gamigo Accountsystem

Zitat :

Liebe Community,

wir wollten euch darüber informieren, dass unser GAS-System sich zur Zeit in Wartung befindet. Das heisst für euch, dass euch folgende Systeme nicht zur Verfügung stehen:
gamigo Account System
Account Registrierung
Cash-Bestellseite
Ingame-Shops (momentane Anzeige von 0 Cash)

Wir hoffen, dass die Wartung nicht zu lange dauert. Wir werden euch hier selbstverständlich informieren, sobald es Änderungen gibt.

Euer LastChaos-Team

Zitat :

Liebe gamigo-Spieler,

es gab einen illegalen Zugriff auf unser gamigo Account System (gAS).
Vorsichtshalber haben wir alle potentiell betroffenen Web Services inklusive Registrierung, Accountmanagement und Payment-Services deaktiviert, um den Vorfall zu untersuchen.

gamigo speichert eure Passwörter immer verschlüsselt und ein illegaler Zugriff auf Accountnamen und andere Daten ist nicht bestätigt!
Die Spiele selber sind nicht betroffen und eure Charakterdaten sind zusätzlich via Backup gesichert.

Bitte beachtet, dass die betroffenen gAS Services für eine Weile nicht verfügbar sein werden.

Wir entschuldigen uns für die Unannehmlichkeiten und halten euch an dieser Stelle auf dem Laufenden.

Euer gamigo Team

Quelle: LC Forum

Zitat :

Gestern Nacht wurde das Forum des MMORPGs "Fiesta Online" erneut gehackt.
Dies war bereits vor einigen Tagen der Fall.
Ebenfalls betroffen sind u.a. die Foren (und evt. die Spieleserver) von "Cultures Online" welches, genau wie Fiesta Online von der GAMIGO AG betrieben wird.

Diesmal wurden bei dem Hack auch sämtliche Daten entwendet und illegal im Internet hochgeladen.

In einer SQL-Datei sind nun sämtliche Daten zu finden, welche auf den Servern der Gamigo AG gelegen sind und nach einem Download von jedem ohne Probleme gelesen werden können:

Code:

INSERT INTO `Gamigo_Forenaccounts` (`ID`, `ID_Customer`, `ID_Foren_Account`, `ID_Foren`, `USR_GRP`, `Accountname`, `Password`, `Password_MD5`, `Reg_Date`) VALUES ('45', '243431', '450', '8', '10', 'YYYYYY', 'XXXXXX', '306753d6a0dea2aca5bc53f20e0f1d60', '1176818237');

Zitat :

Hier wurde wohl mit einer simplen SQL Injection eine Liste aller Accountdaten entwendet.

Was viel gravierender ist, die Passwörter sind im KLARTEXT in der Datenbank gespeichert.
Witzigerweise stehen die ( MD5 Hash - ) verschlüsselten Passwörter direkt dahinter.
[...]
Vor allem dann nicht, wenn ein verschlüsseltes Passwort da ist und in der Spalte daneben steht.
[...]
Auf diese Weise hatte auch Gamigo ständig Zugriff auf alle Passwörter, was natürlich ebenfalls nicht sein darf.

Davon abgesehen, dass es ein Fehler ist, der keiner Firma - schon gar keiner, welche sehr viele Spiele betreibt - passieren darf, nämlich dass Passwörter einfach entwendet werden und auch sofort verwendet werden können, da diese unverschlüsselt aufbewahrt werden...


Gamigo-AG hat sich zu dem Hack vor wenigen Tagen übrigens wie folgt geäußerst:

Zitat :

Liebe gamigo-Spieler,

es gab einen illegalen Zugriff auf unser gamigo Account System (gAS).
Vorsichtshalber haben wir alle potentiell betroffenen Servies inklusive Registrierung, Accountmanagement und Payment-Services deaktiviert, um den Vorfall zu untersuchen.

Gamigo speichert eure Passwörter immer verschlüsselt und ein illegaler Zugriff auf Accountnamen und andere Daten ist nicht bestätigt!
Die Spiele selber sind nicht betroffen und eure Charakterdaten sind zusätzlich via Backup gesichert.

Wie würdet ihr in so einem Fall reagieren, wenn ihr wisst, dass eure Spieledaten (wenn nicht sogar auch die RL-Daten, welche bei der Registrierung angeben werden mussten oder evt. sogar die Daten, mit denen man Abos geschlossen, etwas eingekauft habt - sprich Kontoverbindungen, Kreditkarten - ect. ) gestohlen und für jeden einsehbar im Internet herumschwirren?

Muss man in so einem Fall wirklich Kenntnisse haben oder gelingt dies sogar einem "einfachen" Hacker, auf Grund mangelnder Sicherheitsmaßnahmen wie z.B. Datensicherheit und Verschlüsselung?

Ich für meinen Teil werde mir überlegen ob ich - nachdem es gravierende Fehler sind, wenn nicht sogar grob Fahrlässige - bei entsprechenden Spielen oder Firma noch weitermache oder den Account nicht lösche.

Sollte jemand betroffen sein, sollte er, sobald als möglich sowohl das Passwort für jedes Game der Gamigo-AG sowie auch sein PW für seinen Mailaccount (sollte dies dasselbe sein wie bei den Spielen) ändern.

Bin jedenfalls gespannt wie die Gamigo-AG sich dazu äußern wird, nachdem es heute Nacht noch hieß:

Zitat :

Es gab einen illegalen Zugriff auf unser System.
Vorsichtshalber haben wir alle potentiell betroffenen Services inklusive einzelnen Spielservern deaktiviert, um den Vorfall zu untersuchen. Cultures Online ist davon aktuell nicht betroffen.
Keine Sorge: eure Charakterdaten inkl. Items sind via Backup gesichert.
Was nicht korrekt ist, da Userdaten von Cultures Online definitiv bei den veröffentlichten Daten dabei sind!

Ein Back-UP ist schön, ABER:

Wie vertrauenswürdig ist eine Firma, die ihren Kunden mitteilt, das entsprechende Game ist davon aktuell nicht betroffen, während die Userdaten zu diesem Game bereits seit einigen Stunden für jeden einsehbar und downloadbar sind und definitiv ohne Zweifel von diesem Game stammen und den Kunden auch versichert die Passwörter SIND verschlüsselt während diese unverschlüsselt auf den Servern liegen?

Quelle: Foren der GAMIGO-AG gehacked + Datendiebstahl

sind denn die bei Gamigo komplett krank oder was??

JA SIND SIE

Zitat :

Hallo Community,

wie ihr alle bereits mitbekommen habt, sind unsere Spielserver, Webseiten und Foren im Moment teilweise nicht erreichbar.
Wir möchten euch gerne erklären, was passiert ist und was von unserer Seite unternommen wurde.

Es gab einen Angriff auf eine gamigo-Datenbank, bei dem Nutzerdaten wie Alias-Usernamen und verschlüsselte Passwörter entwendet und teilweise in einem der gamigo-Foren veröffentlicht wurden.
Wir haben den Angriff erkannt und arbeiten mit Hochdruck an einer vollständigen Behebung und Aufklärung des Vorfalls.

Alle Charakterdaten inklusive Items sind via Backup gesichert! Leider können wir jedoch derzeit nicht ausschließen, dass der /die Täter noch im Besitz weiterer personenbezogener Daten ist/sind; nach allen momentan vorliegenden Informationen ist bislang jedoch kein Missbrauch betrieben worden.

Um etwaige Fremdzugriffe auf eure Accounts zu unterbinden, haben wir sämtliche Passwörter für das gamigo Account System und alle gamigo-Spiele zurückgesetzt!
Damit ihr wieder Zugriff auf eure gamigo Accounts erlangt und sicher spielen könnt, müssen folgende Schritte durchgeführt werden:

Schritt 1:
Gehe auf das gamigo Account System und richte dort ein neues Passwort für das gamigo Account System ein.
Bitte achte unbedingt darauf, dass das neue Passwort nicht mit dem alten identisch ist!

Schritt 2:
Logge dich mit dem neuen Passwort ins gamigo Account System ein und gehe auf „Meine Spiele.“ Bitte suche dir für jedes deiner Spiele ein neues und sicheres Passwort aus.

Schritt 3:
Wichtig: Ändere bitte auch dringend die Passwörter für die Spieleforen, in denen du unterwegs bist, damit die Sicherheit deiner Daten auch dort gewährleistet ist.

Eine detaillierte Anleitung zur Änderung eurer Passwörter findet ihr in unserem Leitfaden
http://assets.cdn.gamigo.com/marketing/portal_de/password-help.pdf.

Solltest ihr Probleme haben, meldet euch bitte bei unserem Support
https://ticket.gamigogames.de/.

Wir bedauern den Vorfall und die dadurch entstandenen Unannehmlichkeiten.

Quelle: Wichtig: Ändert eure Passwörter!

Das wird jetzt jeden Monat gemacht.... ich weiß schon keine Passwörter mehr die ich mir merken kann... ich habe schon Zettel an der Wnd kleben wo für jeden ACC das PW drauf steht und immer wenn ich es langsam drauf habe und nicht mehr gucken muß wir es wieder über den Haufen geworfen.

also schön langsam muss man echt überlegen ob man nicht überhaupt aufhören soll....ist doch jeden monat irgendwas...

da wird gehackt....dann gibt´s nen bug mit dem man server abgstürzen lassen kann um dabei items zu duplizieren...goldbug...

Unser chef ist seit das spiel ans netz gegangen ist verbugt...

Ich sage es nur ungern, aber ich kann bestätigen das eine Datenbank mit dem Stand von Anfang/Mitte 2010 der Forenpasswörter im Umlauf ist.
Sollte das gleiche Passwort wo anders verwendet werden, so sollte dies umgehend geändert werden!

Nähere Infos dazu gibt es nur per PN.

Weiß einer wann das ACC System wieder frei geschalten wird...?
Ich habe da ein paar Charakter die auf ihre Erlösung warten^^

RitterSigfried schrieb:

Weiß einer wann das ACC System wieder frei geschalten wird...?

Die Webserver scheinen dem Ansturm nicht gewachsen zu sein und sind scheinbar hoffnungslos überlastet.


Der Link zum ändern des Gamigo GAS Account Passwortes und des Ingame Passwortes wäre: https://de.gamigo.com/showlayer/resetpassword

Ich versuche es schon seit 12:30 Uhr^^
Immer Fehlermeldung.
ich versuche es weiter...Sigi und Brun habe ich heute morgen frei bekommen ...um 06:00 Uhr.

---------------------

Edit:
Jetzt keine Fehlermeldung aber...

Login gamigo Account
Aufgrund von Wartungsarbeiten ist ein Login derzeit nicht möglich. Bitte versuche es zu einem späteren Zeitpunkt erneut.

RitterSigfried schrieb:

Immer Fehlermeldung.

Nach XX Versuchen bin ich nun endlich auf die Webseite gekommen und sehe die wunderschöne Fehlermeldung.



Für alle Interessierten, hier geht es zum Ersatz LC Forum: LC Ersatz Forum

Für die Spieler die um ihren Treuebonus bangen gibt es gute Nachrichten:

Zitat :

Hallo Community,

wir sind uns im Klaren, dass viele von Euch durch die Wartezeiten beim Einstellen der neuen Passwörter nicht einloggen konnten, um Ihren Treuebonus zu erhalten.

Wir werden allen Spielern den Treuebonus wieder herstellen.

Bitte beachtet, dass die Wiederherstellung eine Weile dauern kann. Wir werden noch abwarten, bis wirklich der größte teil von Euch wieder ordentlich einloggen kann.

Die Wiederherstellung wird automatisch passieren.
Bitte schreibt dazu KEINE individuellen E-Mails oder Support-Tickets sondern wartet weitere Ankündigungen ab.

Viele Grüße

Quelle: LC Ersatz Forum

Hier noch mal der Link um das Passwort im GAS (= Gamigo Account System) zurück zu setzen: https://de.gamigo.com/showlayer/resetpassword

Ich hätte schon gedacht das man dieses Problem etwas schneller beheben kann.
Mit Sigi bin ich im Spiel weil ich wohl gestern (Freitag) um 06:00 ein Zeitfenster erwischt habe aber alles andere funst bei mir auch weiterhin nicht.

Ich drücke uns mal die Daumen das wir alle am Abend wieder Zocken können.

das hier hab ich gerade eben mal vor 2 min. geknipst....so sieht es aus seid ich versuche mich ins GAS einzuloggen...und ins spiel komm ich natürlich garnicht





ich bin echt am schwer am überlegen ob ich mir das weiterhin antun muss...zurzeit kriegen die nämlich nichts, absolut garnichts auf die Reihe.

Werde frühestens am Dienstag nach der Wartung wieder irgendwas bei LC versuchen


Euer Highlander wünscht euch allen aber trotzdem ein schönes WE, viel spass beim zocken oder RL geniessen

Die GAS Passwörter konnte ich schon alle zurück setzen, aber jedes mal wenn ich mich damit im GAS einloggen will kommt dass ich es erst zurück setzen muss...


EDIT: mir wurde gerade eine Lösung zugespielt:

Zitat :

Wer in seinen Gamigo Account will, macht bitte folgende Schritte: (leider nur extern möglich)

Nachdem das PW geändert wurde auf folgede Seite gehen

http://www.php-space.info/php/space/md5-generatoren.php

dort in die Zeile Code das PW schreiben und Code verschlüsseln
Dieser verschlüsselte Code ist das aktuelle PW eures Gamigo Accounts

Logt euch ein und ändert euer(e) Spielpasswort(er)

Wenn ihr nun Angst um euer Gamigo Account habt, danach PW wieder zurücksetzen in Gamigo.


@Gamigo
Ich konnte diesen Fehler extern innerhalb von 10min entdecken!
Wenn Gamigo nun unverschlüsselte und verschlüsselte PWs in der DB hat kann man dies auch mit 2..3 Codezeilen in PHP schnell ändern und die unverschlüsselten PWs verschlüsseln und in der Einlogseite das übermittelte pw die md5 codieren um es mit pw in db zu vergleichen.

Quelle: LC Ersatz Forum: Workaround zum einlogen

Zitat :

Also liebe gamigo Leute!

Es ist ja schon mal ein Fortschritt, wenn Passwörter nicht mehr im Klartext, sondern gehashed gespeichert werden, aber bitte bitte hört doch dort nicht zu denken auf! Lest euch mal ein bisschen in die Thematik ein!!!
Passwörter müssen nicht nur gehashed, sondern auch gesalzen werden! am besten noch mehrere iterationen und der username MUSS auch mit in den hash einfließen!! nur dann ist das wirklich sicher! wenn jemand aus der DB die hashes klauen kann und weiß, dass das MD5 ist, kann man brute force auch eine zeichekette zurückrechnen die als passwort funktioniert, deshalb salzen und iterieren. wenn jmd schreibend auf die db kann, kann er (ohne kenntnis des algos) seinen pwd hash nehmen und bei einem andren user reinschreiben und schon hat er zugriff auf den account, deshalb den usernamen auch mit hashen!!

Bin etwas enttäuscht von allem hier (information, nicht funktionierende rücksetzforms wo von der com dann der entscheidende hinweis kommt, sicherheit der pwd usw, usw)....

Quelle: LC Ersatz Forum: Passwortsicherheit