Spiel-Clients – Kontoaktivitäten und Sicherheit selbst analysieren

DSGVO verändert die Unternehmen

DatenschutzGroße Unternehmen haben sich schon immer schwer damit getan, preiszugeben, was genau man über den einzelnen Benutzer denn für Daten sammelt.

Ich habe dafür jede einzelne große Gaming-Plattform im Eigenversuch analysiert. Das interessante ist, das nur Ubisoft eine detaillierte Auflistung im CSV Format der gesammelten Daten liefert. Wenn man sich fragt, in welchem Land der Hauptsitz von Ubisoft ist, wird auch klar, warum. Ubisoft ist ein französisches Unternehmen und unterliegt damit auch der Europäischen DSGVO (Datenschutz-Grundverordnung).

Es wird ja viel auf die DSGVO geschimpft, aber es hat auch viele gute Seiten liebe Damen und Herren! Denn nun haben Sie als geknechteter der großen Unternehmen endlich mal die Möglichkeit über die Datensammelwut Einsicht zu erhalten. Denn wegen den großen Unternehmen, nicht den kleinen, wurde das gemacht.

Andere Game Clients wie Origin, Steam, Battlenet sind alles amerikanische Unternehmen, die es da nicht ganz so genau wie die Europäer nehmen.

Schwammige Formulierungen in den Datenschutzerklärungen sind dort weit verbreitet. Und man weiß nach dem Lesen der Datenschutzerklärung meistens immer noch nicht, welche Daten nun genau gesammelt oder weitergegeben werden. Er wird auch immer mit einem Webseiten-Erlebnis argumentiert. Was soll das bitte sein? Eine Umschreibung für das abgreifen von Bewegungsprofilen?

Die meisten gesammelten Daten sieht man ja auf Anhieb.

  • Welche Spiele man besitzt.
  • Wann man ein Spiel das Erste und das Letzte mal gespielt hat.
  • Wann man sich angemeldet und abgemeldet hat
  • Wie lange man online ist, auch im Schnitt.
  • Hat man die Spiele durchgespielt? Sieht man an den Errungenschaften. Diese verraten eine Menge über einen selbst!
  • Wer sind meine Freunde?
  • Geburtstag
  • Land
  • E-Mail
  • Was habe ich mir im Client angesehen?

Die Unternehmen können dadurch regelrechte Spielerprofile anlegen (Für Werbung beispielsweise!). Über die Gewohnheiten, zu welchen Uhrzeiten man so spielt. An dieser Flut an Daten kann man spielend feststellen, ob derjenige Arbeitslos ist, ein Schüler oder ein Arbeiter ist.  Auch ob man ein Kaufesel ist und leicht zu manipulieren ist. Sie fragen sich wie? Indem man viele Spiele hat, die man aber überwiegend nie durchgespielt hat. Vielleicht liegt es am Spiel. Es war vielleicht nicht gut, aber trotzdem verraten Sie dadurch auch, das sie sich beschwatzen lassen haben, sei es durch Werbung, Freunde / Hype oder ähnlich. Denn scheinbar haben sie einfach Geld zu viel oder informieren sich nicht objektiv über ein Spiel, bevor Sie es kaufen. Ein perfektes Marketing Opfer also. Entscheiden Sie selbst. Nur belügen Sie sich nicht selbst.

Sicherheit der einzelnen Plattformen

Passwortlänge:

SicherheitHaben Sie sich schon einmal gefragt, warum die Passwortlänge bei Uplay, Origin und Battlenet auf 16 Stellen begrenzt ist? Ja? Ich auch!

Einzig und allein Steam ist hier der Außenseiter mit 64 Zeichen! Gut so!

Denn in Zeiten, wo die Sicherheit immer wichtiger wird, weil zu viele Gefahren im Internet lauern, ist eine Beschränkung auf 16 Zeichen zwar ausreichend, schränkt aber trotzdem die Nutzer in Ihrer Kreativität ein.

In Zeiten, in denen die Rechenleistung der normalen Desktop PC’s immer weiter zunimmt und somit auch die Zeit abnimmt um längere Passwörter zu knacken, ist dies für mich nicht nachvollziehbar. Datenbankhintergründe kann das nicht haben, denn wenn diese Daten verschlüsselt oder als HASH-Wert in der Datenbank abgelegt werden, haben die für gewöhnlich immer die selbe Länge. Ein Passwort mit 50 Stellen wäre als HASH-Wert genauso lang wie eines mit 10 Stellen. Was soll der Blödsinn dann also? Speichern die die Passwörter im Klartext ab? Lachen Sie bitte nicht, denn es ist schon mehrmals passiert das “Experten” großer Firmen diese vertraulichen Daten im Klartext speicherten. Ich denke da gerne an Sony! Gerade Sony zeigte deutlich wie unfähig große Firmen mitunter sind. Groß heißt nämlich nicht automatisch: “Die wissen was sie tun!”. Eben nicht. Gelernt haben diese damals dadurch auch nicht, denn diese haben mehrmals Daten der Kunden durch Datendiebstahl verloren. Das sollte dem Kunden zu denken geben! Wenn sie es nicht schon wieder vergessen haben.

Erschreckend ist jedoch die Tatsache, das die durchschnittliche Länge der Passwörter in Deutschland bei 9 Stellen laut BSI liegt! Ich mache Ihnen mal ein Beispiel wie lange das Knacken eines 9 Stelligen Passwortes dauert!

Rechnung:

  • Kombinationen = Zeichenanzahl hoch Passwortlänge
  • Zeit in Sekunden = Kombinationen / Keys

Beispiel:

  • 1000000000 = 10 hoch 9
  • 0,46 Sekunden = 1000000000 / 2.147.483.600

Benötigte Zeit im Jahr 2016 bei 9 Stellen mit zwei 980GTX GPU’s

2.147.483.600 Keys/s:

  • Nutzung von Ziffern (10 verschiedene Zeichen): 0.46 Sekunden
  • Nutzung von Kleinbuchstaben (26 verschiedene Zeichen): 42.14 Minuten
  • Nutzung von Groß- und Kleinbuchstaben (52 verschiedene Zeichen): 14.98 Tage
  • Nutzung von Groß- Kleinbuchstaben & Ziffern (62 verschiedene Zeichen): 72.96 Tage

Sie fühlen sich sicher? Dann nochmal!

Benötigte Zeit im Jahr 2018 bei 9 Stellen mit zwei 1080GTX GPU’s (~65% schneller)

Hochrechnung:

3.543.347.940 Keys/s:

  • Nutzung von Ziffern (10 verschiedene Zeichen): 0.28 Sekunden
  • Nutzung von Kleinbuchstaben (26 verschiedene Zeichen): 25,53 Minuten
  • Nutzung von Groß- und Kleinbuchstaben (52 verschiedene Zeichen): 9,08 Tage
  • Nutzung von Groß- Kleinbuchstaben & Ziffern (62 verschiedene Zeichen): 44,21 Tage

Sie können bis zu vier GPU’s in einen Rechner bauen! Ein einziger Hacker mit einem einzigen Rechner hätte relativ zeitnah das Passwort geknackt. Sie können dafür aber mehrere Rechner verwenden! Umso schneller sind sie fertig. Alleine in 2 Jahren ist die Geschwindigkeit um 65% gestiegen!

Damalige Sicherheitsexperten rieten zu sehr komplexen Passwörtern, die Groß- Kleinbuchstaben, Ziffern und Sonderzeichen beinhalten. Die sind zwar sicher, wenn sie das volle Spektrum der Möglichkeiten ausnutzen und diese Passwörter auch entsprechend lang sind, aber die kann sich keiner merken! Das ist das Problem daran. Einfacher sind Eselsbrücken als komplett zusammengeschriebene Sätze zu nutzen. Das sollten natürlich keine bekannten sein. Denken sie sich eine eigene Eselsbrücke aus, die nur Sie kennen!

Wenn die Eselsbrücke 16 Stellen lang ist und sie nur Kleinbuchstaben verwenden, dann brauchen Sie:

~390.259 Jahre, um das Passwort zu knacken. Alles klar? Das ist deutlich einfacher als sich ein komplexes Passwort in selber Länge merken zu müssen.

Die zwei Faktor Authentifizierung

Die zwei Faktor Authentifizierung sollte mit Bedacht verwendet werden, da diese meistens Ihr Handy benötigt! Können Sie wirklich sicher sein, dass Ihr Handy nicht kompromittiert wurde? Ich denke da gerne an die Philosophie der Handy Hersteller. Da gibt es dann für 1 Jahr Updates und danach ist Ihr Handy offen wie ein Scheunentor oder sie kaufen sich ein neues. Da kann man nur noch sagen: “Hallo Wegwerfgesellschaft und Tschüss Erde.” Nach diesem Jahr gibt es dann keine Updates mehr und wer danach noch im Internet herum geistert wird mit 100% Sicherheit irgendwann Opfer von Cyberkriminalität. Sie würden ja auch nicht, im Jahr 2018, mit Windows XP online gehen, oder doch? Die wenigsten wissen überhaupt, das sie bereits Opfer sind. Die meisten merken es nämlich erst dann, wenn Post von der Polizei ins Haus flattert. Es gibt aber auch die schweigende und unauffällige Fraktion, die sie einfach weiter belauschen und abhören und alle Daten sammeln, die sie so preisgeben. Wenn nichts offensichtliches passiert (Ihr Handy spinnt, sie werden mit Spams geflutet oder ähnlich), merken sie es meistens nicht. Das ist das gefährliche daran! Sie wiegen sich in Sicherheit, wenn nichts merkwürdiges passiert!

Ich persönlich rate Ihnen von jedweden geschäftlichen Transaktionen mittels dem Handy ab! Das fällt vielleicht in heutiger Zeit etwas schwerer, aber denken Sie an die Folgen. Wenn Sie alles was sie machen, mit dem Handy machen, ist gerade für Angreifer Ihr Handy das attraktivste Ziel überhaupt. Wer hat alles ein Handy? Kennen sie einen ohne?

Dateneinsicht

Origin

Melden Sie sich auf https://myaccount.ea.com/cp-ui/downloaddata/index an. Die selbe Seite erreichen Sie auch, wenn Sie im Origin-Client auf Ihren Nickname klicken und EA-Konto und Abrechnung anwählen.

Im darauf folgenden Menü können Sie unter Deine EA-Daten auf Download anfordern klicken.

Mir ist es ein Rätsel, warum EA für das Zusammenstellen dieser Daten eine ganze Stunde braucht.

Ubisoft

Melden Sie sich auf https://account.ubisoft.com/de-DE/overview an. Die selbe Seite erreichen Sie auch, wenn Sie im Uplay auf Ihren Nickname klicken, Kontoinformationen anwählen und dann auf Ubisoft-Kontoverwaltungsseite klicken.

Hinweis:

Dank der glorreichen Programmierkünste der Webentwickler von Ubisoft, können Sie sich nicht mit dem Firefox Browser dort einloggen. Jedenfalls war es mir dort nicht möglich und ich bekam trotz richtiger Daten immer einen “Anmeldefehler”. Das erinnert mich immer an die Internetseiten von 1990 wo überall stand, das die Seite für irgendeinen Browser “optimiert” wäre. Mit optimiert ist hier jedoch die Unfähigkeit der Webentwickler gemeint. Das so etwas heute noch bei großen Unternehmen vorkommt ist auch wieder ein wenig belustigend und auch traurig! Ubisoft rät einem dann einfach, einen anderen Browser zu nehmen. Edge funktioniert. Ob es daran liegt, das der von Microsoft ist? Wer weiß… Schön, aber warum behebt man den Fehler nicht einfach? Psst, das wäre ja zu einfach! Dann würde man sich hirnrissige FAQ’s zu genau dem Problem sparen!

Nach dem erfolgreichen Login, klicken Sie auf den Reiter Kontodaten.

Sie haben unten auf dieser Seite die Möglichkeit, alle gesammelten Daten über Sie anzufordern.  Das ist nicht nur bezüglich des Datenschutzes relevant, sondern auch dann, wenn Sie E-Mails mit dem Hinweis auf “Verdächtige Aktivitäten” bekommen. Sie haben nämlich dadurch die Möglichkeit selbst zu prüfen, wie oft und wann, versucht wurde sich anzumelden. Auch den genutzten Service bekommen Sie dort angezeigt (Forum, Uplay Client, Spiel gestartet etc.).

Auffälligkeiten können Sie am Datum und den Aktionen festmachen.

Die einzelnen Bedeutungen der Auflistung

Update 03.12.18
Seid neuestem werden fehlgeschlagene Anmeldeversuche (Aktion: FAIL) nicht mehr in der CSV übermittelt. Die genauen Gründe sind mir unbekannt. Sie bekommen nur noch die letzten 3 Anmeldeversuche über die Ubisoft-Kontoverwaltungsseite angezeigt, was ich persönlich sehr dürftig finde. Des weiteren werden so auch fehlgeschlagene Login-Versuche kaum noch bemerkt, da nur die letzten drei angezeigt werden. Wenn Sie sich also dreimal einloggen und davor einer böses im Schilde führte, wissen sie es nicht, da dieser Versuch über den Tellerrand rutscht.

Spekulationen:

Vielleicht soll das auch den Eindruck erwecken, dass der eigene Laden ja “sicher” sei, denn was genau bezweckt man damit, wenn man die gerade interessanten Dinge aus den CSV Dateien streicht? Verschleierung? Um den Schein zu wahren sicher zu sein? Ich finde diese Praktiken sehr bedenklich und Ubisoft tut sich wahrlich keinen gefallen damit, Verschleierung zu betreiben wie es wirklich um die Sicherheit bestellt ist. Datenschutzgründe kann dies nicht haben, da die IP Adresse, Standort und Datum nach wie vor auf der Übersichtsseite angezeigt wird!

Aktionen:

  • LOGIN (Erfolgreich angemeldet)
  • LOGOUT (Erfolgreich abgemeldet)
  • FAIL (Anmeldung gescheitert)
  • RESET PASSWORD (Passwort ändern)
  • FORGET PASSWORD (Passwort vergessen)
  • UPDATE (Kontoinformationen aktualisiert)

Plattformen:

Vor dem Jahr 2013 wurde alle Geräte mit der Plattform “BROWB” geführt. Auch PC Spiele, die gar nicht im Browser laufen. Es ist daher naheliegend, dass dieses System damals noch nicht fertig war.

  • PC (Am PC gestartet/durchgeführt)
  • BROWB (Im Browser aufgerufen)
  • IOS (Apple Iphone)
  • ADRD (Android)
  • MISC (Sonstige)

Produkte und Dienste:

Gespielte Spiele werden im Reiter Produkt geführt!

Dies ist eine interpretierte Auflistung meinerseits. Je nachdem wie weit diese Log Datei in Jahren zurückreicht, wurden eventuell seitens Ubisoft, die ein oder anderen Angaben und deren Bedeutungen mal verändert. Ich kann das im Detail nicht zu 100% rekonstruieren. Ich habe zum Testen, verschiedene Aktionen selbst zeitlich über ein paar Tage festgehalten und diese dann mit der von Ubisoft ausgelieferten CSV verglichen. Anhand von Spielständen (ein paar Jahre alt), die in meinem Besitz sind, konnte ich zumindest nachverfolgen, ob die Logdatei auch wirklich aussagekräftig ist. Anhand dessen konnte ich diverse Dinge ableiten.

Jedoch gab es auch bei mir diverse Anmeldeversuche von Fremden, die ich keiner speziellen Seite oder Dienst zuordnen konnte. Interessanterweise wurde versucht Spiele zu spielen, die ich nicht einmal besitze. Kurios. Interessant war auch das diverse IP’s, die ich dort finden konnte, Ubisoft selbst gehören. Entweder versucht ein Mitarbeiter in Kanada am Ubisoftsitz über meinen Account zu spielen (unwahrscheinlich), oder jemand missbraucht die IP Adresse witziger weise von Ubisoft für seine illegalen Taten. Vielleicht ist Ubisoft in Kanada gehackt und die wissen es nicht einmal. Ich werde diesbezüglich an Ubisoft eine E-Mail schreiben und denen meine Logs vorlegen. Mal sehen was die sagen, wenn die eigene IP bei den Machenschaften auftaucht.

Wenn Sie sonst nie unerlaubte Login Versuche verzeichnen konnten und auf einmal regelmäßig ab einem bestimmten Zeitpunkt, Loginversuche stattfinden oder diese sogar gelingen, sollten sie in einem mal diese Seite aufrufen und Ihre E-Mail Adresse dort eingeben.

Hasso-Plattner-Institut für Digital Engineering

https://sec.hpi.uni-potsdam.de/ilc/

Sie bekommen dann für eine E-Mail Adresse am Tag eine detaillierte Auflistung ,ob diese bereits in irgendwelchen geleakten Datenbanken zu finden ist, samt Passwort wohlgemerkt!

HackermonturSie selbst können der sicherheitsbewusste Mensch schlechthin sein, das hilft Ihnen aber nicht, wenn die Seiten, auf denen Sie Accounts besitzen Ihren Job nicht richtig machen. Zudem wissen Sie als normaler Benutzer der Webseite auch gar nicht, mit welchen Sicherheitsstandards die Inhaber der Seite die Passwörter verschlüsseln. Wenn die lediglich das Passwort in MD5 Hashen ist das heutzutage KEIN Schutz mehr. Das ist eigentlich schon eine Einladung zum gehackt werden, weil die Wahrscheinlichkeit die Passwörter herauszubekommen sehr hoch ist. Ich selbst war auch betroffen durch die Planet3Dnow oder Ubisoft Geschichte von damals, aber ich war damals schon so clever, das die mit den ergaunerten Daten nicht weit kommen werden.

Geben Sie NIE freiwillig Ihre Kontodaten, Ihre Adressdaten oder sonstige personenbezogene Daten an. Wenn Sie einkaufen, dann müssen Sie zumindest mal die Adresse angeben, wohin das gekaufte geliefert werden soll. Verständlich. Ansonsten sind diese Angaben immer Tabu, wenn diese nicht für den Dienst erforderlich sind.

Meine Empfehlung:

Für alle unwichtigen Seiten legen Sie sich einen Trashaccount an! Zum Schreiben in Foren, in Blogs oder sonstigen Diskussionsumgebungen sind reale Daten nicht erforderlich! Und jede Seite die solche Daten zwingend erheben sind Datenkraken! Nun, wenn Sie Facebook benutzen ist eh alles vorbei!

Erstellen Sie nie blindlinks, irgendwo auf irgendwelchen unbekannten Seiten einen Account! Es könnte eine Seite der “bösen” sein die Ihre Passwörter abgreift in Kombination mit der E-Mail Adresse. Bei Trashaccounts mag das nicht tragisch sein, aber überlegen sie sich immer sehr gut, wem Sie ihre echte E-Mail Adresse geben! Nicht mehr verwendete Accounts, die sie auf irgendwelchen Seiten mal angelegt haben, könnten Ihnen irgendwann zum Verhängnis werden. Je weniger Seiten es im Internet gibt, bei denen Sie einen Account haben, desto besser! Und! Löschen Sie nicht mehr benötigte Accounts auf Seiten, die sie nicht mehr besuchen wollen.

Benutzen Sie jedes Passwort nur ein Einziges mal!

Welche Accounts sind besonders zu schützen?

  • Ihr E-Mail Account!
  • Generell Accounts, die zum Einkaufen/Verkaufen verwendet werden.
  • Spielclient Accounts

Merken Sie sich einfach folgendes. Alle Bereiche, die bei einer Kompromittierung einen finanziellen Schaden nach sich ziehen würden, sind besonders zu schützen!

Denken Sie mal an folgendes Szenario. Jemand kapert Ihr Uplay Konto. Derjenige loggt sich ein, spielt vielleicht mit Cheats und Ihr Account wird in dem Spiel gebannt. Somit könnten Sie dieses Spiel nicht mehr online mit anderen spielen.Die meisten Spiele kosten 50 Euro. Wie viele Spiele besitzen Sie mit einem Multiplayer Modus? Rechnen Sie selbst! Das ist noch die harmlose Variante. Schlimm wird es erst, wenn das Passwort für den Uplay Login identisch mit dem Login für Ihre E-Mail Adresse ist.

Was macht derjenige dann?

Er klaut Ihren kompletten Account!

Er kann spielend die E-Mail Adresse auf eine neue, eigene ändern, eben weil Sie so “schlau” waren, das selbe Passwort zu benutzen. Wenn Sie überall, auch in anderen Spiel Clients so verfahren haben, haben Sie ein echtes Problem! Mein Mitleid hält sich dann aber in Grenzen. Tut mir leid.

Und wenn Sie dann mal an Ebay, Amazon oder Paypal denken, sollte Ihnen jetzt ziemlich warm werden, wenn sie überall das selbe Passwort verwenden.

Liste der bereits gehackten Unternehmen der letzten Jahre (Nur relativ bekannte!)

  • Ubisoft
  • Yahoo
  • Dyn
  • Sony Playstation Network
  • Adobe Systems
  • Snapchat
  • Ebay
  • Dropbox
  • LinkedIn
  • Domainfactory

Das ist nur eine kleine Liste von Unternehmen, bei denen man weiß, das diese gehackt wurden! Wie viele Unternehmen, wo sie auch einen Account haben, gibt es denn noch, die ebenso gehackt sind, aber keiner es weiß oder man verheimlicht es einfach? Glauben Sie mal nicht, dass dies Einzelfälle wären.

Haben Sie irgendwo einen Account?

Im Endeffekt vertrauen wir den Firmen viel zu sehr, dass diese auch für die Sicherheit der Daten sorgen. Und wer hat nach dem Hack den Schaden? Die Unternehmen? Nein, immer der Kunde! Und das schlimme ist, Ihnen wird keiner helfen. Die Unternehmen haken es in der Ablage ab, nachdem man das Loch gestopft hat und sie dürfen sich eventuell Monate mit dem Problem rum ärgern.

Zum Anfang!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.