Sicherheit und iPhone-Passwörter: SEGA verliert 1,3 Mio. Nutzerdaten, Theorien zum iPhone-Passcode
Der letzte Stand unserer SEGA-Anfrage, wie es zu den zahlreichen Nutzerbeschwerden und den offensichtlich geplünderten iTunes-Konten in Verbindung mit dem AppStore-Titel „Kingdom Conquest“ kommen konnte, ist wenig befriedigend:
Wir arbeiten derzeit zusammen mit Apple an einer Lösung bezüglich der gehackten Accounts / Fehlbelastungen. Bis dahin müssen wir betroffene Kunden bitten, direkt über den Apple-Support eine Gutschrift zu beantragen – als Publisher haben wir keinen Zugriff auf iTunes-Accounts.”
Wir warten weiterhin auf ein abschließendes Feedback und verweisen bis dahin zur heute bekannt gewordenen Attacke auf die Benutzer-Konten der SEGA Spieler-Community „Pass“. Nach Berichten der Nachrichtenagentur REUTERS sollen SEGA 1,3 Millionen Account-Informationen abhanden gekommen sein. Neben Klarnamen, Geburtsdaten und eMail-Adressen seien auch die auf den SEGA-Servern gespeicherten Nutzer-Passwörter betroffen.
Mitglieder der SEGA-Community sollten am besten noch heute ihre Passwörter wechseln und – falls noch nicht geschehen – auf eine sichere Passwort-Strategie umsteigen. Tipps dazu haben wir in den folgenden beiden Artikeln zusammengestellt:
Apropos Security: Presh Talwalkar plädiert für den Einsatz von iPhone-Passcodes die nicht mehr als drei unterschiedliche Ziffern beinhalten:
This trick of using three numbers does in fact increase the set of possible passwords. While each case of three digits only gives 12 passwords, the gain to this method is that the other person doesn’t know which number is repeated. And so they have to consider all possibilities which becomes 36 possible passwords
Talwalkar argumentiert mit dem „Multinomial Theorem“ und beschert uns diesen äußerst lesenswerten Geek-Artikel zum Thema. Die Quintessenz: Fingerabdrücke auf dem iPhone-Display können Rückschlüsse auf den eingesetzten Passcode ermöglichen. Arbeitet man hier mit nur drei unterschiedlichen Ziffern erhöht sich die Anzahl der potentiellen Passcodes von 12 auf 36.
Die am häufigsten genutzten iPhone-Passcodes lassen sich hier nachlesen.
Wieso werden denn überhaupt die Nutzer Daten abgespeichert!!! Sollte sowas nicht von Apple unterbunden werden!!!???
Nichts ist mehr sicher!!! Kann man auch direkt zu android wechseln!!! Da können die Handys wenigstens mehr:-(
Denk mal nach, zumindest Nutzername/Passwort MÜSSEN irgendwo gespeichert werden, wie sonst soll der Server wissen, welches Passwort das richtige ist, wenn du dich einloggen möchtest.
Was soll von Apple unterbunden werden? Was können die dafür, wenn ihre Nutzer unsichere Passwörter verwenden?
Es war noch nie irgendetwas 100% sicher, die Aktionen von Lulzsec, Anonymous etc. in den vergangenen Monaten beweisen das nur zu gut. Das bist du aber nirgendwo vor sicher, weder bei iOS, noch bei Android, noch bei Windows, Mac oder sonst wo. Leb damit! Oder zieh das Telefonkabel..
Wäre trotzdem nett wenn man darüber klar informiert wird was wo gespeichert wird. Warum müssen wir uns jetzt genau damit abfinden dass Userdaten gehackt werden?
@leseprobe: wenn das gemacht würde, wäre das hacken wesentlich einfachr, da nicht einmal nmehr nach dem richtign server gesucht werden müsste ;-)
Was meinst du genau?
Welche Nutzerdaten?
Die iTunes-Accounts sind nur bei Apple gespeichert. Bisher wurde iTunes noch nicht gehackt. Es gab bisher nur „hacks“ durch Phishing, wobei Phishing kein „hack“ und kein „crack“ ist, sondern viel mehr auf die Dummheit der Nutzer abzielt.
Bzw. es können gehackte Accounts von anderen Diensten sein bei denen die Nutzer so dämlich sind und bei unterschiedlichen Diensten das gleiche Passwort verwenden. (Beispiel: Gleiches Passwort für PSN(Sony), iTunes, e-Mail etc.)
Nutzerdaten die bei iTunes gespeichert sind werden nicht an Dritte weitergegeben. Worauf willst du also hinaus?
Frag ich mich auch grad, ich vermute aber er meint eher die Apps die eine extra Registrierung verlangen…. Find ich eh beknackt.
Aber es ist doch garnicht von SEGA schaut mal im AppStore alle sind von SEGA nur die eine ist von SEGA CORPORATION
Stimmt!!!
ich würde sagen die Anzahl der Möglichkeiten 4 bekannte und unterschiedliche Ziffern zu kombinieren beträgt 24 und nicht 12…
Thema Passwortstrategie. Wie geht ihr damit um? Man lässt sich über ein Masterpasswortcin Verbindung mit der Website ein Passwort generieren. Alles gut und schön. Nun muss dieses -aus welchem Grund auch immer- verändert werden. Was nun? Es wird ja immer das gleiche Passwort generiert.
..ich verstehe nicht, was du uns sagen willst. Wenn du mit einem Passwordtool dir neue Passwörter generieren lässt, ist jedes gleich? Was ist das denn für ’ne Logik.
Lulz Secruity, wenn ich mich nicht irre.
LulzSec steht für Lulz Security, richtig. Allerdings handelt es sich dabei scheinbar eher um Scriptkiddies als wirklich talentierte „hacker“/“cracker“. Einerseits sind ihre „Hauptwaffe“ DDoS-Angriffe (distrubuted denial of service) und das kann wirklich jeder Idiot der nur genügend Rechner und Bandbreite zur Verfügung hat. (DDoS: Server wird mit Anfragen überlastet)
Wenns wenigstens DoS-Angriffe mit einer einzigen Anfrage wären, die die Server überlasten, hätte es ja zumindest etwas technischen Anspruch.
Und auch die Angriffe bei Sony und Co hatten eher simple Natur. Anfängerfehler bei der Sicherheit wurden ausgenutzt. Was war es nochmal bei Sony? Eine SQL-Injection?
Nun, für die Nutzer dieser Services ist es natürlich ärgerlich. Und man weiß nicht welche genaue Intention LulzSec verfolgt. Sie veröffentlichen Teile der gestohlenen Daten und was sie noch so tun ist unbekannt. Außerdem bilden sie sich scheinbar ein es sei alles legitim und legal was sie so treiben.
Ach ja…was SEGA angeht…ich glaube von den Passwörtern haben sie nur die hashes gestohlen, wie sicher diese sind weiß ich aber nicht. Könnten also mittlerweile gecrackt sein.