Sicherheitsvorfall bei wargaming.net (Feb. 2023)?

Sicherheit (Pexels, allgemeine Nutzung)Keine Ahnung, ob Leute aus der Blog-Leserschaft von diesem Thema tangiert sind, weil sie ein Benutzerkonto bei diesem Anbieter haben. Ein Leser hat mich auf einen Sicherheitsvorfall beim Spieleentwickler wargaming.net aufmerksam gemacht. Ich habe dann ein wenig recherchiert, ist nicht der erste Vorfall bei diesem Anbieter. Es könnte aber auch ein Phishing-Versuch sein (das versuche ich noch zu klären). Hier einige Informationen, was mir bekannt ist.


Anzeige

Ein Leserhinweis

Blog-Leser Sebastian hat mich vor einigen Stunden in einer privaten Mitteilung auf Facebook über einen Sicherheitsvorfall bei wargaming.net informiert (danke dafür). Er ist wohl beim Portal angemeldet und bekam eine entsprechende Mail, wie er schreibt:

Moin Günter, es gab wohl einen Sicherheitsvorfall bei wargaming.net. Folgende Email habe ich vom Betreiber erhalten.

Er hat mir dann nachfolgenden Screenshot der Benachrichtigung zukommen lassen und schreibt zur Einordnung: Bekannt ist die Firma durch das Spiel "World of Tanks".

Wargaming.net Sicherheitsupdate

Hier ist der betreffende Text der Benachrichtigung:

Lieber xxxx

dein Passwort wurde zurückgesetzt, um die Sicherheit deines Kontos zu gewährleisten

Bitte folge den Sicherheitsempfehlungen

  • Überprüfe deinen Computer oder dein Gerät auf Viren und andere Schadsoftware
  • Fordere ein neues Passwort an

Wir empfehlen auch, deine Mobiltelefonnummer mit deinem Konto zu verbinden und die Zwei-Faktor-Authentifizierung zu aktivieren, um die Sicherheit deines Kontos zu steigern, falls du dies noch nicht getan hast. Weitere Informationen findest du hier

[…]

Sebastian merkt dazu an: Seltsam ist nur, dass man seinen PC auf Schadsoftware prüfen soll. Wurde da Malware via dem Client / Updater verteilt? Das war auch das, was mir ins Auge stach.

Keine weiteren Details, aber Abgründe

Ich habe auf die Schnelle geschaut, ob die Webseite von wargaming.net noch zusätzliche Details enthält, wurde aber nicht fündig. Dort wird lediglich für die Spiele der Firma geworben.

wargaming.net

Auf hacknotice.com habe ich aber nachfolgende Meldung vom 1. Mai 2021 gefunden, die einen Hack propagiert:


Anzeige

wargaming.net

The HackNotice security research team discovered a data leak file associated with this domain. According to the hacker, this domain was allegedly hacked. If there are no other sources attached to this hack notice, then we don't have an official disclosure of a data incident, so this hack is only implied.

Zumindest gab es damals den Verdacht, dass die Domain gehackt worden sei. Und aus dem Oktober 2017  gibt es dieses Dokument mit dem Titel Compensation for Damage for Hacked Accounts, welches Fälle regelt, wenn ein Konto gehackt wurde und Schäden auftreten. Und auf dieser Seite gibt der Anbieter Hinweise, was man tun kann, wenn ein Konto gehackt und "gestohlen" wurde.

Irgend etwas scheint wohl im Dezember 2022 bei diesem Anbieter passiert zu sein. Auf reddit.com findet sich der Thread Wargaming database hack, wo jemand schreibt:

I just got an alert from nord pass that wargaming has been breached, just to let you all know incase you need to change passwords etc.

Ein weiterer Nutzer mit dem Alias cyberfight, offenbar ein Angestellter von Wargaming, antwortete dann:

Hello, Commanders.

Some of our players have received security-related messages from us in the last days. This is primarily because we've detected a pattern of unusual access attempts for a number of accounts. As a standard precaution we've taken various steps – from standard reminders to reset passwords and enable two-factor authentication, to resetting those passwords or payment methods automatically in some cases.

We also periodically send such reminder emails to players who have not reset their password in a long time, or who do not have all available security features enabled on their accounts.

There have been no breaches in our network infrastructure, but we believe it's always better to err on the side of caution, so we encourage everyone to follow the instructions contained in the messages. It's also a good practice independently to check the security of your mailboxes and passwords, as well as not to reuse the same credentials between multiple services, like between your email and your Wargaming account.

Should anyone have any specific concerns related to their accounts, please feel free to contact our Customer Support team. We're sorry for any inconvenience this may have caused players.

The Wargaming Team.

Dort werden nur "ungewöhnliche Zugriffsmuster auf Konten" eingestanden, so dass Mitglieder per Mail aufgefordert wurden, die 2FA zu aktivieren und das Passwort zurückzusetzen. In einem weiteren Post schreibt ein Nutzer, dass er in der Europäischen Union leben und weder das Passwort ändern noch die Zweifaktor-Authentifizierung (2FA) aktivieren könne, weil Wargaming keine SMS sende. Könnte aber ein Einzelfall sein und der Nutzer hat schlicht eine falsche Telefonnummer angegeben. Im Forum von World of Tanks gibt es aber diesen Thread vom 10. Dezember 2022, in dem ein Nutzer schreibt, dass sein Konto gehackt wurde. Scheint sich aber um einen Einzelfall zu handeln.

Ergänzung: Beachtet auch den Hinweis in den Kommentaren, dass solche Benachrichtigungen ein Phishing-Versuch sein können – im aktuellen Fall versuche ich, ob ich an den Header der Nachricht heran komme.

Kann es Phishing sein?

Ergänzung: Auf Grund der Kommentare habe ich beim Leser nachgefragt, ob das Ganze ein Phishing-Versuch sein kann. Der Leser schrieb mir folgendes zurück:

An Phishing hab ich auch gedacht. Aber die enthaltenen Links sind ebenfalls alle "sauber" und verweisen zu wargaming.net.

Der Leser hat mir zudem den Header der Mail zur Verfügung gestellt – danke dafür – hier die Details:

Received: from xxxxxxxxxx (xxx.xxx.xxx.xxx) by xxxxxxxxxx
(xxx.xxx.xxx.xxx) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id xxxxxxxxxx via Mailbox
Transport; Wed, 8 Feb 2023 17:03:13 +0100
Received: from xxxxxxxxxx (xxx.xxx.xxx.xxx) by xxxxxxxxxx
(172.30.0.201) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.2.1118.21; Wed, 8 Feb
2023 17:02:57 +0100
Received: from xxxxxxxxxx (127.0.0.1) by xxxxxxxxxx (127.0.0.1) with
Microsoft SMTP Server id xxxxxxxxxx via Frontend Transport; Wed, 8 Feb 2023
17:02:57 +0100
Return-Path: games_eu@prm.wargaming.net
Received: from xxxxxxxxxx
by xxxxxxxxxxe with LMTP
id WBblFc/H42PWlgAA7k+M8w
(envelope-from <xxxxxxxxxx>); Wed, 08 Feb 2023 17:03:27 +0100
Envelope-to: xxxxxxxxxx
Delivery-date: Wed, 08 Feb 2023 17:03:27 +0100
Authentication-Results: xxxxxxxxxx;
iprev=pass (uspmta120119.emarsys.net) smtp.remote-ip=185.4.120.119;
spf=pass smtp.mailfrom=xpressus.emarsys.net;
dkim=pass header.d=prm.wargaming.net header.i=games_eu@prm.wargaming.net header.s=key2 header.a=rsa-sha256;
dkim=pass header.d=emarsys.net header.s=key2 header.a=rsa-sha256;
dmarc=skipped
Received: from uspmta120119.emarsys.net ([185.4.120.119])
by xxxxxxxxxx with esmtps (TLS1.3) tls TLS_AES_256_GCM_SHA384
(Exim 4.94.2)
(envelope-from <suite5@xpressus.emarsys.net>)
id 1pPmus-000Ak0-FM
for xxxxxxxxxx; Wed, 08 Feb 2023 17:03:27 +0100
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=key2; d=prm.wargaming.net;
h=To:Subject:From:MIME-Version:List-Id:X-CSA-Complaints:List-Unsubscribe:
List-Unsubscribe-Post:Content-Type:Message-ID:Date;
i=games_eu@prm.wargaming.net;
bh=HaHQj6OkrL8pprpXkp8w+IQ6WDeYg+qefK10vUdckMs=;
b=AHHFvwW2WZI7FkctWgGOhQS8Azs4cUlEeFHs7M42+93y3ig64R/nFsMtbVKh2DAGLFerI6bRRmfZ
u8jC/Oz/pfEP9HeWYQouQy87wHFM36UIbOngLyYTnbvno7t9m9Oo3ghcGGbqPoeH0KcoXzgwCdaA
02h7k4AL9C1W7AltmRc=
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=key2; d=emarsys.net;
h=To:Subject:From:MIME-Version:List-Id:X-CSA-Complaints:List-Unsubscribe:
List-Unsubscribe-Post:Content-Type:Message-ID:Date;
bh=HaHQj6OkrL8pprpXkp8w+IQ6WDeYg+qefK10vUdckMs=;
b=mX6hIrz7jfiKMka8MJTX0NQduyP3P7tATAt6pFq7nH9532tYGUalc8G/1ipcKNbH3wkA36qPMyEk
viR+XOP04Bnbcy+0JkTS2MT9kw4Mr6+HtmqscQ9SGjdYIDCO5URCfoadczbKh/nGylzQpDHdCfdp
zZSATawIun5bkwBTzdA=
To: xxxxxxxxxx
Subject: Wargaming.net: Sicherheitsupdate
X-Mailer: class SMTPMail
From: "Wargaming.net" <games_eu@prm.wargaming.net>
MIME-Version: 1.0
List-Id: 278799761 <Wargaming.net>
X-EMarSys-Identify: 278799761_2594210_26387
X-EMarSys-Environment: suite5
X-Report-Abuse: Please report abuse here: abuse-report@emarsys.com
X-CSA-Complaints: csa-complaints@eco.de
List-Unsubscribe: <mailto:list-unsubscribe+278799761_2594210_26387_ur0uvsFONr@emarsys.net>, <https://list-unsubscribe.eservice.emarsys.net/api/unsubscribe/278799761_2594210_26387_ur0uvsFONr>
List-Unsubscribe-Post: List-Unsubscribe=One-Click
Content-Type: multipart/alternative;
boundary="--=_---NextPart--=_-7L7qXxLhaU"
Message-ID: <0.1.13.606.1D93BD6DA804914.0@uspmta120119.emarsys.net>
Date: Wed, 8 Feb 2023 17:03:15 +0100
X-DKIM-Status: pass [(prm.wargaming.net) - 185.4.120.119]
X-DKIM-Status: pass [(games_eu@prm.wargaming.net) - 185.4.120.119]
X-DKIM-Status: pass [(emarsys.net) - 185.4.120.119]
X-Virus-Scanned: Clear (ClamAV 0.103.7/26806/Wed Feb 8 09:42:20 2023)
X-Spam-Score: 0.3 (/)
Delivered-To: xxxxxxxxxx
X-MS-Exchange-Organization-Network-Message-Id: 495b4444-b168-49ea-a04e-08db09edf235
X-ESET-AS: R=OK;S=0;OP=CALC;TIME=1675872178;VERSION=7944;MC=2987986378;TRN=21;CRV=0;IPC=xxx.xxx.xxx.xxx;SP=0;SIPS=3;PI=3;F=0
X-ESET-Antispam: OK
X-EsetResult: clean, is OK
X-EsetId: 37303A291D37AA55617065
X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
X-MS-Exchange-Organization-AuthSource: xxxxxxxxxx
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Transport-EndToEndLatency: 00:00:15.5446482
X-MS-Exchange-Processed-By-BccFoldering: xxxxxxxxxx

Wenn ich nichts übersehen habe, sollte es kein Phishing-Ansatz sein.

Hintergrund wargaming.net

Ganz interessant fand ich dann den Wikipedia-Eintrag von Wargaming.net, dem ich entnehme, dass es sich um einen belarussischen Spieleentwickler mit Firmensitz in Nikosia (auf Zypern) handelt. Wargaming.net wurde im Jahr 1998 von einer Gruppe Fans militärischer Strategie gegründet. Während das Studio lange Zeit rundenbasierte Strategiespiele entwickelte, gelang der große Durchbruch im Jahr 2010 mit der historischen Panzersimulation World of Tanks.

Ursprünglich als Nischentitel für Fans historischer Panzerschlachten konzipiert, entwickelte sich World of Tanks nach der Veröffentlichung in Russland 2010 und international im Jahr 2011 zum Vorzeigespiel des Studios. Nach dem enormen Erfolg von World of Tanks, welches nach eigenen Angaben (Stand Januar 2017) über 100 Millionen registrierte Spieler hat, führte Wargaming.net 2013 die Schwesterspiele World of Warplanes (historische Flugsimulation) und 2015 World of Battleships (historische Seekriegsimulation, später umbenannt in World of Warships) ein.

Im Jahr 2011 eröffnete Wargaming.net Büros in Paris und San Francisco. Im August 2012 kaufte Wargaming.net die australische Softwarefirma BigWorld, welche die in den Wargaming-Spielen verwendete BigWorld-Engine entwickelt, für 45 Millionen Dollar. Ein weiteres Büro in Seoul öffnete im Jahr 2012, um in Kooperation mit dem neuen Partner SEA Gaming die Präsenz auf dem asiatischen Markt zu stärken. Pläne für die Zukunft sehen vor, die drei World-of-Spiele miteinander zu verbinden, um "ultimative Spielerfahrung für Kriegsspieler in aller Welt" zu liefern.

Im Februar 2013 kaufte Wargaming.net das finanziell angeschlagene Studio Gas Powered Games (u. a. Dungeon-Siege-Serie) auf. Im August 2013 gab das Unternehmen in einer Pressekonferenz bekannt, dass die Rechte für Total Annihilation und Master of Weapon von Atari erworben wurden.

Am 4. April 2022 verkündete Wargaming aufgrund des anhaltenden Russland-Ukraine-Konflikts, sich aus Belarus und Russland zurückzuziehen und die dortigen Studios zu schließen. Insgesamt ist Wargaming.net wohl kein kleiner Spieleentwickler, sondern international aufgestellt.

Falls jemand näheres weiß, kann er gerne einen Kommentar hinterlassen. Da das Thema aber ggf. wegen des belarussichen Hintergrunds der Entwickler entgleisen könnte, vorsorglich der Hinweis: Ich werde alle Kommentare mit politischem Bias löschen


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu Sicherheitsvorfall bei wargaming.net (Feb. 2023)?

  1. Luzifer sagt:

    na scheinen nur einige wenige Konten betroffen zu sein (evtl. schwache PW oder PW stuffing) Spiele selbst World of Tanks mit einer Gruppe Freunde und wir bekammen alle keine PW Änderung … Auffälligkeiten beim einloggen gab es auch bei keinem, nutzen aber auch alle 2FA … wahrscheinlich wurden da die üblichen PW Kombis aus Leaks ausprobiert und der Entwickler hat genau das gemacht was er geschrieben hat: bei entsprechenden Konten vorsichtshalber ein Reset des PW ausgeführt.

  2. Johannes sagt:

    im Mail Header findet sich sowas :

    Return-Path: suite5[@]xpressus.emarsys.net
    Authentication-Results: gmx.net; dkim=pass header.i=games_eu@prm.wargaming.net

    • Günter Born sagt:

      Hatte erst gelaubt, dass es wegen des return-paths Phishing sein könnte. Aber Emarsys ist ein Anbieter von Cloud-Marketing-Software für channel-übergreifendes Engagement. Sieht so aus, als ob Wargames.net diesen Dienstleister für die E-Mail-Kommunikation einsetzt.

  3. Phadda sagt:

    Kann jetzt auch nichts negatives Berichten. Was mir hier fehlt, welchen "Welt" Teil es betrifft, denn je nach Region brauchst je Region ein Account EU/NA/ASIA, kannst jedoch auch mit einem ASIA Account aus EU daddeln. Es ist lediglich die Bindung zum Servercluster im Land damit gekoppelt.

  4. Kai sagt:

    Scheint zumindest kein flächendeckendes Phänomen zu sein.
    Hab 2 Accounts auf den EU-Servern und keine solche Mail erhalten.
    Mal schauen was noch kommt…

  5. Torfratte sagt:

    es ist KEINE Mail von Wargaming sondern eine Phishing-Mail – diese sind seit mind. Ende letzten Jahres in dieser Form in Umlauf (und auch in diversen FB-Gruppen [zB. deutsche World-Of-Tanks Gruppen] bereits bekannt in denen davor gewarnt wird auf die Links in der Mail zu klicken).

    Der Link in der Mail führt natürlich auch nicht auf einer Seite von Wargaming sondern einer Kopie; Mailheader zeigt alles andere als Wargaming.

    Der WG-Support hat einem Gruppenmitglied auf seine Rückfrage zu der Mail bestätigt, dass von dieser Adresse keine Mails an User geschickt wird sondern ausschließlich über die Support-Adresse

    • Günter Born sagt:

      Danke für den Einwand. Ich hab mal diesbezüglich beim Empfänger der Mail nachgefragt, ob er sich den Header ansehen kann, um diesen Fall auszuschließen oder zu bestätigen. Sollte ich was an Rückmeldung bekommen, trage ich es nach – wäre dann eine interessante Volte – und der Beitrag in anderem Kontext sinnvoll gewesen.

      Nachtrag: Ich habe jetzt Zugriff auf den Header, beachtet meine Ergänzung in obigem Text.

      • Torfratte sagt:

        Das Blöde ist hier ist, dass WG im Forum pauschal sagt, dass die Mail echt wäre – obwohl viele User die die Mail bekommen haben, genau das Gegenteil sagen.
        Irgendwie sieht es für mich danach aus als ob die Adresse(n) wirklich mal benutzt wurden um auf auf sowas hinzuweisen und die Mods/Admins im Forum nur sagen, dass die Mail echt wäre weil es die Adresse gibt anstatt auf Header oder Links hinzuweisen.

        Ich habe seit 2010 ein WG EU-Account (seit 2013 einen NA-Account) und nur einmalig eine Sicherheitsmail erhalten (Mailadressen von Accounts wurden mal geleakt – wenn ich das richtig in Erinnerung habe) in der damals auch geschrieben wurde, dass man die 2FA aktivieren solle. Zu den Mails seit Nov/Dez. haben einige sogar über mehrmals dieselbe Mail am Tag berichtet.

        Man KANN die Mails vielleicht befolgen allerdings besser nicht auf die Links innerhalb der Mail klicken sondern die Seiten manuell aufrufen. 2FA sollte man eh bereits aktiviert haben seitdem die Mailadressen der User bekannt wurden – damit wäre ja nur noch das PW zu knacken was durch diverse andere Leaks außerhalb WG ja u.U. recht leicht ist durch irgendwelche COMBs.
        Betroffen sind scheinbar auch alle WG-Regionen, in NA begann es teilweise (scheinbar echte Mails) im Sommer letzten Jahres.

        -> man kann scheinbar nicht pauschal sagen ist echt oder nicht sondern muss wirklich die entsprechende Mail genauer ansehen

        • Torfratte sagt:

          PS: hab jetzt doch mal in meinen Spam-Ordner geguckt und habe bei 2 von 3 Accounts die Mail auch bekommen (auf Hauptaccount mit 2FA + verbundener Handy-Nr nicht) – wenn ich das vorher gesehen hätte, dann hätte ich mir meine Kommentare sparen können bzw. die Infos sogar selbst liefern können

          • Günter Born sagt:

            Zum Kommentar sparen: Nein, der war wichtig – ich selbst habe da bei wargaming.net keine Aktien – daher war die Phishing-Möglichkeit nicht auf dem Radar. In obigem Fall ist es geklärt: Kein Phishing. Aber vielleicht setzt der Beitrag hier ja bei potentiellen Opfern das Bit "denkt daran, es könnte echt oder Phishing sein" – dann sind wir ja schon weiter, wenn die Leute genauer prüfen. Sonst könnte ich mir das Bloggen auch sparen und spazieren gehen …

  6. Tom sagt:

    Wenn ich das lese, fällt mir wieder ein, das man nach wie vor alle Ports auf haben muss, wenn man eine Netzwerk-Firewall hat, damit man Spiele von denen spielen kann …
    https://www.borncity.com/blog/2020/08/15/merkwrdigkeit-spiele-wie-world-of-warships-erfordern-offene-firewall/

  7. Sven sagt:

    Ich habe vor wenigen Minuten eine Mail für einen Acc bekommen und eine weitere vor ca. 30 Minuten für einen anderen Account bei WG. Der letztgenannte ist rein für WoT und habe ich seit Jahren nicht mehr genutzt. Der andere Account dagegen wird für WoWs genutzt und ich hole mir damit derzeit die täglichen Login-Boni ab, spiele aber nicht mehr aktiv.

  8. Sven sagt:

    Noch kleine Ergänzung: in der Mail (Englisch) wurden meine beiden Accountnamen DIREKT angesprochen, also keine global-formulierte Mail. Und nur die Hinweise ich solle das PW ändern und eben den PC auf Schadsoftware prüfen. Die Links führen ALLE zu Wargaming.net (z.B. zur FAQ), jedoch NICHT – wie bei Phishing üblich – zu irgendwelchen Websites wo man sensible Daten eingeben soll. Soviel also dazu.

  9. Eiion sagt:

    Hab die Nachricht auch bekommen, gerade eben gelesen und im Info Bereich der Email steht folgendes:

    Betreff:
    Wargaming.net: Sicherheitsupdate
    Von:
    Wargaming.net
    games_eu@prm.wargaming.net

    Für mich sieht das authentisch aus – kein Phishing.

    Die links in der Email führen zu https://eu.wargaming.net/support/de/products/wot/article/10581/
    und
    https://eu.wargaming.net/en
    Auch das sind beides URLs die eben nicht auf einen Phishing versucht hindeuten. Die aktuelle Email hat also nicht mit dem oben genannten Aussagen bzgl. zu tun.

  10. Andy sagt:

    Ich habe die Mail auch bekommen. Die ging an mein Google Konto. Komisch ist in diesem Fall: als ich das Konto bei Wargaming seinerzeit erstellt habe, habe ich dies mit xyz@googlemail.com getan. Zwischenzeitlich habe ich die Adresse auf xyz@gmail.com geändert. Das ist allerdings schon sehr lange her. Von daher könnte es wirklich Phishing sein, mit Adressen aus einem sehr alten Datensatz der irgendwann einmal erbeutet wurde

  11. Bitkompostierer sagt:

    Ich habe zwei Accounts mit aktivierter 2FA bei Wargaming, wovon einer auf eine E-Mail-Adresse meiner eigenen Domain registriert ist und ein anderer auf web.de.
    Bei beiden ist bisher die hier beschriebene E-Mail nicht aufgetaucht.

  12. Phadda sagt:

    Bissl Offtopic aber Zitat:"Keine Ahnung, ob Leute aus der Blog-Leserschaft von diesem Thema tangiert sind"… Anhand der Anzahl der Kommentare, sind doch ein paar aus der Blog-Leserschaft die es bissl tangiert ;-)

  13. Dr. No sagt:

    Hallihallo,

    also Google hat mich hierher geführt, denn ansonst gibts niergendwo etwas aktuelles dazu zu lesen. Allein mit den Team-Jorge Berichten wird man etwas paranoid. Habe/hatte auch einen uralten Account auf WG und am 8.Feb verwundert das besagte Mail erhalten. Vielen Dank für die die Recherche und Aufklärung.

Schreibe einen Kommentar zu Johannes Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.