ACHTUNG SQL-Injection

SQL-Injection (Gamigo, Elite, FanPages)

Guten morgen Allerseits!
Wie ihr alle mitbekommen habt war dieses Wochenende sehr viel los!
Der Elite LastChaos Server ist in seine Open Beta gegegangen, doch wie ihr vielleicht alle festgestellt habt gab es noch enorme Probleme! Doch der Datenverlust der SQL-Datenbank wahr ausschlaggebender als alle Bugs der Welt!

Auch bei den FanPages hat sich etwas getan, auch wenn dies in dem Kommult ein wenig untergegangen ist: Ab Freitag war unser Creator lahm gelegt und zeigt nurnoch einen Datenbankfehler an.

Seit Samstag berichten Kunden Gamigo's den Verlust von Items was dazu führte das Gamigo ihre Server gestern praktisch den ganzen Tag offline hatten: Grund...ein Fehler in der Datenbank!

Man Brauch kein Spezialist sein um den Zusammenhang zwischen all dem zu erkennen!

Ein Wochenende - 3 injectete SQL Datenbanken!

Ich habe mit meinem Team schnell reagiert und die Löcher die Auslöser für diesen Angriff waren stopfen können.
Im Falle meiner FanPages nutzte der Angreifer eine Lücke im Creator, welcher alle eingetragenen Daten in einer MySQL Dtenbank sichert.
Was den Elite Server betrifft so sorgte ein Fehler im Registrierscript für einen simplen Angriff der die gesamte Datenbank betraf. Nur die Accountdaten waren so abgesichert, dass der Angreifer keinen Zugriff auf diese erlangen konnte. Dies war auch Grund warum sämtliche Spieler einen neuen Charakter erstellen mussten.
Diese beiden Ereignisse sind allerdings nichts gegen das, was dem "Hacker" mit Gamigo gelang.

Der Elite Server war noch neu, ein Charakterverlust also nicht wirklich schlimm, doch Gamigo hat sehr unter diesem Angriff zu leiden!

Ich habe gestern Abend einen anonymen Hinweis darauf bekommen, dass der Hacker uns auf die Probe stellen wollte. Unsere schnelle Reaktion war anscheind ausreichend um seinen "Test" zu bestehen.
Allerdings führte die Fehlinterpretation Gamigo's bei dem Unbekannten, der sich selbst ironischerweise "HappyHalloween" nennt, anscheind zu großer Amüsanz.

Dies soll keinerlei Thread sein der Gamigo schlecht machen soll!
Im Gegenteil: Ich habe bereits gestern mehrere LastChaosTeamMitglieder angeschrieben um sie vor ihrem Vorhaben zu warnen!

Der Angriff des Hackers begann wie auch bei meinen FanPages am Freitag dem 29.10.10. Zur Nacht auf Samstag den 30.10.10 verschwanden duzende Items auf verschiedenen Accounts.
Ich habe Grund zur Annahme das Gamigo's geplantes, und aufwendiges RollBack auf Sonntag gegen 5 Uhr einen Schuss nach hinten darstellen wird!

Zwar ist die Aktion mit austauschen der Passwörter gut gedacht, jedoch auch ineffektiv wenn es der Hacker schaffte sich eine Backdoor einzurichten um in Zukunft weiterhin auf Gamigo's Datenbank zuzugreifen.

Auch ist es nicht ausgeschlossen, dass "HappyHalloween" einfach nur die Datenbank so manipuliert hat, dass bei den betroffenen Personen die besagten Items verschwinden, ohne dass er jemals eingeloggt seien musste.


Ich rate euch deshalb: Lasst in den nächsten Tagen die Finger weg von Gamigo's Client! Die Chance all eure Errungenschafften zu verlieren ist höher denn je.
Solange Gamigo nicht sämtliche Prüfungen im Punkte BackDoors durchgeführt hat wäre das derzeitige Spielen reinste Zeitverschwendung.
Auch der geplante RollBack ist total sinnlos da 50% der Items bei besagtem Termin bereits weg waren!
Wesentlich effizienter für Gamigo wäre die Durchführung eines anständigen, risikolosen BackUp's anstatt die Langzeitfolgen eines minimalistischen Konsumdenkens zu spüren.
Tut mir Leid es so drastisch ausdrücken zu müssen, leider handelt es sich um die Wahrheit =(

Ich hoffe ihr habt meine Warnung verstanden und ihr versteht meine Reaktion!
Mit lieben Grüßen
Eure Jana