Sicherheitsupdate: Angriff auf nordamerikanische Blizzard-Server
Es hatte in der letzten Zeit schon einige andere Firmen erwischt, nun war auch Blizzard an der Reihe: Angreifer haben versucht unerlaubt in Blizzards internes Netzwerk einzudringen. Dabei wurden Daten von Spielern auf dem nordamerikanischen Server gestohlen sowie Mailadressen von Battle.Net-Nutzern aus allen Regionen außer China. Blizzard-Chef Mike Morhaime hat noch in der letzten Nacht eine Stellungnahme veröffentlicht, in der er schildert, welche Daten gestohlen wurden und wer sein Battle.Net-Passwort ändern sollte.
Nachfolgend der entscheidende Teil des Statements, der sich auf den Datenzugriff beziehen:
Es liegen uns aktuell keinerlei Hinweise darauf vor, dass finanzielle Information wie etwa Kreditkarten, Rechnungsadressen oder tatsächliche Namen kompromittiert wurden. Unsere Ermittlungen dauern noch an, aber bislang deutet nichts darauf hin, dass auf diese Art von Information zugegriffen wurde.
Auf einige Daten wurde illegal zugegriffen – dazu gehört auch eine Reihe von E-Mail-Adressen von Battle.net-Nutzern in allen Regionen außerhalb Chinas. Für Spieler auf nordamerikanischen Servern (wozu normalerweise Spieler aus Nordamerika, Lateinamerika, Australien, Neuseeland und Südostasien gehören) sind zusätzlich die Antworten zu der Geheimen Sicherheitsfrage und Informationen im Zusammenhang mit dem Mobile Authenticator und dem Dial-In Authenticator betroffen. Nach aktuellem Wissensstand reichen diese Daten allein NICHT aus, um sich Zugriff zu einem Battle.net-Account zu verschaffen.
Wir wissen außerdem, dass auf kryptographisch unleserlich gemachte Versionen von Battle.net-Passwörtern (keine tatsächlichen Passwörter) von Spielern auf nordamerikanischen Servern zugegriffen wurde. Wir benutzen das „Secure Remote Password“-Protokoll (SRP), um diese Passwörter zu schützen. Dadurch wird die Extraktion des eigentlichen Passworts extrem erschwert und es bedeutet außerdem, dass jedes Passwort einzeln entschlüsselt werden müsste. Als Vorsichtsmaßnahme raten wir Spielern auf nordamerikanischen Servern allerdings trotzdem dazu, ihr Passwort zu ändern.
Den vollständigen Artikel gibt es auf der Blizzard-Webseite. Zusätzlich gibt es auch einen Support-Artikel zum Sicherheitsupdate, der in Form eines FAQ noch einmal einen Überblick über die gestohlenen Daten und die Maßnahmen von Blizzard zusammenfasst. Hier der Auszug darüber, welche Daten bei dem Angriff, der bereits am 4. August erfolgte, gestohlen wurden und welche nicht.
Welche Daten sind betroffen?
Hier ist eine Zusammenstellung der Daten, von denen wir wissen, dass illegal auf sie zugegriffen wurde:
In Nordamerika basierte Accounts (inkl. Spieler aus Lateinamerika, Australien, Neuseeland und Südostasien)
- E-Mail-Adressen
- Antworten zu Geheimen Fragen
- Kryptographisch unleserlich gemachte Versionen von Passwörtern (keine tatsächlichen Passwörter)
- Informationen im Zusammenhang mit dem Mobile Authenticator
- Informationen im Zusammenhang mit dem Dial-In Authenticator
- Informationen im Zusammenhang mit Phone Lock (Sicherheitssystem für taiwanesische Accounts)
Accounts aller globalen Regionen außerhalb Chinas (inkl. Europa und Russland)
- E-Mail-Adressen
In China basierte Accounts
- Nicht betroffen
Es liegen aktuell keine Hinweise darauf vor, dass auf finanzielle Informationen jedweder Art zugegriffen wurde. Dazu gehören Kreditkarten, Rechnungsadressen, Namen oder andere Zahlungsinformationen.
Da auch in Europa zumindest eure Mailadresse gestohlen sein worden könnte, könnte sich in Zukunft wieder vermehrt Spam auf diesen finden, der vermeintlich von Blizzard kommt. Darunter könnten auch vermeintliche Beta-Einladungen für Heart of the Swarm sein. Seid daher auf der Hut und achtet genau darauf, ob vermeintliche Battle.Net-Links wirklich zur Battle.Net-Webseite führen. Falls möglich, lest Mails in Reintext statt im HTML-Format. Bei einer (vermeintlichen) Beta-Einladung für Heart of the Swarm ruft die Battle.net-Seite einfach manuell im Browser auf und loggt euch dort ein statt in der Mail einen Link anzuklicken. Auch wird Blizzard euch nie per Mail nach dem Passwort für euren Account fragen.
Feast vs. 
Stephano19h 
ThorZaIN20h
Kommentare
Du bist nicht eingeloggt. Du musst dich einloggen, damit du einen Kommentar abgeben kannst.