Keine Ahnung, ob Leute aus der Blog-Leserschaft von diesem Thema tangiert sind, weil sie ein Benutzerkonto bei diesem Anbieter haben. Ein Leser hat mich auf einen Sicherheitsvorfall beim Spieleentwickler wargaming.net aufmerksam gemacht. Ich habe dann ein wenig recherchiert, ist nicht der erste Vorfall bei diesem Anbieter. Es könnte aber auch ein Phishing-Versuch sein (das versuche ich noch zu klären). Hier einige Informationen, was mir bekannt ist.
Anzeige
Ein Leserhinweis
Blog-Leser Sebastian hat mich vor einigen Stunden in einer privaten Mitteilung auf Facebook über einen Sicherheitsvorfall bei wargaming.net informiert (danke dafür). Er ist wohl beim Portal angemeldet und bekam eine entsprechende Mail, wie er schreibt:
Moin Günter, es gab wohl einen Sicherheitsvorfall bei wargaming.net. Folgende Email habe ich vom Betreiber erhalten.
Er hat mir dann nachfolgenden Screenshot der Benachrichtigung zukommen lassen und schreibt zur Einordnung: Bekannt ist die Firma durch das Spiel "World of Tanks".
Hier ist der betreffende Text der Benachrichtigung:
Anzeige
Lieber xxxx
dein Passwort wurde zurückgesetzt, um die Sicherheit deines Kontos zu gewährleisten
Bitte folge den Sicherheitsempfehlungen
- Überprüfe deinen Computer oder dein Gerät auf Viren und andere Schadsoftware
- Fordere ein neues Passwort an
Wir empfehlen auch, deine Mobiltelefonnummer mit deinem Konto zu verbinden und die Zwei-Faktor-Authentifizierung zu aktivieren, um die Sicherheit deines Kontos zu steigern, falls du dies noch nicht getan hast. Weitere Informationen findest du hier
[…]
Sebastian merkt dazu an: Seltsam ist nur, dass man seinen PC auf Schadsoftware prüfen soll. Wurde da Malware via dem Client / Updater verteilt? Das war auch das, was mir ins Auge stach.
Keine weiteren Details, aber Abgründe
Ich habe auf die Schnelle geschaut, ob die Webseite von wargaming.net noch zusätzliche Details enthält, wurde aber nicht fündig. Dort wird lediglich für die Spiele der Firma geworben.
Auf hacknotice.com habe ich aber nachfolgende Meldung vom 1. Mai 2021 gefunden, die einen Hack propagiert:
wargaming.net
The HackNotice security research team discovered a data leak file associated with this domain. According to the hacker, this domain was allegedly hacked. If there are no other sources attached to this hack notice, then we don't have an official disclosure of a data incident, so this hack is only implied.
Zumindest gab es damals den Verdacht, dass die Domain gehackt worden sei. Und aus dem Oktober 2017 gibt es dieses Dokument mit dem Titel Compensation for Damage for Hacked Accounts, welches Fälle regelt, wenn ein Konto gehackt wurde und Schäden auftreten. Und auf dieser Seite gibt der Anbieter Hinweise, was man tun kann, wenn ein Konto gehackt und "gestohlen" wurde.
Irgend etwas scheint wohl im Dezember 2022 bei diesem Anbieter passiert zu sein. Auf reddit.com findet sich der Thread Wargaming database hack, wo jemand schreibt:
I just got an alert from nord pass that wargaming has been breached, just to let you all know incase you need to change passwords etc.
Ein weiterer Nutzer mit dem Alias cyberfight, offenbar ein Angestellter von Wargaming, antwortete dann:
Hello, Commanders.
Some of our players have received security-related messages from us in the last days. This is primarily because we've detected a pattern of unusual access attempts for a number of accounts. As a standard precaution we've taken various steps – from standard reminders to reset passwords and enable two-factor authentication, to resetting those passwords or payment methods automatically in some cases.
We also periodically send such reminder emails to players who have not reset their password in a long time, or who do not have all available security features enabled on their accounts.
There have been no breaches in our network infrastructure, but we believe it's always better to err on the side of caution, so we encourage everyone to follow the instructions contained in the messages. It's also a good practice independently to check the security of your mailboxes and passwords, as well as not to reuse the same credentials between multiple services, like between your email and your Wargaming account.
Should anyone have any specific concerns related to their accounts, please feel free to contact our Customer Support team. We're sorry for any inconvenience this may have caused players.
The Wargaming Team.
Dort werden nur "ungewöhnliche Zugriffsmuster auf Konten" eingestanden, so dass Mitglieder per Mail aufgefordert wurden, die 2FA zu aktivieren und das Passwort zurückzusetzen. In einem weiteren Post schreibt ein Nutzer, dass er in der Europäischen Union leben und weder das Passwort ändern noch die Zweifaktor-Authentifizierung (2FA) aktivieren könne, weil Wargaming keine SMS sende. Könnte aber ein Einzelfall sein und der Nutzer hat schlicht eine falsche Telefonnummer angegeben. Im Forum von World of Tanks gibt es aber diesen Thread vom 10. Dezember 2022, in dem ein Nutzer schreibt, dass sein Konto gehackt wurde. Scheint sich aber um einen Einzelfall zu handeln.
Ergänzung: Beachtet auch den Hinweis in den Kommentaren, dass solche Benachrichtigungen ein Phishing-Versuch sein können – im aktuellen Fall versuche ich, ob ich an den Header der Nachricht heran komme.
Kann es Phishing sein?
Ergänzung: Auf Grund der Kommentare habe ich beim Leser nachgefragt, ob das Ganze ein Phishing-Versuch sein kann. Der Leser schrieb mir folgendes zurück:
An Phishing hab ich auch gedacht. Aber die enthaltenen Links sind ebenfalls alle "sauber" und verweisen zu wargaming.net.
Der Leser hat mir zudem den Header der Mail zur Verfügung gestellt – danke dafür – hier die Details:
Received: from xxxxxxxxxx (xxx.xxx.xxx.xxx) by xxxxxxxxxx (xxx.xxx.xxx.xxx) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id xxxxxxxxxx via Mailbox Transport; Wed, 8 Feb 2023 17:03:13 +0100 Received: from xxxxxxxxxx (xxx.xxx.xxx.xxx) by xxxxxxxxxx (172.30.0.201) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.2.1118.21; Wed, 8 Feb 2023 17:02:57 +0100 Received: from xxxxxxxxxx (127.0.0.1) by xxxxxxxxxx (127.0.0.1) with Microsoft SMTP Server id xxxxxxxxxx via Frontend Transport; Wed, 8 Feb 2023 17:02:57 +0100 Return-Path: games_eu@prm.wargaming.net Received: from xxxxxxxxxx by xxxxxxxxxxe with LMTP id WBblFc/H42PWlgAA7k+M8w (envelope-from <xxxxxxxxxx>); Wed, 08 Feb 2023 17:03:27 +0100 Envelope-to: xxxxxxxxxx Delivery-date: Wed, 08 Feb 2023 17:03:27 +0100 Authentication-Results: xxxxxxxxxx; iprev=pass (uspmta120119.emarsys.net) smtp.remote-ip=185.4.120.119; spf=pass smtp.mailfrom=xpressus.emarsys.net; dkim=pass header.d=prm.wargaming.net header.i=games_eu@prm.wargaming.net header.s=key2 header.a=rsa-sha256; dkim=pass header.d=emarsys.net header.s=key2 header.a=rsa-sha256; dmarc=skipped Received: from uspmta120119.emarsys.net ([185.4.120.119]) by xxxxxxxxxx with esmtps (TLS1.3) tls TLS_AES_256_GCM_SHA384 (Exim 4.94.2) (envelope-from <suite5@xpressus.emarsys.net>) id 1pPmus-000Ak0-FM for xxxxxxxxxx; Wed, 08 Feb 2023 17:03:27 +0100 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=key2; d=prm.wargaming.net; h=To:Subject:From:MIME-Version:List-Id:X-CSA-Complaints:List-Unsubscribe: List-Unsubscribe-Post:Content-Type:Message-ID:Date; i=games_eu@prm.wargaming.net; bh=HaHQj6OkrL8pprpXkp8w+IQ6WDeYg+qefK10vUdckMs=; b=AHHFvwW2WZI7FkctWgGOhQS8Azs4cUlEeFHs7M42+93y3ig64R/nFsMtbVKh2DAGLFerI6bRRmfZ u8jC/Oz/pfEP9HeWYQouQy87wHFM36UIbOngLyYTnbvno7t9m9Oo3ghcGGbqPoeH0KcoXzgwCdaA 02h7k4AL9C1W7AltmRc= DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=key2; d=emarsys.net; h=To:Subject:From:MIME-Version:List-Id:X-CSA-Complaints:List-Unsubscribe: List-Unsubscribe-Post:Content-Type:Message-ID:Date; bh=HaHQj6OkrL8pprpXkp8w+IQ6WDeYg+qefK10vUdckMs=; b=mX6hIrz7jfiKMka8MJTX0NQduyP3P7tATAt6pFq7nH9532tYGUalc8G/1ipcKNbH3wkA36qPMyEk viR+XOP04Bnbcy+0JkTS2MT9kw4Mr6+HtmqscQ9SGjdYIDCO5URCfoadczbKh/nGylzQpDHdCfdp zZSATawIun5bkwBTzdA= To: xxxxxxxxxx Subject: Wargaming.net: Sicherheitsupdate X-Mailer: class SMTPMail From: "Wargaming.net" <games_eu@prm.wargaming.net> MIME-Version: 1.0 List-Id: 278799761 <Wargaming.net> X-EMarSys-Identify: 278799761_2594210_26387 X-EMarSys-Environment: suite5 X-Report-Abuse: Please report abuse here: abuse-report@emarsys.com X-CSA-Complaints: csa-complaints@eco.de List-Unsubscribe: <mailto:list-unsubscribe+278799761_2594210_26387_ur0uvsFONr@emarsys.net>, <https://list-unsubscribe.eservice.emarsys.net/api/unsubscribe/278799761_2594210_26387_ur0uvsFONr> List-Unsubscribe-Post: List-Unsubscribe=One-Click Content-Type: multipart/alternative; boundary="--=_---NextPart--=_-7L7qXxLhaU" Message-ID: <0.1.13.606.1D93BD6DA804914.0@uspmta120119.emarsys.net> Date: Wed, 8 Feb 2023 17:03:15 +0100 X-DKIM-Status: pass [(prm.wargaming.net) - 185.4.120.119] X-DKIM-Status: pass [(games_eu@prm.wargaming.net) - 185.4.120.119] X-DKIM-Status: pass [(emarsys.net) - 185.4.120.119] X-Virus-Scanned: Clear (ClamAV 0.103.7/26806/Wed Feb 8 09:42:20 2023) X-Spam-Score: 0.3 (/) Delivered-To: xxxxxxxxxx X-MS-Exchange-Organization-Network-Message-Id: 495b4444-b168-49ea-a04e-08db09edf235 X-ESET-AS: R=OK;S=0;OP=CALC;TIME=1675872178;VERSION=7944;MC=2987986378;TRN=21;CRV=0;IPC=xxx.xxx.xxx.xxx;SP=0;SIPS=3;PI=3;F=0 X-ESET-Antispam: OK X-EsetResult: clean, is OK X-EsetId: 37303A291D37AA55617065 X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0 X-MS-Exchange-Organization-AuthSource: xxxxxxxxxx X-MS-Exchange-Organization-AuthAs: Anonymous X-MS-Exchange-Transport-EndToEndLatency: 00:00:15.5446482 X-MS-Exchange-Processed-By-BccFoldering: xxxxxxxxxx
Wenn ich nichts übersehen habe, sollte es kein Phishing-Ansatz sein.
Hintergrund wargaming.net
Ganz interessant fand ich dann den Wikipedia-Eintrag von Wargaming.net, dem ich entnehme, dass es sich um einen belarussischen Spieleentwickler mit Firmensitz in Nikosia (auf Zypern) handelt. Wargaming.net wurde im Jahr 1998 von einer Gruppe Fans militärischer Strategie gegründet. Während das Studio lange Zeit rundenbasierte Strategiespiele entwickelte, gelang der große Durchbruch im Jahr 2010 mit der historischen Panzersimulation World of Tanks.
Ursprünglich als Nischentitel für Fans historischer Panzerschlachten konzipiert, entwickelte sich World of Tanks nach der Veröffentlichung in Russland 2010 und international im Jahr 2011 zum Vorzeigespiel des Studios. Nach dem enormen Erfolg von World of Tanks, welches nach eigenen Angaben (Stand Januar 2017) über 100 Millionen registrierte Spieler hat, führte Wargaming.net 2013 die Schwesterspiele World of Warplanes (historische Flugsimulation) und 2015 World of Battleships (historische Seekriegsimulation, später umbenannt in World of Warships) ein.
Im Jahr 2011 eröffnete Wargaming.net Büros in Paris und San Francisco. Im August 2012 kaufte Wargaming.net die australische Softwarefirma BigWorld, welche die in den Wargaming-Spielen verwendete BigWorld-Engine entwickelt, für 45 Millionen Dollar. Ein weiteres Büro in Seoul öffnete im Jahr 2012, um in Kooperation mit dem neuen Partner SEA Gaming die Präsenz auf dem asiatischen Markt zu stärken. Pläne für die Zukunft sehen vor, die drei World-of-Spiele miteinander zu verbinden, um "ultimative Spielerfahrung für Kriegsspieler in aller Welt" zu liefern.
Im Februar 2013 kaufte Wargaming.net das finanziell angeschlagene Studio Gas Powered Games (u. a. Dungeon-Siege-Serie) auf. Im August 2013 gab das Unternehmen in einer Pressekonferenz bekannt, dass die Rechte für Total Annihilation und Master of Weapon von Atari erworben wurden.
Am 4. April 2022 verkündete Wargaming aufgrund des anhaltenden Russland-Ukraine-Konflikts, sich aus Belarus und Russland zurückzuziehen und die dortigen Studios zu schließen. Insgesamt ist Wargaming.net wohl kein kleiner Spieleentwickler, sondern international aufgestellt.
Falls jemand näheres weiß, kann er gerne einen Kommentar hinterlassen. Da das Thema aber ggf. wegen des belarussichen Hintergrunds der Entwickler entgleisen könnte, vorsorglich der Hinweis: Ich werde alle Kommentare mit politischem Bias löschen
Anzeige
na scheinen nur einige wenige Konten betroffen zu sein (evtl. schwache PW oder PW stuffing) Spiele selbst World of Tanks mit einer Gruppe Freunde und wir bekammen alle keine PW Änderung … Auffälligkeiten beim einloggen gab es auch bei keinem, nutzen aber auch alle 2FA … wahrscheinlich wurden da die üblichen PW Kombis aus Leaks ausprobiert und der Entwickler hat genau das gemacht was er geschrieben hat: bei entsprechenden Konten vorsichtshalber ein Reset des PW ausgeführt.
im Mail Header findet sich sowas :
Return-Path: suite5[@]xpressus.emarsys.net
Authentication-Results: gmx.net; dkim=pass header.i=games_eu@prm.wargaming.net
Hatte erst gelaubt, dass es wegen des return-paths Phishing sein könnte. Aber Emarsys ist ein Anbieter von Cloud-Marketing-Software für channel-übergreifendes Engagement. Sieht so aus, als ob Wargames.net diesen Dienstleister für die E-Mail-Kommunikation einsetzt.
Kann jetzt auch nichts negatives Berichten. Was mir hier fehlt, welchen "Welt" Teil es betrifft, denn je nach Region brauchst je Region ein Account EU/NA/ASIA, kannst jedoch auch mit einem ASIA Account aus EU daddeln. Es ist lediglich die Bindung zum Servercluster im Land damit gekoppelt.
Zumindest ist Deutschland (und ausweislich des Mail-Alias auch Europa) betroffen.
Scheint zumindest kein flächendeckendes Phänomen zu sein.
Hab 2 Accounts auf den EU-Servern und keine solche Mail erhalten.
Mal schauen was noch kommt…
es ist KEINE Mail von Wargaming sondern eine Phishing-Mail – diese sind seit mind. Ende letzten Jahres in dieser Form in Umlauf (und auch in diversen FB-Gruppen [zB. deutsche World-Of-Tanks Gruppen] bereits bekannt in denen davor gewarnt wird auf die Links in der Mail zu klicken).
Der Link in der Mail führt natürlich auch nicht auf einer Seite von Wargaming sondern einer Kopie; Mailheader zeigt alles andere als Wargaming.
Der WG-Support hat einem Gruppenmitglied auf seine Rückfrage zu der Mail bestätigt, dass von dieser Adresse keine Mails an User geschickt wird sondern ausschließlich über die Support-Adresse
Danke für den Einwand. Ich hab mal diesbezüglich beim Empfänger der Mail nachgefragt, ob er sich den Header ansehen kann, um diesen Fall auszuschließen oder zu bestätigen. Sollte ich was an Rückmeldung bekommen, trage ich es nach – wäre dann eine interessante Volte – und der Beitrag in anderem Kontext sinnvoll gewesen.
Nachtrag: Ich habe jetzt Zugriff auf den Header, beachtet meine Ergänzung in obigem Text.
Das Blöde ist hier ist, dass WG im Forum pauschal sagt, dass die Mail echt wäre – obwohl viele User die die Mail bekommen haben, genau das Gegenteil sagen.
Irgendwie sieht es für mich danach aus als ob die Adresse(n) wirklich mal benutzt wurden um auf auf sowas hinzuweisen und die Mods/Admins im Forum nur sagen, dass die Mail echt wäre weil es die Adresse gibt anstatt auf Header oder Links hinzuweisen.
Ich habe seit 2010 ein WG EU-Account (seit 2013 einen NA-Account) und nur einmalig eine Sicherheitsmail erhalten (Mailadressen von Accounts wurden mal geleakt – wenn ich das richtig in Erinnerung habe) in der damals auch geschrieben wurde, dass man die 2FA aktivieren solle. Zu den Mails seit Nov/Dez. haben einige sogar über mehrmals dieselbe Mail am Tag berichtet.
Man KANN die Mails vielleicht befolgen allerdings besser nicht auf die Links innerhalb der Mail klicken sondern die Seiten manuell aufrufen. 2FA sollte man eh bereits aktiviert haben seitdem die Mailadressen der User bekannt wurden – damit wäre ja nur noch das PW zu knacken was durch diverse andere Leaks außerhalb WG ja u.U. recht leicht ist durch irgendwelche COMBs.
Betroffen sind scheinbar auch alle WG-Regionen, in NA begann es teilweise (scheinbar echte Mails) im Sommer letzten Jahres.
-> man kann scheinbar nicht pauschal sagen ist echt oder nicht sondern muss wirklich die entsprechende Mail genauer ansehen
PS: hab jetzt doch mal in meinen Spam-Ordner geguckt und habe bei 2 von 3 Accounts die Mail auch bekommen (auf Hauptaccount mit 2FA + verbundener Handy-Nr nicht) – wenn ich das vorher gesehen hätte, dann hätte ich mir meine Kommentare sparen können bzw. die Infos sogar selbst liefern können
Zum Kommentar sparen: Nein, der war wichtig – ich selbst habe da bei wargaming.net keine Aktien – daher war die Phishing-Möglichkeit nicht auf dem Radar. In obigem Fall ist es geklärt: Kein Phishing. Aber vielleicht setzt der Beitrag hier ja bei potentiellen Opfern das Bit "denkt daran, es könnte echt oder Phishing sein" – dann sind wir ja schon weiter, wenn die Leute genauer prüfen. Sonst könnte ich mir das Bloggen auch sparen und spazieren gehen …
Wenn ich das lese, fällt mir wieder ein, das man nach wie vor alle Ports auf haben muss, wenn man eine Netzwerk-Firewall hat, damit man Spiele von denen spielen kann …
https://www.borncity.com/blog/2020/08/15/merkwrdigkeit-spiele-wie-world-of-warships-erfordern-offene-firewall/
Ich habe vor wenigen Minuten eine Mail für einen Acc bekommen und eine weitere vor ca. 30 Minuten für einen anderen Account bei WG. Der letztgenannte ist rein für WoT und habe ich seit Jahren nicht mehr genutzt. Der andere Account dagegen wird für WoWs genutzt und ich hole mir damit derzeit die täglichen Login-Boni ab, spiele aber nicht mehr aktiv.
Noch kleine Ergänzung: in der Mail (Englisch) wurden meine beiden Accountnamen DIREKT angesprochen, also keine global-formulierte Mail. Und nur die Hinweise ich solle das PW ändern und eben den PC auf Schadsoftware prüfen. Die Links führen ALLE zu Wargaming.net (z.B. zur FAQ), jedoch NICHT – wie bei Phishing üblich – zu irgendwelchen Websites wo man sensible Daten eingeben soll. Soviel also dazu.
Hab die Nachricht auch bekommen, gerade eben gelesen und im Info Bereich der Email steht folgendes:
Betreff:
Wargaming.net: Sicherheitsupdate
Von:
Wargaming.net
games_eu@prm.wargaming.net
Für mich sieht das authentisch aus – kein Phishing.
Die links in der Email führen zu https://eu.wargaming.net/support/de/products/wot/article/10581/
und
https://eu.wargaming.net/en
Auch das sind beides URLs die eben nicht auf einen Phishing versucht hindeuten. Die aktuelle Email hat also nicht mit dem oben genannten Aussagen bzgl. zu tun.
Ich habe die Mail auch bekommen. Die ging an mein Google Konto. Komisch ist in diesem Fall: als ich das Konto bei Wargaming seinerzeit erstellt habe, habe ich dies mit xyz@googlemail.com getan. Zwischenzeitlich habe ich die Adresse auf xyz@gmail.com geändert. Das ist allerdings schon sehr lange her. Von daher könnte es wirklich Phishing sein, mit Adressen aus einem sehr alten Datensatz der irgendwann einmal erbeutet wurde
Ich habe zwei Accounts mit aktivierter 2FA bei Wargaming, wovon einer auf eine E-Mail-Adresse meiner eigenen Domain registriert ist und ein anderer auf web.de.
Bei beiden ist bisher die hier beschriebene E-Mail nicht aufgetaucht.
Bissl Offtopic aber Zitat:"Keine Ahnung, ob Leute aus der Blog-Leserschaft von diesem Thema tangiert sind"… Anhand der Anzahl der Kommentare, sind doch ein paar aus der Blog-Leserschaft die es bissl tangiert ;-)
Hallihallo,
also Google hat mich hierher geführt, denn ansonst gibts niergendwo etwas aktuelles dazu zu lesen. Allein mit den Team-Jorge Berichten wird man etwas paranoid. Habe/hatte auch einen uralten Account auf WG und am 8.Feb verwundert das besagte Mail erhalten. Vielen Dank für die die Recherche und Aufklärung.