{"id":277651,"date":"2023-02-09T01:15:26","date_gmt":"2023-02-09T00:15:26","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=277651"},"modified":"2024-01-24T11:28:55","modified_gmt":"2024-01-24T10:28:55","slug":"sicherheitsvorfall-bei-wargaming-net-feb-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/02\/09\/sicherheitsvorfall-bei-wargaming-net-feb-2023\/","title":{"rendered":"Sicherheitsvorfall bei wargaming.net (Feb. 2023)?"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Keine Ahnung, ob Leute aus der Blog-Leserschaft von diesem Thema tangiert sind, weil sie ein Benutzerkonto bei diesem Anbieter haben. Ein Leser hat mich auf einen Sicherheitsvorfall beim Spieleentwickler <em>wargaming.net<\/em> aufmerksam gemacht. Ich habe dann ein wenig recherchiert, ist nicht der erste Vorfall bei diesem Anbieter. Es k\u00f6nnte aber auch ein Phishing-Versuch sein (das versuche ich noch zu kl\u00e4ren). Hier einige Informationen, was mir bekannt ist.<\/p>\n<p><!--more--><\/p>\n<h2>Ein Leserhinweis<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/9d796a482380491eab8caaab83e1e518\" alt=\"\" width=\"1\" height=\"1\" \/>Blog-Leser Sebastian hat mich vor einigen Stunden in einer privaten Mitteilung auf Facebook \u00fcber einen Sicherheitsvorfall bei <em>wargaming.net<\/em> informiert (danke daf\u00fcr). Er ist wohl beim Portal angemeldet und bekam eine entsprechende Mail, wie er schreibt:<\/p>\n<blockquote><p>Moin G\u00fcnter, es gab wohl einen Sicherheitsvorfall bei <em>wargaming.net<\/em>. Folgende Email habe ich vom Betreiber erhalten.<\/p><\/blockquote>\n<p>Er hat mir dann nachfolgenden Screenshot der Benachrichtigung zukommen lassen und schreibt zur Einordnung: <em>Bekannt ist die Firma durch das Spiel \"World of Tanks\".<\/em><\/p>\n<p><img decoding=\"async\" title=\"Wargaming.net Sicherheitsupdate\" src=\"https:\/\/i.imgur.com\/g9svfsY.png\" alt=\"Wargaming.net Sicherheitsupdate\" \/><\/p>\n<p>Hier ist der betreffende Text der Benachrichtigung:<\/p>\n<blockquote><p>Lieber xxxx<\/p>\n<p>dein Passwort wurde zur\u00fcckgesetzt, um die Sicherheit deines Kontos zu gew\u00e4hrleisten<\/p>\n<p>Bitte folge den Sicherheitsempfehlungen<\/p>\n<ul>\n<li>\u00dcberpr\u00fcfe deinen Computer oder dein Ger\u00e4t auf Viren und andere Schadsoftware<\/li>\n<li>Fordere ein neues Passwort an<\/li>\n<\/ul>\n<p>Wir empfehlen auch, deine Mobiltelefonnummer mit deinem Konto zu verbinden und die Zwei-Faktor-Authentifizierung zu aktivieren, um die Sicherheit deines Kontos zu steigern, falls du dies noch nicht getan hast. Weitere Informationen findest du hier<\/p>\n<p>[&#8230;]<\/p><\/blockquote>\n<p>Sebastian merkt dazu an: <em>Seltsam ist nur, dass man seinen PC auf Schadsoftware pr\u00fcfen soll. Wurde da Malware via dem Client \/ Updater verteilt?<\/em> Das war auch das, was mir ins Auge stach.<\/p>\n<h2>Keine weiteren Details, aber Abgr\u00fcnde<\/h2>\n<p>Ich habe auf die Schnelle geschaut, ob die Webseite von <em>wargaming.net <\/em>noch zus\u00e4tzliche Details enth\u00e4lt, wurde aber nicht f\u00fcndig. Dort wird lediglich f\u00fcr die Spiele der Firma geworben.<\/p>\n<p><a href=\"https:\/\/eu.wargaming.net\/\" target=\"_blank\" rel=\"nofollow noopener\"><img decoding=\"async\" title=\"wargaming.net\" src=\"https:\/\/i.imgur.com\/qWzR4Og.png\" alt=\"wargaming.net\" \/><\/a><\/p>\n<p>Auf <a href=\"https:\/\/web.archive.org\/web\/20220812181608\/https:\/\/hacknotice.com\/2021\/05\/01\/wargaming-net\/\" target=\"_blank\" rel=\"noopener\">hacknotice.com<\/a> habe ich aber nachfolgende Meldung vom 1. Mai 2021 gefunden, die einen Hack propagiert:<\/p>\n<blockquote><p>wargaming.net<\/p>\n<p>The HackNotice security research team discovered a data leak file associated with this domain. According to the hacker, this domain was allegedly hacked. If there are no other sources attached to this hack notice, then we don't have an official disclosure of a data incident, so this hack is only implied.<\/p><\/blockquote>\n<p>Zumindest gab es damals den Verdacht, dass die Domain gehackt worden sei. Und aus dem Oktober 2017\u00a0 gibt es <a href=\"https:\/\/eu.wargaming.net\/support\/en\/products\/wot\/article\/16148\/\" target=\"_blank\" rel=\"nofollow noopener\">dieses Dokument<\/a> mit dem Titel <em>Compensation for Damage for Hacked Accounts<\/em>, welches F\u00e4lle regelt, wenn ein Konto gehackt wurde und Sch\u00e4den auftreten. Und auf <a href=\"https:\/\/worldofwarplanes.eu\/tutorials\/account_security\/what-do-when-account-has-been-stolen\/\" target=\"_blank\" rel=\"nofollow noopener\">dieser Seite<\/a> gibt der Anbieter Hinweise, was man tun kann, wenn ein Konto gehackt und \"gestohlen\" wurde.<\/p>\n<p>Irgend etwas scheint wohl im Dezember 2022 bei diesem Anbieter passiert zu sein. Auf reddit.com findet sich der Thread <a href=\"https:\/\/web.archive.org\/web\/20230129000224\/https:\/\/www.reddit.com\/r\/WorldOfWarships\/comments\/zmwdvn\/wargaming_database_hack\/\" target=\"_blank\" rel=\"noopener\">Wargaming database hack<\/a>, wo jemand schreibt:<\/p>\n<blockquote><p>I just got an alert from nord pass that wargaming has been breached, just to let you all know incase you need to change passwords etc.<\/p><\/blockquote>\n<p>Ein weiterer Nutzer mit dem Alias cyberfight, offenbar ein Angestellter von Wargaming, antwortete dann:<\/p>\n<blockquote><p>Hello, Commanders.<\/p>\n<p>Some of our players have received security-related messages from us in the last days. This is primarily because we've detected a pattern of unusual access attempts for a number of accounts. As a standard precaution we've taken various steps \u2013 from standard reminders to reset passwords and enable two-factor authentication, to resetting those passwords or payment methods automatically in some cases.<\/p>\n<p>We also periodically send such reminder emails to players who have not reset their password in a long time, or who do not have all available security features enabled on their accounts.<\/p>\n<p>There have been no breaches in our network infrastructure, but we believe it's always better to err on the side of caution, so we encourage everyone to follow the instructions contained in the messages. It's also a good practice independently to check the security of your mailboxes and passwords, as well as not to reuse the same credentials between multiple services, like between your email and your Wargaming account.<\/p>\n<p>Should anyone have any specific concerns related to their accounts, please feel free to contact our Customer Support team. We're sorry for any inconvenience this may have caused players.<\/p>\n<p>The Wargaming Team.<\/p><\/blockquote>\n<p>Dort werden nur \"ungew\u00f6hnliche Zugriffsmuster auf Konten\" eingestanden, so dass Mitglieder per Mail aufgefordert wurden, die 2FA zu aktivieren und das Passwort zur\u00fcckzusetzen. In einem weiteren Post schreibt ein Nutzer, dass er in der Europ\u00e4ischen Union leben und weder das Passwort \u00e4ndern noch die Zweifaktor-Authentifizierung (2FA) aktivieren k\u00f6nne, weil Wargaming keine SMS sende. K\u00f6nnte aber ein Einzelfall sein und der Nutzer hat schlicht eine falsche Telefonnummer angegeben. Im Forum von <em>World of Tanks<\/em> gibt es aber <a href=\"http:\/\/forum.worldoftanks.com\/index.php?\/topic\/663779-hacked-account\/\" target=\"_blank\" rel=\"noopener\">diesen Thread<\/a> vom 10. Dezember 2022, in dem ein Nutzer schreibt, dass sein Konto gehackt wurde. Scheint sich aber um einen Einzelfall zu handeln.<\/p>\n<blockquote><p><strong>Erg\u00e4nzung:<\/strong> Beachtet auch den <a href=\"https:\/\/borncity.com\/blog\/2023\/02\/09\/sicherheitsvorfall-bei-wargaming-net-feb-2023\/#comment-142050\">Hinweis<\/a> in den Kommentaren, dass solche Benachrichtigungen ein Phishing-Versuch sein k\u00f6nnen &#8211; im aktuellen Fall versuche ich, ob ich an den Header der Nachricht heran komme.<\/p><\/blockquote>\n<h2>Kann es Phishing sein?<\/h2>\n<p><strong>Erg\u00e4nzung:<\/strong> Auf Grund der Kommentare habe ich beim Leser nachgefragt, ob das Ganze ein Phishing-Versuch sein kann. Der Leser schrieb mir folgendes zur\u00fcck:<\/p>\n<blockquote><p>An Phishing hab ich auch gedacht. Aber die enthaltenen Links sind ebenfalls alle \"sauber\" und verweisen zu wargaming.net.<\/p><\/blockquote>\n<p>Der Leser hat\u00a0mir zudem den Header der Mail zur Verf\u00fcgung gestellt &#8211; danke daf\u00fcr &#8211; hier die Details:<\/p>\n<blockquote>\n<pre>Received: from xxxxxxxxxx (xxx.xxx.xxx.xxx) by xxxxxxxxxx\r\n(xxx.xxx.xxx.xxx) with Microsoft SMTP Server (version=TLS1_2,\r\ncipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id xxxxxxxxxx via Mailbox\r\nTransport; Wed, 8 Feb 2023 17:03:13 +0100\r\nReceived: from xxxxxxxxxx (xxx.xxx.xxx.xxx) by xxxxxxxxxx\r\n(172.30.0.201) with Microsoft SMTP Server (version=TLS1_2,\r\ncipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.2.1118.21; Wed, 8 Feb\r\n2023 17:02:57 +0100\r\nReceived: from xxxxxxxxxx (127.0.0.1) by xxxxxxxxxx (127.0.0.1) with\r\nMicrosoft SMTP Server id xxxxxxxxxx via Frontend Transport; Wed, 8 Feb 2023\r\n17:02:57 +0100\r\nReturn-Path: games_eu@prm.wargaming.net\r\nReceived: from xxxxxxxxxx\r\nby xxxxxxxxxxe with LMTP\r\nid WBblFc\/H42PWlgAA7k+M8w\r\n(envelope-from &lt;xxxxxxxxxx&gt;); Wed, 08 Feb 2023 17:03:27 +0100\r\nEnvelope-to: xxxxxxxxxx\r\nDelivery-date: Wed, 08 Feb 2023 17:03:27 +0100\r\nAuthentication-Results: xxxxxxxxxx;\r\niprev=pass (uspmta120119.emarsys.net) smtp.remote-ip=185.4.120.119;\r\nspf=pass smtp.mailfrom=xpressus.emarsys.net;\r\ndkim=pass header.d=prm.wargaming.net header.i=games_eu@prm.wargaming.net header.s=key2 header.a=rsa-sha256;\r\ndkim=pass header.d=emarsys.net header.s=key2 header.a=rsa-sha256;\r\ndmarc=skipped\r\nReceived: from uspmta120119.emarsys.net ([185.4.120.119])\r\nby xxxxxxxxxx with esmtps (TLS1.3) tls TLS_AES_256_GCM_SHA384\r\n(Exim 4.94.2)\r\n(envelope-from &lt;suite5@xpressus.emarsys.net&gt;)\r\nid 1pPmus-000Ak0-FM\r\nfor xxxxxxxxxx; Wed, 08 Feb 2023 17:03:27 +0100\r\nDKIM-Signature: v=1; a=rsa-sha256; c=relaxed\/relaxed; s=key2; d=prm.wargaming.net;\r\nh=To:Subject:From:MIME-Version:List-Id:X-CSA-Complaints:List-Unsubscribe:\r\nList-Unsubscribe-Post:Content-Type:Message-ID:Date;\r\ni=games_eu@prm.wargaming.net;\r\nbh=HaHQj6OkrL8pprpXkp8w+IQ6WDeYg+qefK10vUdckMs=;\r\nb=AHHFvwW2WZI7FkctWgGOhQS8Azs4cUlEeFHs7M42+93y3ig64R\/nFsMtbVKh2DAGLFerI6bRRmfZ\r\nu8jC\/Oz\/pfEP9HeWYQouQy87wHFM36UIbOngLyYTnbvno7t9m9Oo3ghcGGbqPoeH0KcoXzgwCdaA\r\n02h7k4AL9C1W7AltmRc=\r\nDKIM-Signature: v=1; a=rsa-sha256; c=relaxed\/relaxed; s=key2; d=emarsys.net;\r\nh=To:Subject:From:MIME-Version:List-Id:X-CSA-Complaints:List-Unsubscribe:\r\nList-Unsubscribe-Post:Content-Type:Message-ID:Date;\r\nbh=HaHQj6OkrL8pprpXkp8w+IQ6WDeYg+qefK10vUdckMs=;\r\nb=mX6hIrz7jfiKMka8MJTX0NQduyP3P7tATAt6pFq7nH9532tYGUalc8G\/1ipcKNbH3wkA36qPMyEk\r\nviR+XOP04Bnbcy+0JkTS2MT9kw4Mr6+HtmqscQ9SGjdYIDCO5URCfoadczbKh\/nGylzQpDHdCfdp\r\nzZSATawIun5bkwBTzdA=\r\nTo: xxxxxxxxxx\r\nSubject: Wargaming.net: Sicherheitsupdate\r\nX-Mailer: class SMTPMail\r\nFrom: \"Wargaming.net\" &lt;games_eu@prm.wargaming.net&gt;\r\nMIME-Version: 1.0\r\nList-Id: 278799761 &lt;Wargaming.net&gt;\r\nX-EMarSys-Identify: 278799761_2594210_26387\r\nX-EMarSys-Environment: suite5\r\nX-Report-Abuse: Please report abuse here: abuse-report@emarsys.com\r\nX-CSA-Complaints: csa-complaints@eco.de\r\nList-Unsubscribe: &lt;mailto:list-unsubscribe+278799761_2594210_26387_ur0uvsFONr@emarsys.net&gt;, &lt;https:\/\/list-unsubscribe.eservice.emarsys.net\/api\/unsubscribe\/278799761_2594210_26387_ur0uvsFONr&gt;\r\nList-Unsubscribe-Post: List-Unsubscribe=One-Click\r\nContent-Type: multipart\/alternative;\r\nboundary=\"--=_---NextPart--=_-7L7qXxLhaU\"\r\nMessage-ID: &lt;0.1.13.606.1D93BD6DA804914.0@uspmta120119.emarsys.net&gt;\r\nDate: Wed, 8 Feb 2023 17:03:15 +0100\r\nX-DKIM-Status: pass [(prm.wargaming.net) - 185.4.120.119]\r\nX-DKIM-Status: pass [(games_eu@prm.wargaming.net) - 185.4.120.119]\r\nX-DKIM-Status: pass [(emarsys.net) - 185.4.120.119]\r\nX-Virus-Scanned: Clear (ClamAV 0.103.7\/26806\/Wed Feb 8 09:42:20 2023)\r\nX-Spam-Score: 0.3 (\/)\r\nDelivered-To: xxxxxxxxxx\r\nX-MS-Exchange-Organization-Network-Message-Id: 495b4444-b168-49ea-a04e-08db09edf235\r\nX-ESET-AS: R=OK;S=0;OP=CALC;TIME=1675872178;VERSION=7944;MC=2987986378;TRN=21;CRV=0;IPC=xxx.xxx.xxx.xxx;SP=0;SIPS=3;PI=3;F=0\r\nX-ESET-Antispam: OK\r\nX-EsetResult: clean, is OK\r\nX-EsetId: 37303A291D37AA55617065\r\nX-MS-Exchange-Organization-AVStamp-Enterprise: 1.0\r\nX-MS-Exchange-Organization-AuthSource: xxxxxxxxxx\r\nX-MS-Exchange-Organization-AuthAs: Anonymous\r\nX-MS-Exchange-Transport-EndToEndLatency: 00:00:15.5446482\r\nX-MS-Exchange-Processed-By-BccFoldering: xxxxxxxxxx<\/pre>\n<\/blockquote>\n<p>Wenn ich nichts \u00fcbersehen habe, sollte es kein Phishing-Ansatz sein.<\/p>\n<h2>Hintergrund wargaming.net<\/h2>\n<p>Ganz interessant fand ich dann den Wikipedia-Eintrag von <a href=\"https:\/\/de.wikipedia.org\/wiki\/Wargaming.net\" target=\"_blank\" rel=\"noopener\">Wargaming.net<\/a>, dem ich entnehme, dass es sich um einen belarussischen Spieleentwickler mit Firmensitz in <a href=\"https:\/\/de.wikipedia.org\/wiki\/Nikosia\" target=\"_blank\" rel=\"noopener\">Nikosia<\/a> (auf Zypern) handelt. <i>Wargaming.net<\/i> wurde im Jahr 1998 von einer Gruppe Fans milit\u00e4rischer Strategie gegr\u00fcndet. W\u00e4hrend das Studio lange Zeit <a href=\"https:\/\/de.wikipedia.org\/wiki\/Rundenbasiertes_Strategiespiel\" target=\"_blank\" rel=\"noopener\">rundenbasierte Strategiespiele<\/a> entwickelte, gelang der gro\u00dfe Durchbruch im Jahr 2010 mit der historischen Panzersimulation <i><a href=\"https:\/\/de.wikipedia.org\/wiki\/World_of_Tanks\" target=\"_blank\" rel=\"noopener\">World of Tanks<\/a><\/i>.<\/p>\n<p>Urspr\u00fcnglich als Nischentitel f\u00fcr Fans historischer Panzerschlachten konzipiert, entwickelte sich World of Tanks nach der Ver\u00f6ffentlichung in Russland 2010 und international im Jahr 2011 zum Vorzeigespiel des Studios. Nach dem enormen Erfolg von World of Tanks, welches nach eigenen Angaben (Stand Januar 2017) \u00fcber 100 Millionen registrierte Spieler hat, f\u00fchrte <i>Wargaming.net<\/i> 2013 die Schwesterspiele <i><a href=\"https:\/\/de.wikipedia.org\/wiki\/World_of_Warplanes\" target=\"_blank\" rel=\"noopener\">World of Warplanes<\/a><\/i> (historische Flugsimulation) und 2015 <i>World of Battleships<\/i> (historische Seekriegsimulation, sp\u00e4ter umbenannt in <i><a href=\"https:\/\/de.wikipedia.org\/wiki\/World_of_Warships\" target=\"_blank\" rel=\"noopener\">World of Warships<\/a><\/i>) ein.<\/p>\n<p>Im Jahr 2011 er\u00f6ffnete <i>Wargaming.net<\/i> B\u00fcros in Paris und San Francisco. Im August 2012 kaufte <i>Wargaming.net<\/i> die australische Softwarefirma BigWorld, welche die in den Wargaming-Spielen verwendete BigWorld-Engine entwickelt, f\u00fcr 45 Millionen Dollar. Ein weiteres B\u00fcro in Seoul \u00f6ffnete im Jahr 2012, um in Kooperation mit dem neuen Partner <i>SEA Gaming<\/i> die Pr\u00e4senz auf dem asiatischen Markt zu st\u00e4rken. Pl\u00e4ne f\u00fcr die Zukunft sehen vor, die drei <i>World-of<\/i>-Spiele miteinander zu verbinden, um \"ultimative Spielerfahrung f\u00fcr Kriegsspieler in aller Welt\" zu liefern.<\/p>\n<p>Im Februar 2013 kaufte <i>Wargaming.net<\/i> das finanziell angeschlagene Studio Gas Powered Games (u. a. <i>Dungeon-Siege<\/i>-Serie) auf. Im August 2013 gab das Unternehmen in einer Pressekonferenz bekannt, dass die Rechte f\u00fcr <i>Total Annihilation<\/i> und <i>Master of Weapon<\/i> von Atari erworben wurden.<\/p>\n<p>Am 4. April 2022 verk\u00fcndete Wargaming aufgrund des anhaltenden Russland-Ukraine-Konflikts, sich aus Belarus und Russland zur\u00fcckzuziehen und die dortigen Studios zu schlie\u00dfen. Insgesamt ist <em>Wargaming.net<\/em> wohl kein kleiner Spieleentwickler, sondern international aufgestellt.<\/p>\n<blockquote><p>Falls jemand n\u00e4heres wei\u00df, kann er gerne einen Kommentar hinterlassen. Da das Thema aber ggf. wegen des belarussichen Hintergrunds der Entwickler entgleisen k\u00f6nnte, vorsorglich der Hinweis: Ich werde alle Kommentare mit politischem Bias l\u00f6schen<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Keine Ahnung, ob Leute aus der Blog-Leserschaft von diesem Thema tangiert sind, weil sie ein Benutzerkonto bei diesem Anbieter haben. Ein Leser hat mich auf einen Sicherheitsvorfall beim Spieleentwickler wargaming.net aufmerksam gemacht. Ich habe dann ein wenig recherchiert, ist nicht &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/02\/09\/sicherheitsvorfall-bei-wargaming-net-feb-2023\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-277651","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277651","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=277651"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277651\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=277651"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=277651"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=277651"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}