Passwortklau bei League of Legends
Riot Games gab bekannt, dass persönliche Daten von Mitspielern in Europa in die falschen Hände geraten sind und warnt Spieler in den betroffenen Regionen per E-Mail. Daten zu Geldtransaktionen seien aber in keinem Fall kompromittiert.
- Sven-Olaf Suhl
Persönliche Daten europäischer Spieler von League of Legends wurden gehackt, betroffen seien "bestimmte Datenbanken" mit Kundendaten aus der Europäischen Union und Osteuropa, gab Hersteller Riot Games am Wochenende bekannt. Das Leck betrifft demnach eine ungenannte Anzahl von E-Mail-Adressen, Geburtsdaten, Zugangspasswörtern und bei einer "kleinen Anzahl Spieler" auch Klarnamen und Lösungen für die Sicherheitsabfrage zur Wiederherstellung von Nutzer-Accounts.
Der Spieleanbieter betont zugleich, dass keinerlei Daten zu Finanztransaktionen gestohlen worden seien. Nutzer aus den betroffenen Regionen würden per E-Mail über den Hackerangriff in Kenntnis gesetzt. Bei der Überprüfung des Vorfalls habe sich zudem herausgestellt, dass zahlreiche Spieler wenig getan hätten, um ihre Spiel-Accounts vor unbefugtem Zugriff zu schützen – über die Hälfte der nutzergenerierten Passwörter seien leicht zu knacken. Im Fall von elf besonders verbreiteten Passwörtern würde jedes davon von jeweils über zehntausend Spielern in identischer Weise genutzt.
Riot Games ruft die Spieler dazu auf, ihr Passwort umgehend zu ändern und gibt ihnen dabei wohlbekannte Ratschläge mit auf den Weg: So sollten sie nicht dasselbe Passwort für unterschiedliche Web-Dienste nutzen ("keep it unique") und sich längere sowie komplexere Zeichenkombinationen ausdenken, um ein Erraten des Passworts zu erschweren. Um gegen künftige Hackerangriffe besser gewappnet zu sein, kündigt der Hersteller außerdem an, verstärkt Vorsorge zu treffen und in Passwort-Hashing, Datenverschlüsselung, Firewalls und "security ninjas" zu investieren.
Erst letzte Woche wurde bekannt, dass den Diensten LinkedIn, Last.fm und eHarmony Millionen von Nutzer-Passwörtern abhanden gekommen waren. Weil diese nicht dem Stand der Technik gemäß gespeichert waren, wurden innerhalb kurzer Zeit etwa 95% der Last.fm-Passwörter geknackt. Riot sagt zwar nicht direkt etwas über die Art und Weise, wie sie die Passwörter gespeichert haben. Aber allein die Tatsache, dass das gleiche Passwort immer wieder den gleichen Hash-Wert ergeben hat, zeigt deutlich, dass auch hier elementare Sicherheitsmaßnahmen vernachlässigt wurden. Mit dieser Mentalität, die Verantwortung für Sicherheit primär auf die Anwender abzuschieben, beschäftigt sich der heise-Security-Kommentar LinkedIn und die Passwörter. (ssu)
