met lalalal01 in worden gelogd.
Correctie een password reset worden gedaan met lalalal01...
Oke, true. Even niet aan gedacht. Maar dan zou het ook niet erg zijn als je moeder/kat weten. Toch?
Error in syntax date of birth (of zoiets). Waarom zou daar geen kleine beveiliging op zitten?
Als je dat serieus als secret question/answer hebt dan zul jij de laatste zijn die het recht heeft om te klagen.
"De studio vraagt ook om het antwoord op de beveiligingsvraag te veranderen"

Lekker handig bij vragen als:
"Wat is de naam van jouw moeder"
"Wat is jouw geboortedatum"
Er staat niet op de pagina dat je de antwoorden naar eer en geweten moet invullen. :)
Dat hoeft toch geen probleem te zijn, tenzij je een massavolger ben (zoals de meeste mensen op deze aardkloot), ik vul soms ook mijn moeder in onder een andere naam dan men denkt b.v |Harr-rr3-3ta-6bombe], dat is gewoon de naam van mijn moeder :)
naja zoals ik het goed lees, hoeven wij de europeanen niks te doen, dit kan ik lezen:

Some data was illegally accessed, including a list of email addresses for global Battle.net users, outside of China. For players on North American servers (which generally includes players from North America, Latin America, Australia, New Zealand, and Southeast Asia)

(staat zelf op de site van hun, dus wij hoeven hier niet druk om te maken :)
Correct. De Battle.net servers in America staan totaal los van die van ons in Europa. Zodra Blizzard US lucht kreeg van de inbraak hebben ze wellicht hun dochter bedrijf in Europa direct ingelicht en het lek gedicht. Mochten ze dit niet hebben gedaan, dan merken we dat vanzelf :+

Om deze reden ga ik ook geen stappen ondernemen. Ik zit toch aan een authenticator vast, dus aan mijn wachtwoord alleen hebben ze toch niets.
flauwekul, wat je zegt.

Veel europese spelers hebben in verleden ook wel account of iets anders op de us.battlenet gehad voor wat voor spel dan ook, of zelfs voor us forum toegang.

Als deze mensen nog zelfde emailadressen hebben, ook al spelen ze nu op de eu servers, betekent dat nog keihard, dat 50 percent van de login bescherming nu weg is.
50 percent is namelijk je loginnaam, de andere 50 percent is je paswoord.
Goh en wat dom van blizzard, maar je moet je emailadres als login gebruiken.......

Dat blizzard zelf ooit spelers gedwongen heeft om email als login te moeten gebruiken, heb ik nooit begrepen, das gewoon vragen om extra moeilijkheden en het maakt de beveiliging gewoon een stuk slechter, dan als een persoon, zelf loginnaam kan kiezen.
Dat is dan ook niet nodig.

Bij mij is mijn email en loggin bijvoorbeeld niet gelijk.

Dat de default zo is is overigens wel waar, en dat de meesten het niet veranderen (of niet weten dat ze het kunnen veranderen :) ) is natuurlijk wel een dikke min.
Durf jij die gok te nemen? Ik zou het zekere voor het onzekere nemen en alsnog mn password ff wijzigen.
er word hier denk ik niks gevraagt aan ons hoor, het is alleen eerder laten weten o.O
vervolgens staat er iets van dit: e recommend that players on North American servers change their password.

dus er word niks over europa gezecht :O
Ik werd anders wel vriendelijk verzocht om mijn PW te wijzigen toen ik zonet inlogde op mijn battle net account.
Altijd knap dat ze PRECIES weten wat er wel en niet ontvreemd is. Blijkbaar wordt er heel veel gelogd, waarvan men dan blijkbaar ook nog zeker is dat die logs wel secure zijn?
Zouden ze niet gewoon alleen kunnen weten wat er op de gehackte servers staat en er veiligheidshalve vanuit gaan dat alles daarop gecompromitteerd is? Dan hoeven ze dus alleen te achterhalen welke servers gehackt zijn.
Logischerwijs is er onderscheid tussen bepaalde functies van het gehele battlenet systeem:
- de gegevens zoals login gegevens met hun geheime vragen
- payment info
- ingame info (chars, items etc).

En logs? Ik ben geen expert maar denk je nu dat er een log.txt staat met daarin een apart IP adres oid? Sorry, maar er zijn zoveel manieren om te zien of je systeem gehacked is, dat kan zelfs op netwerk niveau zoals routers e.d.
Gelukkig draait battle.net niet op n systeem en bestaat het uit meerdere systemen. Als mensen erachter komen dat een hacker op n systeem gekomen is dan is het vaak wel simpel om een optelsom te maken. Gegevens op server waar hacker geweest is + eventuele systemen die daar mee communiceren = vermoedelijke gegevens waarbij hacker gekomen is.

Vaak is het natuurlijk gissen. Ik vind het altijd knap dat ze een hacker zo diep in het systeem kunnen vinden. De hacker zal dan toch iets fout hebben gedaan wat de aandacht van Blizzard heeft gekregen.
Battle.net is al lange tijd onveilig.
Laat Blizzard maar eens uitleggen hoe het kan dat frozen WoW accounts worden gehacked. Ik kwam er toevallig achter dat mijn account wat eind februari was gestopt in afwachting om eventueel bij de Panda's weer verder te gaan en ondanks dat ik na februari zelf niet meer in kon loggen is het de een of andere Chinees wel gelukt en is alle verkoopbare gear verdwenen en ik heb opeens een hunter met Chinese naam.

Heb een mail naar Blizzard gestuurd met de vraag hoe dit kan maar uiteraard nooit antwoord gehad. En als je gaat kijken via google blijk ik niet de enige te zijn en is dit al veel langer aan de gang. Lastig voor Blizzard natuurlijk om toe te geven dat Battle.net lek is als een mandje maar na deze hack op de Amerikaanse servers konden ze er blijkbaar niet meer onderuit.
tja aan de ene kant heb je wel gelijk.
Heb ooit WoW gespeeld, kreeg toen na een paar maanden opeens spam mails van blizzard of ik mijn account kon verifiren en soortgelijke mails.
Voorheen had ik dat nooit gehad.

Laatst heb ik Diablo 3 aangeschaft (of eigenlijk vanaf het begin) gebruik makend van een nieuw email adres. Nu krijg ik opeens specifiek D3 emails betreft mijn account.

Toch wel apart dat ik zo specifiek "spam" mails krijg? :)
Ja die krijg ik ook, maar niet op mijn mail adres wat bij blizzard bekend is. alleen op mail accounts die ik gebruik om te registreren bij forums etc.

Als battle.net echt zo lek als een mandje was zouden er echt wel vele malen meer meldingen zijn dan dat er nu zijn hoor.

99% van de zogenaamde hacks zijn gewoon user error.
Maar leg mij dan eens uit hoe het kan dat als je gametime in februari verloopt een ander in mei gewoon op mijn account in kan loggen. Of is er een legale manier om zonder subscrition gewoon door te blijven spelen in WoW? Dat is mij in ieder geval nooit gelukt.
Als ze toegang hebben tot jouw account kunnen ze ook gewoon gametime toevoegen.

En waarom ze gametime toevoegen aan een hacked account, nou farmers hebben meer aan een kant en klaar lvl 85 dan dat ze een nieuw account moeten kopen en levellen.
de winst zit hem in het niet hoeven levellen van het account, maar gewoon meteen kunnen farmen op max lvl gebieden.
Als je een aantal maand afwezig bent geweest in WoW, kan je met een scroll of resurection "gratis" een aantal dagen/weken spelen.
Er nog geen enkele account met authenticator gekraakt, dat "hacken" waar jij het over hebt komt omdat de gegevens via een externe bron zijn uitgelekt (lees: de gebruiker zelf), hetzelfde geld voor diablo3

[Reactie gewijzigd door blouweKip op 10 augustus 2012 11:27]

Heel simpel, zoals 99% van de hacks van Battle.net accounts: Jouw PC bevat spyware en andere troep of je hebt ooit ingelogd op een PC van een vriend, openbare PC, etc met die troep erop.

Nee, uiteraard die van jou niet. Maar dat is het doorgaans toch O-)

[Reactie gewijzigd door Armin op 10 augustus 2012 23:16]

Ik ben benieuwd hoeveel van die mensen dan ook daadwerkelijk ingaat op die emails van blizzard dat hun account compromised is. ik krijg persoonlijk ook een stuk of 7 van die mails per dag dus zou me kunnen voorstellen dat er mensen zijn die denken dat het weer zon phishing bericht is
Waarschijnlijk ga je hier wel iets van tegenkomen in de launcher van bijv WoW, wat wel wat meer aandacht trekt dan een emailtje. Als ik vanuit de launcher geredirect werd naar eu.battle.net (zou dit ooit bij ons gebeuren), dan neem ik dit toch wel serieus.
possible maar niet iedereen start via de launcher op.
als ik wow speel dan start ik hem direct op en niet via launcher.
Maakt niet uit.

Als je bijvoorbeeld niet betaald hebt, wordt je ook automatisch na inloggen doorverwezen.

Zelfde als je account gelocked is om wat voor reden.

Zoiets zal het nu ook wel zijn.
Er zijn zeer veel succesvolle inbraken op verscheidene servers de laatste tijd.. en niet die van de minste bedrijven. Of is dit een foute constatering? Zo niet, waar kan je dat mee verklaren?

[Reactie gewijzigd door Vibonacci op 10 augustus 2012 10:03]

Dat heeft meer te maken met de awareness van het grote publiek de laatste tijd. Vroeger werd er heus evenveel data gestolen maar de bedrijven staken dat allemaal weg. Nu het publiek van meer op de hoogte is (Stuxnet ed) van de donkere kant van het internet is het ook moeilijker om te zeggen "je moet je paswoord wijzigen want wij zijn met jou begaan kuch".

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013