Blizzard over de beveiliging van World of Warcraft

Algoritme tegen accountdiefstal

Tijdens de laatste BlizzCon liet Blizzard wat kleine details los over de beveiliging van het nog steeds ongekend populaire World of Warcraft. De korte opmerkingen die de ontwikkelaar erover maakte, riepen echter meer vragen op dan dat ze antwoorden gaven. Tweakers.net wil natuurlijk wel volledig op de hoogte zijn, dus hebben we alsnog een aantal vragen aan de ontwikkelaar voorgelegd. Rob Bridenbecker, als vice president of online technologies belast met de beveiliging van het spel, reageert namens de studio.

Tijdens BlizzCon 2010 vertelde je dat jullie op basis van een analyse van de speelstijl van de account-houder kunnen voorspellen of een account is gehackt. Als iemand anders met de characters van dat account zou spelen, zouden jullie dat merken doordat de hacker een andere stijl van spelen heeft. Kun je vertellen hoe dat werkt? Wat voor informatie verzamelen jullie om diefstal van een account te voorspellen?
We verzamelen niet meer data dan nodig is om ervoor te zorgen dat spelers van onze games kunnen genieten. Daar zit informatie bij die nodig is om de verbinding in stand te houden tussen onze servers en de client. Denk bijvoorbeeld aan de locatie vanwaar je een verbinding maakt en het tijdstip waarop je speelt. Daarnaast verzamelen we nog in-game data. We hebben een algoritme dat we op een deel van die data loslaten en daar rolt een score uit die ons helpt te bepalen of de persoon die speelt ook echt de persoon is die hij of zij beweert te zijn. Als we vermoeden dat het account is gehackt, kunnen we het proactief op slot gooien, al bieden we de rechtmatige accounthouder een eenvoudige manier om de status te resetten. Als we het echter bij het rechte eind hadden, hebben we zo in ieder geval voorkomen dat er schade is toegebracht aan een account. Als we fout zitten, heeft de accounthouder daar nauwelijks hinder van en herinneren we hem of haar bovendien aan het belang van de beveiliging van een account. In dat geval zal ons algoritme van de fout leren, zodat de inschatting in de toekomst alleen maar nauwkeuriger wordt.

Hoeveel informatie hebben jullie van de speler en van de hacker nodig om een vermoeden van account-diefstal te hebben? En hoeveel tijd is daarvoor nodig? Tijd lijkt ons cruciaal hierbij.
Ik kan helaas niet loslaten hoe we het profiel van een speler samenstellen. Tijd en locatie zijn echter enkele elementen die ons helpen te bepalen wat legitieme speelpatronen zijn. Om een voorbeeld te geven: als op een account historisch gezien steeds 's avonds vanuit Nederland is ingelogd en er wordt opeens vanuit een ander land op een andere tijd ingelogd, gaat bij ons een rode vlag omhoog. De data die we gebruiken in dit proces bestaat uit gegevens die ofwel nodig zijn om het spel te spelen, ofwel om de verbinding met de server te behouden.

Hebben jullie het systeem getest? Hoe zeker zijn jullie ervan dat de voorspelling klopt?
We hebben het systeem in eerste instantie in een soort read-only-modus laten draaien, waarbij geen actie werd ondernomen maar enkel scores zijn gegenereerd om de mate van succes te bepalen. Dat leverde uiteindelijk een aanvaardbaar foutpercentage op. Sindsdien houden we naast de data die we uit het systeem halen ook de berichten in de gaten die we van spelers krijgen. Zo kunnen we maximale veiligheid bieden en bezorgen we rechtmatige spelers tegelijkertijd zo min mogelijk overlast.

Tijdens de BlizzCon vertelde je dat jullie een e-mail of wellicht zelfs een sms zouden sturen aan de accounthouder, om te vragen of er iets ongebruikelijks is gebeurd met zijn of haar account. Is zoiets al ingevoerd of is het slechts een voorbeeld van wat er mogelijk is?
Als we accountdiefstal vermoeden, sluiten het account tijdelijk af en sturen we een e-mail naar de eigenaar ervan. Alle volgende inlogpogingen worden geblokkeerd tot de eigenaar de handelingen heeft verricht die in de e-mail uiteen worden gezet. We denken na over aanvullende maatregelen, zoals het versturen van een sms, maar daar maken we nu nog geen gebruik van.

Is het systeem verwant aan het Warden-programma dat tegelijk met World of Warcraft wordt geïnstalleerd? Of is het een server-side programma?
Dit systeem draait volledig op onze eigen servers en heeft niets met Warden te maken.

Net als bij Warden zijn er wellicht mensen die het verzamelen van dergelijke data een inbreuk vinden op hun privacy. Overwegen jullie om het systeem een vrijwillig karakter te geven?
Zoals ik al aangaf, verzamelen we alleen data die nodig is om de game speelbaar te houden. We zijn blij dat we een passief systeem hebben dat een extra beveiligingslaag over de authenticator legt. De reacties die we tot nu toe van spelers hebben gekregen zijn buitengewoon positief. Ze zijn vooral blij dat we een actievere rol spelen bij de beveiliging van hun account.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Lees meer

Reacties (63)

Poops_McGhee
22 april 2011 20:41

Na 6 jaar WoW hebben ze het nog steeds niet geheel onder controle. Betere account beveiliging heeft wellicht tot wat vermindering van account hacks geleidt, maar het zal nooit stoppen. Waarom niet? Omdat er nog steeds sukkels genoeg zijn die zich makkelijk laten overhalen om met goldsellers in zee te gaan. Of mensen die helemaal geen zin hebben om zelf een char te levelen en dan maar een account kant en klaar te kopen, niet nadenkend over het feit dat het account 9 van de 10 keer van een ander is gestolen, of dat het in een later stadium gewoon weer van hun wordt gestolen. Nee, de grote jongen in Azeroth uithangen omdat het IRL niet lukt is veel belangrijker. Zolang de goldsellers een reden hebben om in de game te blijven, de sukkels die alles bij ze komen kopen, zal de goedwillende speler zich altijd bewust moeten blijven dat hij/zij gehacked kan worden. De onderlinge handel in goodies is natuurlijk fantastisch. Auction House is een echt een heel goede aanvulling op de game, maar het brengt, net zoals in RL, wel weer crime met zich mee. En met de verschillende crafting profs waar het verzamelen van mats weer cruciaal voor is heb je natuurlijk ook genoeg van die eppo's rondlopen die herbalism/mining doen, puur alleen maar voor de verkoop. Kan heel goed, natuurlijk, maar het brengt wel de nodige risico's met zich mee.
Gelukkig kunnen ze goed je gear en andere items retrieven indien je gehacked bent, maar eigenlijk zouden ze daar geen inspanning op hoeven te leveren. Je account, waar je jaarlijks zo'n 140 euro voor neertelt mag toch wel wat beter bewaakt worden.
Blizzard heeft nooit echt hard gevochten tegen de goldsellers. Na een jaar of 4 spelen kwamen ze pas met de oplossing om chars onder lvl 10 en trial accounts de mogelijkheid tot /w af te nemen. Zo kon de betalende speler met een iets geruster hart doorspelen, zonder om de minuut een goldseller spam in de chatbox te krijgen. Wat een oplossing....
Bestrijdt de goldseller, verlaag de behoefte om illegale G's te kopen en je bent een stuk verder. Daarmee hoeft Blizz echt de gameplay niet te schaden.

[Reactie gewijzigd door Poops_McGhee op 22 april 2011 20:43]

kamerplant
27 maart 2011 10:38

Interessant. Facebook heeft al een tijd een soort gelijke beveiliging. Zodra je inlogt vanuit een ander land worden een aantal veiligheidsvragen gesteld. Mocht je vaak in verschillende landen komen, dan heeft Facebook door dat dit kennelijk normaal gedrag is voor de betreffende persoon en houdt op met het stellen van vragen bij een veranderde locatie. Dit is vast niet de ultieme oplossing, maar het zorgt effectief voor een extra security laag.

pagani
@kamerplant • 27 maart 2011 10:55

Interessant. Ik switch regelmatig van land maar heb deze extra vragen nooit gehad.

D.oomah
@pagani • 28 maart 2011 10:20

Nou wees blij. Ik heb ze wel gehad en het zijn niet de makkelijkste vragen. Krijg je foto's te zien van iemand en dan vragen als: hoe oud is deze persoon, waar werkt deze peraoon, ect. Moet je er 4 van de 5 goed hebben. Alsof ik van al mijn vrienden exact weet wat ze doen, mensen die ik 5 jaar geleden op vakantie heb ontmoet staan er ook nog tussen.

Dan vind ik een simpele code wel makkelijker.

Auteur+1

Paul Hulsebosch
@pagani • 28 maart 2011 11:14

Ik kreeg wel een vraag van Blizzard, al toen op een andere locatie binnen Nederland speelde... Rift werkt trouwens met een vergelijkbare beveiliging (die nog vaker aanslaat).

[Reactie gewijzigd door Paul Hulsebosch op 28 maart 2011 11:15]

KooolaNL
@kamerplant • 27 maart 2011 11:24

Steam heeft sinds begin deze maand ook een extra beveiliging die checked van waaruit je verbinding maakt met je steam account,ik zat voor werk in belgie met mijn laptop + steam
toen ik bij thuiskomst op mijn pc wou inloggen moest ik een extra beveiligingscode invoeren die onderweg was naar mijn email adres die bij steam bekent stond
deze beveiliging werkt alleen als je jou email al (geverifieerd hebt)

http://tweakers.net/nieuw...beveiliging-accounts.html

YopY

Gameontwikkeling

@kamerplant • 28 maart 2011 17:01

Dat had ik wel, toen ik vanuit Finland inlogde. Echter alleen via de PC in het hotel daar, via mijn ipod weer niet. De ipod was blijkbaar dan een bekend systeem, of ze konden de vriendelijke 'lock' vragen niet via de ipod applicatie aanbieden.

stunn0r
27 maart 2011 09:44

En toch zie je nog extreem vaak bij gehackte accounts dat het account al lang leeg geplundert is. Ik heb nog nooit gehoord dat een account op tijd gelocked is om schade te voorkomen. Is het bekend hoe vaak ze hier wel op tijd mee zijn?

Kees
@stunn0r • 28 maart 2011 14:55

Ik heb wel eens een guildie gehad waar ze wel op tijd waren (binnen 2-3 uur ofzo). Die kreeg zijn char terug met ineens max mining en herbalism, en de bags helemaal vol met materials

Niosus
@stunn0r • 28 maart 2011 23:30

Ik ben mijn account ooit eens kwijt geraakt. Toen ik terug ingelogd was heb ik een GM gecontacteerd en de situatie uitgelegd. 10 sec later waren al mijn spullen in mijn mailbox. Ik was een beetje gold kwijt op het einde van de dag maar dat is echt wel het minste als ze alles hadden leeggeroofd en ze je epic gear waarvoor je zo lang hebt zitten werken hebben gedisenchant. Ik heb wel gelukt gehad dat ze mijn alts niet hadden gebruikt. Ik was toen juist een nieuw character aan het levelen en het grootste deel van mijn waardevolle spullen stonden daarop.

Maar goed. Support bij Blizzard is echt heel goed, er zat 4 uur tussen form op hun site invullen en de mail die ik kreeg dat alles terug in orde was. Daarna ook meteen een Blizzard Authenticator gaan halen

Starr0w
27 maart 2011 10:56

Ze gaan dus een email sturen met instructies als een account is gelocked.....

Weten ze eigenlijk wel dat hackers op DIE manier aan de passwords geraken en ik dus PER DEFINITIE zo'n mails niet lees? Hoe gaan ze bewijzen dat de mail echt van hen is? Het enigste dat ik met kan inbeelden is door er geen links in te plaatsen maar de mensen zelf in te laten loggen op hun account pagina.

Doen ze dat niet: Good Luck

Mopster
@Starr0w • 27 maart 2011 11:04

Dat had ik ook al in gedachte. Ik krijg elke dag nog spam mails over WoW terwijl ik al een jaar niet meer speel. En spijtig genoeg raakt een echte WoW mail daar ook tussen verzeild. Je moet al de links checken (over hoveren) om te zien of de mail echt is. En wanneer deze in de spam folder zit, kan je de links niet zien.

MeNTaL_TO
@Mopster • 29 maart 2011 09:32

Ach ik krijg (zogenaamde) Blizzard mails op mijn Ziggo adres terwijl ik die helemaal nooit gebruikt heb voor WoW, is wel makkelijk filteren, dat weer wel. Zijn gewoon de bekende spamlijsten die ze gebruiken en hopen dat er iemand dat wel gebruikt voor WoW en hapt.

[Reactie gewijzigd door MeNTaL_TO op 29 maart 2011 09:33]

[Remmes]
@Starr0w • 27 maart 2011 11:19

als je zo stom bent fake op links te klikken in fake email etc, dan is het je eigen schuld dat je je account kwijt bent..

als jij ziet dat jou account locked is dan ga jij wel in je inbox kijken voor een mailtje ( desnoods krijg je een bericht te zien wanneer je probeert in te loggen)

Fealine
@[Remmes] • 28 maart 2011 11:55

Volgens mij ligt de schuld nog altijd bij de hacker en niet bij het slachtoffer. Als jij je fiets een keer vergeet op slot te zetten, dan is dat je eigen schuld als hij gejat wordt? Dat is natuurlijk wel een kromme logica.

biggydeen2
@Fealine • 28 maart 2011 12:19

Helaas leven we in de wereld waar dit inderdaad je eigen fout is.
Zullen we eens kijken wat de verzekeraar zegt als je aangeeft dat je fiets niet op slot stond?
Dan kan ik je nu verzekeren dat je geen geld krijgt of in ieder geval erg moeilijk gaan doen.

Ben met je eens dat het compleet onlogisch is.

arbraxas
@[Remmes] • 28 maart 2011 22:01

Tja, de mails worden ook steeds beter van kwaliteit.
Ik pik ze er zo uit omdat ze of op mijn mail binnenkomen wat niet mijn WoW login is of omdat de mail doorlinkt naar een "blizzard domein" in de VS. En ik speel op EU servers.

Maar ik kan me voorstellen dat mensen een keer bij de neus worden genomen.
De tijd dat de mailtjes leken op "plx insert login and ur paswort here" (bewust fout geschreven

) is allang voorbij.

Bonsaiboom
@Starr0w • 28 maart 2011 15:37

Ik heb gehad dat mijn account preventief (te laat) gelocked werd. De mail van blizzard kwam netjes in mijn inbox terecht, waar alle hackers-emails in mijn spambox terecht komen.

Een goed spamfilter haalt die er echt wel tussenuit.

mrsar

@Starr0w • 28 maart 2011 16:39

ze sturen een mailtje op het moment dat je inlogt kwam ik achter

kon vorige week niet inloggen toen in in Duitsland zat.
deze stond bij mij iig als veilig (dus geen phising etc)

Maar inderdaad niet de beste,maar wat moeten ze anders? om nou iedere keer te moeten bellen is ook niet alles

Niosus
@Starr0w • 28 maart 2011 23:37

Als je niet aan je mailadres kunt kan je nog altijd bellen. Ze vragen dan vaak de key van je WoW account, de code van een recente prepaid card of een scan van je identiteitskaart. Als je kan bewijzen dat de account op jouw naam staat, dan kan je hem altijd terug krijgen, want account sharen mag niet.

Decile
28 maart 2011 10:22

RIFT heeft een systeem waarbij je, als je op een andere locatie inlogt eerst dat moet bevestigen voordat je door kan gaan met spelen op die locatie. Hierover werd een melding gedaan op een WoW forum (US of EU), er werd vervolgens gereageerd door een community manager dat WoW precies zo'n systeem heeft, echter is dat helemaal niet het geval en hoop ik dat deze veranderingen doorgevoerd zullen worden.

Een authenticator is wel aan te raden, maar de meeste keyloggers worden al geblokt door het gebruik van de WoW Launcher.

Edit : Bron : http://www.youtube.com/watch?v=ghW85x7xn-M
Daily Blues 4:30

[Reactie gewijzigd door Decile op 29 maart 2011 19:28]

Oaquasis

@Decile • 28 maart 2011 15:26

Dit is er in principe al wel, al is het geloof ik alleen voor de US.

http://us.battle.net/wow/en/blog/1113829

En het wijkt iets af van de methode die Rift gebruikt, maar de basis komt op hetzelfde neer.

Bonez0r
@Decile • 29 maart 2011 17:02

Weet je zeker dat het RIFT is en niet Steam die je om bevestiging vraagt? Ik las laatst in een Steam update namelijk over precies dezelfde soort beveiliging, maar dat ging over de verbeterde beveiliging van Steam. Dus dan zou je de vraag al krijgen zodra je wilt inloggen op Steam op een andere pc.

edit: Het heet Steam Guard. Linkje hier.

[Reactie gewijzigd door Bonez0r op 29 maart 2011 17:02]

BerserkHeretic
@Decile • 28 maart 2011 21:11

Een tijdje geleden heb ik toch wel ondervonden dat een dergelijk systeem al actief is. Op vakantie in Turkije mijn laptop meegenomen, op wifi van het hotel ingelogd en even gespeeld, toen ik eenmaal weer terug in Nederland kwam was er toch echt al een rode vlag afgegaan en was mijn account preventief gelocked...
Maar voor alle veiligheid zou het inderdaad al wel wat beter zijn als mijn account ter plekke in Turkije al gelocked zou worden, bij het proberen in te loggen.

OCTiMod
27 maart 2011 10:50

De beveiliging van Blizzard games is met gebruik van de authenticator al beter dan de gemiddelde game.

Zelf denk ik dat Blizzard meer bezig is om account sharing tegen te gaan om zo nog meer inkomsten te werven.

wheez50
@OCTiMod • 27 maart 2011 10:53

Na een of twee keer accountsharing en unlocken zal de software doorhebben dat dat 'normaal' speelgedrag is en verder niet zeuren. Wel is de effectieve beveiliging door het systeem dan voor accountsharers minder.

twjdeboer
@wheez50 • 28 maart 2011 22:08

Accountsharing is illegaal volgens de EULA. Dus dan word je daarop gepakt.

Ik moet zeggen dat al die extra beveiliging nooit kwaad kan. Goed werk dus.

bert170881
27 maart 2011 09:10

Hm, dit is zoals met alle online beveiligingen een race tegen de malafide personen.

Mijn WoW-account is ooit ook gehacked geweest en dit allemaal zonder ooit ergens een wachtwoord achter te laten of in te gaan op gold-sellers.
Mijn wachtwoord was ook sterk genoeg.

Al m'n epic raiding gear was verkocht, gelukkig kwam ik binnen de drie maanden terug online, anders kunnen ze het niet meer terughalen.

YopY

Gameontwikkeling

@bert170881 • 28 maart 2011 16:59

Mijn wachtwoord was ook sterk genoeg.

Maar hoe was dat met je e-mail account / wachtwoord / (in het geval van braque aanbieders) recovery vraag? Dat is nl vaak een zwakke schakel.

Soujah
30 maart 2011 08:27

De beveiliging bij Blizzard is ronduit slecht te nemen. Ik ben zelf enige tijd geleden gebanned echter weet ik nog steeds niet waarvoor. Meerdere malen met ze gemaild, de enige reactie die je krijgt is een auto e-mail responder. Bellen kan ook maar die verwijzen je doodleuk naar een GM. Voor mij nooit geen Blizzard meer, je betaald een hoop geld en als je dan een keer een probleem hebt wordt je niet eens te woord gestaan laat staan een oplossing aangeboden.

egelalexander
@Soujah • 30 maart 2011 20:38

Het beste is dan via een account van een vriend of vriendin een GM aan spreken. Die kan wel kijken waarom je account gebanned is. Het is inderdaad jammer dat ze niet reageren op een e-mail, maar ik denk dat ze te weinig mensen hebben werken die de mails beantwoorden. Er zijn veel meer GM's op de servers die het fijn vinden om je te helpen en er voor te zorgen dat je je account weer terug krijgt.

Anoniem: 63672
27 maart 2011 11:26

...als op een account historisch gezien steeds 's avonds vanuit Nederland is ingelogd en er wordt opeens vanuit een ander land op een andere tijd ingelogd, gaat bij ons een rode vlag omhoog.

Ik kan dus binnenkort een berichtje van deze lui verwachten?
Zit regelmatig in het buitenland, en in een andere tijdzone, maar wil af en toe wel even 'ontspannen' en een spelletje doen....

ShadowBumble
@Anoniem: 63672 • 28 maart 2011 13:07

@Cyber,

Als jij dat op je account al regelmatig doet kun je niet spreken van " opeens uit een ander land." want het predicted gedrag dat je wel eens inlogged vanuit een andere regio

Maniakje
@ShadowBumble • 30 maart 2011 01:27

Een bekende van mij reist voor zijn werk de hele wereld over. Blizzard heeft al twee keer zijn account automatisch preventief gelockt. Beide keren speelde hij vanuit China en was hij vanwege een slechte verbinding eigenlijk alleen maar aan het minen.

De customer service vertelde hem dat het geen probleem is als hij vanuit China (of andere landen) speelt, maar als hij in het buitenland zit moet hij niet gaan minen, want dan is de kans dat zijn account opnieuw gelockt wordt vrij groot.

Zal wel iets met Chinese goldfarmers te maken hebben.