Gestohlene Accounts: Die Lösung?

[Swift42]

Hi there,

ich las gerade diesen Post von Mimba im NC-Soft-Forum:
http://de.aiononline.com/forums/gene...mentPage=3#c43

Und überprüfte es selbst:
Ich klickte auf den "Antworten"-Button eines zufälligen Beitrags.
Und tatsächlich, es gab eine Weiterleitung zu:
http://de.aiononilne.com/#loginrequi...ral/writeReply

Wenn man sich die Adresse jedoch genau anschaut, stellt man fest, dass dort garnicht "aiononline", sondern "aiononilne" steht.
Diese Adresse wurde jedoch vom NC-Soft-Forum exakt so ausgeliefert! Da ich zudem alles vorsichtshalber in einer neu aufgesetzten virtuellen Maschine getestet habe, schließe ich zu 100% aus, dass das Problem auf meiner Seite liegt.

Es kann also nur bedeuten, dass das Forum gehackt wurde, die Adresse eingeschleust wurde und der Hacker so an die Login-Daten gelangte, denn ich glaube kaum, dass aiononilne.com eine valide NC-Soft-Adresse ist.
Der Paramter "return_url" sorgt wohl dafür, dass der User nach erfolgtem Diebstahl der Logindaten wieder zur richtigen Website gelangt.

WhoIs liefert zu der Domain:
lihai tao
li hai tao
85woo@live.cn
nan guan qu ya tai da jie 1060, 130000

Sieht nicht grad nach NC-Soft aus.
Ich denke, hier braut sich soeben ein Skandal zusammen...

Ich logge mich vorerst aus Sicherheitsgründen nicht in das NC-Soft-Forum ein, daher schreibe ich dies hier.

Swift42

PS: Hab mir grad nochmal den Source der Forumsseite angeschaut: Der Link "Antworten", den ich geklickt hatte, ist mit
http://de.aiononline.com/forums/gene...icleID=&type=1
verknüpft und dieser lädt dann die Weiterleitung zur o.g. Adresse.
Es fällt hier auf, dass der Paramter "articleID" leer ist, sodass die nachfolgende Seite noch nicht mal wissen kann, auf welchen Beitrag man antwortet - das kann kein gültiger Link des Forums sein!
Einige Antworten-Buttons haben dagegen den korrekten Link, der aber ebenfalls auf die ominöse Seite führt:
http://de.aiononline.com/forums/gene...e_category=102

[Neveren]

Wenn das alles wirklich so ist wie du sagst, dann gute nacht oO

[Vlisson]

schick ^^

würde einiges erklären

Sollte man mal dem Support melden!

[Swift42]

Tja, ich hoffe noch irgendwie, dass ich unrecht habe, aber alles spricht leider für einen Hack des Forums.
Ist zufällig aktuell jemand im NC-Soft-Forum angemeldet? Falls ja: Bitte einen Verweis auf diesen Thread posten, in der Hoffnung, dass nicht noch weitere Accounts geklaut werden.
Danach am Besten sofort in den Spielkonto-Einstellungen das Passwort ändern.

Ich werd mal versuchen, den NC-Soft-Support zu erreichen... aber ehrlich gesagt rechne ich nicht mit einer schnellen Reaktion...

[LioTyphoon]

Ich geb das mal an Amboss & Co. weiter, die sind eigentlich immer recht zügig mit Antworten.

[Synasus]

werden die Daten sofort ausgelesen nach dem laden dieser ominösen seite oder erst nachdem man sich eingeloggt hat?

[LioTyphoon]

So, Martin hat's gemeldet. Wird wohl bald was geschehen.

[max0]

Zitat:

Zitat von Synasus

werden die Daten sofort ausgelesen nach dem laden dieser ominösen seite oder erst nachdem man sich eingeloggt hat?

ich denke sobald du dich eingelogt hast vorher geht das nur sehr sehr schwer.
aber zurück zu aiononilne. Entweder ist es ein bescheuerter Tippfehler des Programierer und WhoIs hat sich vertan (sehr sehr unverscheinlich) oder des Forum wurde gehackt was ich sehr glaube das würde so ziemlich alles erklären.
des würde keine auffallen dieser tippfehler. hoffen wir mal die können des ändern

[DaRocha]

Och das habe ich schon lange rausgefunden, Aber keine Reaktion vom Amboss. Ging wohl im seinem Twitter unter...

Am 28ten Dezember. um 11.27

Btw, das steht unter

de.aiononilne.com

<script src="http://s10.cnzz.com/stat.php?id=1213712&web_id=1213712&show=pic1" language="JavaScript" charset="gb2312"></script>

"http://s..." zeugs halt

Zitat:

function cnzz_hf(str){var b=37851;var a=63689;var h=0;var i=0;
for(i=0;i<str.length;i++){var tp=h+(a*(str.charAt(i).charCodeAt()))>>2;if(tp){h= tp;a+=b;}}
return h+'';}
function gv_cnzz(of){
var es = document.cookie.indexOf(";",of);
if(es==-1) es=document.cookie.length;
return unescape(document.cookie.substring(of,es));
}
function gc_cnzz(n){
var arg=n+"=";
var alen=arg.length;
var clen=document.cookie.length;
var i=0;
while(i<clen){
var j=i+alen;
if(document.cookie.substring(i,j)==arg) return gv_cnzz(j);
i=document.cookie.indexOf(" ",i)+1;
if(i==0) break;
}
return -1;
}
var ed=new Date();
var now=parseInt(ed.getTime());
var data='&r='+escape(document.referrer.substr(0,512)) +'&lg='+escape(navigator.systemLanguage)+'&ntime=0 .54610400 1262629890';
var cnzz_a=gc_cnzz("cnzz_a1213712");
if(cnzz_a!=-1) cnzz_a=parseInt(cnzz_a)+1;
else cnzz_a=0;
var rt=parseInt(gc_cnzz("rtime"));
var lt=parseInt(gc_cnzz("ltime"));
var st = parseInt((now-lt)/1000);
var sin = gc_cnzz("sin1213712");
if(sin==-1) sin='none';
if( document.referrer.split('/')[2]!=document.domain ) sin=document.referrer;
var h=cnzz_hf(document.location.href);
var vw=gc_cnzz("vw1213712");
var res=0;
var eid=gc_cnzz("cnzz_eid");
if(eid==-1) eid=Math.floor(Math.random()*100000000)+"-"+1262629890+"-"+document.referrer.substr(0,64);
if(lt<1000000){rt=0;lt=0;}
if(rt<1) rt=0;
if(((now-lt)>500*86400)&&(lt>0)) rt++;
data=data+'&repeatip='+cnzz_a+'&rtime='+rt+'&cnzz_ eid='+escape(eid)+'&showp='+escape(screen.width+'x '+screen.height)+'&st='+st+'&sin='+escape(sin.subs tr(0,512))+'&res='+escape(res);
document.write('<a href="http://www.cnzz.com/stat/website.php?web_id=1213712" target=_blank title="Õ¾³¤Í³¼Æ"><img border=0 hspace=0 vspace=0 src="http://icon.cnzz.com/pic1.gif" ></a>');
document.write('<img src="http://b176.cnzz.com/stat.htm?id=1213712'+data+'" border=0 width=0 height=0>');

var et=(86400-ed.getHours()*3600-ed.getMinutes()*60-ed.getSeconds());
ed.setTime(now+1000*(et-ed.getTimezoneOffset()*60));
document.cookie="cnzz_a1213712="+cnzz_a+";expires= "+ed.toGMTString()+ "; path=/";
document.cookie="sin1213712="+escape(sin)+ ";expires="+ed.toGMTString()+";path=/";
ed.setTime(now+1000*86400*182);
document.cookie="rtime="+rt+";expires="+ed.toGMTSt ring()+ ";path=/";
document.cookie="ltime="+now+";expires=" + ed.toGMTString()+ ";path=/";
document.cookie="cnzz_eid="+escape(eid)+ ";expires="+ed.toGMTString()+";path=/";

Viel Spass damit

[DaRocha]

Zitat:

Zitat von LioTyphoon

So, Martin hat's gemeldet. Wird wohl bald was geschehen.

Kannste ihm auch sagen, er soll mal hier seine PM von mir lesen. Die letze ist auch Super Wichtig, hat was mit oben zu tun...

[Sumpfmolch]

Das wäre tatsächlich der Super-GAU, wenn sich herausstellen würde, dass das OFFIZIELLE Forum von NCSoft seit Wochen gehackt ist und deshalb hunderte/tausende Accounts gehackt wurden.

[max0]

Zitat:

Zitat von Sumpfmolch

Das wäre tatsächlich der Super-GAU, wenn sich herausstellen würde, dass das OFFIZIELLE Forum von NCSoft seit Wochen gehackt ist und deshalb hunderte/tausende Accounts gehackt wurden.

unnverständlich. wenn es wochen müsste es doch einem programierer auffallen oder jemand anderes. ich hoffe jetz einfachmal das die des in die reihe bekommen man kann sich ja nicht mal mehr auf der offizellen seite sicher fühlen ...

[Neveren]

Muss meinem Vorposter zustimmen. Von NCsoft selber habe ich durch GW wo sie Publisher waren, auch vom Support her gute Erfahrungen gemacht. Leider werden diese in letzter Zeit sehr getrübt, das finde ich schade.

[Angelus Sun Ur]

Angeblich ist das Forum dort voll von solchen Vertippern.

Am 09.12 ist da schon drüber diskutiert worden.

http://de.aiononline.com/forums/gene...&&category=102

Ach ja, und zwar im offiziellen "Aion-Diskussionsfoium" Der Typo steht so in der Überschrift.

[max0]

Zitat:

Zitat von Angelus Sun Ur

Angeblich ist das Forum dort voll von solchen Vertippern.

Am 09.12 ist da schon drüber diskutiert worden.

http://de.aiononline.com/forums/gene...&&category=102

Ach ja, und zwar im offiziellen "Aion-Diskussionsfoium" Der Typo steht so in der Überschrift.

Code:

document.write('<a href="http://www.cnzz.com/stat/website.php?web_id=1213712" target=_blank title="Õ¾³¤Í³¼Æ"><img border=0 hspace=0 vspace=0 src="http://icon.cnzz.com/pic1.gif" ></a>');
document.write('<img src="http://b176.cnzz.com/stat.htm?id=1213712'+data+'" border=0 width=0 height=0>');

häst du das für einen Tippfehler ?

[Angelus Sun Ur]

Zitat:

Zitat von max0

Code:

document.write('<a href="http://www.cnzz.com/stat/website.php?web_id=1213712" target=_blank title="Õ¾³¤Í³¼Æ"><img border=0 hspace=0 vspace=0 src="http://icon.cnzz.com/pic1.gif" ></a>');
document.write('<img src="http://b176.cnzz.com/stat.htm?id=1213712'+data+'" border=0 width=0 height=0>');

häst du das für einen Tippfehler ?

So wie ich das sehe ist im Forum ein vertipper in der URL, die zu der anderen Seite führt, von der du (bzw DaRocha) jetzt etwas kopiert hast. Oder sehe ich das falsch?

[max0]

ich weiß nicht woher DaRocha her ist denke aber es ist die Seite nach dem Login. Nur der Tippfehler wäre eine ganze Url. Ich selbst kenn mich mit java nicht aus aber der befehl docoument write ist wohl eindeutig . er schreibt ein dokument auf die Url. Und erstellt auch noch ein Bild. Mehr kann ich dir leider auch nicht sagen

[Sumpfmolch]

Zitat:

Zitat von Angelus Sun Ur

So wie ich das sehe ist im Forum ein vertipper in der URL, die zu der anderen Seite führt, von der du (bzw DaRocha) jetzt etwas kopiert hast. Oder sehe ich das falsch?

und was macht dich glauben, dass diese andere seite ncsoft gehört und nicht jemandem, der bei eingabe des namens und des passworts sich diese abgreift?

[Angelus Sun Ur]

Zitat:

Zitat von max0

ich weiß nicht woher DaRocha her ist denke aber es ist die Seite nach dem Login. Nur der Tippfehler wäre eine ganze Url. Ich selbst kenn mich mit java nicht aus aber der befehl docoument write ist wohl eindeutig . er schreibt ein dokument auf die Url. Und erstellt auch noch ein Bild. Mehr kann ich dir leider auch nicht sagen

Da wird eine Statistik über Zugriffe diese Seite erstellt. Diese Statistik wiederum kann man zurückverfolgen und sich den Admin der Seit usw anzeigen lassen. Alles andere kann ich auch nur raten, da ich das Forum dort nicht nutze, hält sich meine persönliche Panik erstmal in Grenzen, selbst wenn diese Fehlleitung ein Problem darstellen sollte.

Zitat:

Zitat von Sumpfmolch

und was macht dich glauben, dass diese andere seite ncsoft gehört und nicht jemandem, der bei eingabe des namens und des passworts sich diese abgreift?

Mich macht gar nichts irgendwas glauben, ich frage nur. Un NCSoft gehört die Zielseite zu 100% nicht.

Wäre aber schon ein lustiger zufall, dass es einen Vertipper in der URL gibt und diese ausgerechnet zu einer Seite führt, die speziell Passwörter aus Foren abgreift.

Und dass dann auch noch nach über einem Monat in dem das mehrfach in den Foren angesprochen wurde nicht einfach geändert wurde.

[DaRocha]

Ach das ganze geht auch mit us.aiononilne.com und ich tippe fr. ist auch betroffen..

Zufall? Neeeeeee