League of Legends in Europa gehackt
Alexander Trust, den 9. Juni 2012Das MMOG League of Legends wurde gehackt. Im offiziellen Forum von Riot Games zum MMOG League of Legends (LoL) ist derzeit der Hinweis zu finden, dass auf den Servern in West- Nord- und Osteuropa Hacker Daten erbeutet haben. Dazu gehören auch verschlüsselte Passwörter von Nutzern.
Als verschlüsselte Hashes fanden sich die Passwörter von Nutzern von LoL auf den Servern von Riot Games. Allerdings erfolgte im offiziellen LoL-Forum der Hinweis, dass Hacker sich dieser Passwörter bemächtigt hätten, sowie der E-Mail-Adressen, des Beschwörernamens und des Geburtsdatums. Von einer „sehr kleinen“ Gruppe soll zudem der Vor- und Nachname, sowie eine Sicherheitsfrage und die zugehörige Antwort von den Hackern erbeutet worden sein.
Passwörter
Riot Games selbst thematisiert die Passwort-Frage etwas eindringlicher. Man habe bei Recherchen herausgefunden, dass mehr als die Hälfte der LoL-User Passwörter benutzt, die sehr einfach sind. Selbst wenn diese entsprechend verschlüsselt in Form von Hashes vorliegen, wird es für Hacker umso einfacher, das Originalpasswort zu rekonstruieren.
Experten und Behörden
Bei Riot Games arbeitet man mit Sicherheitsexperten aber auch den zuständigen Behörden zusammen, um die Hintergründe des Hacks zu klären, und eventuell aufzuklären a) wer hinter dem Hack steckte und b) welchen Zweck die Hacker verfolgen. Außerdem wird man aufgrund der Zusammenarbeit mit den Experten neue Maßnahmen treffen und die Ressourcen ausbauen, damit LoL in Zukunft sicherer wird.
Zu nachlässig?
Riot Games formuliert die Bitte an die User, ihre Passwörter schnellstmöglich zu ändern. Darüber hinaus erfolgt der Hinweis, dass beispielsweise 11 Passwörter von jeweils über 10.000 Spielern gleichzeitig genutzt wurden. Um mit anderen Beispielen zu sprechen: Es gab/gibt in der LoL-Community über 100.000 Autos, die sich in der Summe mit dem gleichen Schlüssel aufschließen lassen und man muss nur ungefähr 10 Autos probieren, bevor man das richtige gefunden hat.
Zudem konnte Riot Games ausmachen, dass eine „zweistellige Zahl“, also 10, 50 oder 99 Nutzer – darüber lässt man uns im Unklaren – jeweils das Passwort eines anderen benutzen. Wenn man das auf die Summe aller LoL-Spieler in West-, Nord- und Osteuropa überträgt, kommt man sicherlich auf mehrere zehntausend Dubletten.
Riot Games inkonsequent
Wir haben schon mehrfach über Hacks berichtet. Der wohl umfangreichste, der sehr viele Gamer auf der ganzen Welt betroffen hat, war derjenige des PlayStation Network im April/Mai 2011. Was Riot Games aber formuliert ist nicht nur inkonsequent, sondern fahrlässig.
Im Foreneintrag heißt es: „Seid nicht zu sparsam – stellt sicher, dass euer Passwort mindestens 8 Zeichen lang ist.“ Es gibt etliche Internet-Portale dort draußen und Online-Netzwerke, die ihre Nutzer sogar dazu „zwingen“ Passwörter mit 8 Zeichen oder länger zu verwenden. Das ist in unseren Augen der bessere Weg, anstatt die Verantwortung komplett auf die Nutzer abzuwälzen, von denen manche ohne das „Muss“ einfach nicht aktiv werden.