Freitag, 10. April 2009

Hacking Rätsel - Die Auflösung



Vor kurzem geschahen kuriose Dinge. Accounts wurden gehackt, die Blogs verkündeten den Untergang von EL. Nichts ist mehr wie es war, keiner kann sich mehr sicher fühlen. Es ist passiert:

EL wurde gehackt !

In weniger als 1 h, verkündete ein ehemaliger Spieler, habe er ein Tool programmiert und könne alle Accs hacken, es gäbe keine Sicherheit mehr. Selbst der Hinweis von Plum "Session an IP binden" solle nicht dabei helfen, ihn davon abzuhalten EL in seine Gewalt zu bringen. Flotten wurden verraten, propagierte Saubermänner machten sich fröhlich daran diese zu recyclen. Es gab einen Aufruhr, jeder der sich darüber amüsierte wurde als Ketzer dargestellt.

Nun was ist passiert und wie konnte es zu diesen Accountübernahmen kommen? Lassen wir Godfather Plum sprechen:

"Es wurde über eine externe Verlinkung die SID weitergegeben. Earth Lost verhindert dies bei Verlinkung von Adressen im Spiel, allerdings haben die betroffenen Spieler nicht das Xtended-Feature genutzt, sondern einen FF-Plugin namens Linkify. DAS war der erste Fehler. Der zweite Fehler war, dass die Spieler ihre Sitzung nicht an die IP gebunden hatten. Nur aufgrund dieser beider Tatsachen war der "Einbruch" überhaupt möglich."

Spieler, die sich Mühe gaben, die Xtended Accouns zu umgehen aber die selben Features benutzen wollten, wie die bezahlenden Kunden, öffneten mit ihren Tools eine "Sicherheitslücke". Mit den hauseigenen Mitteln von EL wäre der Einbruch nicht möglich gewesen. Multis die gesperrt werden, Mobber die ausgeschlossen werden, Xtendet Schnorrer die "gehackt" werden, in was für einer Welt leben wir ;)

Fazit: Es lag kein Fehler EL´s vor, daher werden auch keine Flotten erstattet.

Offizielle Stellungnahme Plum

Ob dies die Spieler nun anhält wieder Regelkonform zu spielen? Oder werden nur andere Tools und damit andere Sicherheitslücken geöffnet? Wir dürfen gespannt sein, was uns die Zukunft bringt. Der Mensch ist ja lernfähig ;)