Supercell ID gehackt trotz Kontoschutz

  • #11

    Zu post #8 #


    Ja, das ist eine einmalige Sache. Den es geht wirklich nur um die Email Adresse, die bleibt ja gleich und hayday kann man nur 1malig mit dieser verknüpfen.


    Aber es kann nicht alles gut sein, die Prüfung der Email Adresse über HPI Identity Leak Checker


    Identity Leak Checker

    besagt nur aus,das man im dark net noch nichts gefunden hat . Tatsache ist aber, das jemand deine Email hat. Sonst wäre das Dilemma ja nicht.

    Einmal editiert, zuletzt von CaT Babsi ()

  • #12

    Ja selbst hier im forum tauchen manchmal dubiose Mitglieder mit dubiosen Angeboten auf und bevor sie gesperrt werden können ist vielleicht schon jemand drauf reingefallen.

  • #14

    Weil sehr wahrscheinlich ein Cookie bzw. etwas was einem Cookie gleichzusetzen ist, verwendet wird, um Deine Session griffbereit zu halten, sprich damit Du Dich nicht nach jedem Start von Hay Day einloggen musst, wie in einem Browser, wo Du auch auf Deinen Seiten eingeloggt bleibst (so lange die Cookies nicht gelöscht werden oder ablaufen)

    Allerdings hast Du mit Deinem speziellen Fall auch gleich eine kleine Sicherheitslücke in diesem Zusammenhang bei Supercell offenbart. Denn wenn bspw. das Passwort eines SC-Accounts geändert wird, sollte die Session serverseitig automatisch als abgelaufen markiert werden, um so einen Neu-Login des Accounts (auf allen Geräten, auf denen sich mit dieser SC-ID eingeloggt wurde) mit dem neuen Passwort zu erzwingen. Das gleiche sollte natürlich auch passieren, wenn die SC-Email-Adresse geändert wird. Das kannst Du bspw. mal bei Amazon testen: Logge Dich auf 2 Geräten ein, ändere das Passwort über eins der beiden Geräte (welches ist egal) und Du wirst automatisch auf dem 2. Gerät ausgeloggt, weil Amazon die Session serverseitig ablaufen lässt, um Hijacking zu verhindern.


    Um den Zugang zu dieser SC-ID wiederherzustellen, ist zwingend ein 'guter' Kontakt bei Supercell nötig, entweder jemand mit Kompetenz oder jemand, der sehr nachlässig ist, wenn Ihr versteht.. sprich jemand, der nicht viel Überzeugungsarbeit benötigt, um die E-Mail-Adresse wieder zurückzuändern.


    Du hast 2 Probleme: 1. Musst Du es schaffen, die E-Mail-Adresse zurückzuändern und 2. musst Du einen Session-Logout aller eingeloggten Accounts Deiner SC-ID durch den Support erzwingen lassen. Supercell kann diesen Logout auf deren Seite erzwingen, denn ich hatte einen Fall, bei dem ein Mitarbeiter von SC mir mitgeteilt hat, dass alle aktiven Sessions meiner SC-ID deaktiviert wurden, um weiteren Missbrauch zu verhindern. In meinem Fall hatte ich allerdings nur eine Spam-Mail-Addy mit der betroffenen SC-ID verwendet und wollte diese auf eine normale E-Mail-Adresse ändern lassen.


    Mit dem von Dir gesammelten Material hast Du genug Beweise um gegenüber einem kompetenten SC-Angestellten glaubhaft darzustellen, dass die Farm Dir gehört. Bringt Dir natürlich 0,0, wenn Dein Kontakt bei SC eben nicht so kompetent ist. Der (kompetente) SC-Mensch wird dann noch abfragen, mit welchen Geräten Du Dich bisher mit dieser SC-ID eingeloggt hast (Firma/Modell reicht aus) und außerdem könnte dieser Mensch auch ganz easy checken, mit welchen IPs in der (jüngeren) Vergangenheit auf die Farm zugegriffen wurde und spätestens hier wird man 1 und 1 zusammenrechnen können.


    Ich behaupte, dass der SC-Support im groben Durchschnitt eher nicht so kompetent ist, daher liegt es an Dir und damit an Deinen Worten so viel Überzeugungsarbeit wie möglich und nötig zu leisten, um den Menschen vom Support zu überreden, die Änderungen rückgängig zu machen. Entscheidend ist klar zu kommunizieren, was passiert ist und der Umstand, dass Du zahlreiche Beweise vorlegen kannst, dass es Dein Account ist. Du solltst den Angestellten außerdem proaktiv darauf hinweisen, mit welchen Geräten Du Dich eingeloggt hast und den Menschen bitten, die IPs zu checken, mit denen sich auf Deiner Farm eingeloggt wurde. In dem Zusammenhang könntest Du auch gleich Deine aktuelle IP als Abgleich mitteilen, auch wenn der Support-Mensch diese eh haben sollte. Wenn Du keinen VPN benutzt, wovon ich stark ausgehe, sondern ganz normalen Zugang zum Internet über DSL/Kabel/Mobile hast, findest Du Deine tatsächliche IP bspw hier:


    Wie ist meine IP-Adresse?
    Auf wieistmeineip.de findest Du schnell und einfach heraus, mit welcher IP-Adresse Du online bist. Außerdem: Ausführlicher DSL-Speedtest mit vielen Statistiken…
    www.wieistmeineip.de

    dein-ip-check.de - was Ihr Browser über Sie weiß
    Haben Sie sich schon gefragt, welche Daten man mit Hilfe Ihres Browsers ermitteln kann, wenn Sie auf eine Internetseite surfen?
    www.dein-ip-check.de


    Mitteilenswert ist die IPv4



    Bitte den Absatz komplett lesen, bevor gehandelt wird: Also spätestens wenn Du die App-Daten von Hay Day löschst, kannst Du ganz normal eine neue Farm anfangen (alternativ Hay Day deinstallieren und neu installieren) und diese auch mit einer (neuen) E-Mail-Adresse verknüpfen und damit eine neue SC-ID erhalten. WICHTIG: Du verlierst damit den aktiven Zugang zu Deiner aktuellen Farm (die gehackt wurde) und wirst den Zugang nicht mehr ohne den SC-Support wiederherstellen können.


    Ich würde das nicht tun, sondern weiter den SC-Support zustochern und den Sachverhalt wie oben beschrieben nochmal sehr ausführlich erklären und dabei nicht unerwähnt lassen, dass Du aktuell noch Zugang zu Deiner Farm hast und damit beweisen kannst, dass sie Dir "gehört", dass Du also zumindest mal Zugang darauf bekommen hast.




    Noch ein Einwurf: Ich benutze aktuell noch keine Tel-Nr. als zusätzliches Sicherheits-Feature in Hay Day, aber:


    Wenn jemand den Account mit einer neuen E-Mail-Adresse übernimmt und dann zusätzlich noch einfach die Tel-Nr. ändern kann, OHNE dass ein Bestätigungscode an die zuvor hinterlegte Tel-Nr. verschickt wird, macht diese zusätzliche Barriere so gut wie keinen Sinn und greift dann lediglich, wenn man keinen Zugriff mehr auf seine E-Mail-Adresse hat. Bei einem Hack greift diese Barriere nicht, wie ja in diesem Bsp. gezeigt.

    Stattdessen sollte beim Ändern der Tel-Nr. wie gesagt ein Code auf die alte Handy-Nr. kommen und dieser Code muss eingegeben werden, um dann eine neue Handy-Nr. hinterlegen zu können. In diesem Szenario braucht es natürlich einen gut funktionierenden Support, denn Du wirst immer Kunden haben, die ihren Zugriff auf die alte Tel-Nr. verloren haben und dann den Support bemühen müssen. Gute Sicherheit funktioniert eben nicht ohne guten Kundenservice, weil Kunden sich immer aussperren werden.



    Viel Glück!

  • #15

    Mit Darknet hat das nichts zu tun. Es spielt keine Rolle, woher die Daten kommen.


    Ich stehe mit einigen E-Mail-Adressen seit Jahren auf diesen Listen und benutze die E-Mail-Adressen heute noch.. zum Teil sogar mit irgendwelchen Accounts in irgendwelchen Foren mit dem geleakten Passwort, in denen ich mich vor 10...20 Jahren mal angemeldet hatte..


    Ich benutze für Schrott-Seiten und unwichtigen Krimskrams oft ein identisches Passwort.. wenn das Passwort dann geleakt werden sollte, ändere ich nach und nach die Passwörter auf diesen Schrott-Seiten.. aber oft auch nicht, weil mir egal wäre, ob die gehackt werden, weil Hacker da eh nix weiter machen könnten, was mein Leben irgendwie tangiert... ich hatte erst vor kurzem ne Mail aus nem ewig alten Forum bekommen, anhand der ich erkennen konnte, dass der Account "gehackt" wurde.. hacking kann man das natürlich nicht nennen... da lassen irgendwelche Kiddies ihre Bots mit bekannten Login-Daten durch Foren und Co. jagen, in der Hoffnung auf nen Treffer, nur um dann am Ende keine Ahnung zu haben, was sie mit dem "gehackten" Account eigentlich machen wollen...


    im Hay Day Forum (ist jetzt keine Schrott-Seite, aber eben alles, nur nicht wichtig) benutze ich auch dieses Passwort, welches ich oft benutze.. kein (echter) Hacker dieser Welt wird meinen Hay Day-Account knacken wollen in einem Forum mit 100 Besuchern am Tag, nur um da seine Crypto-Scams zu posten..


    Entscheidend ist auf wichtigen Seiten (Banking, Arbeit, E-Mail-Accounts, etc.) immer nur eigene Passwörter zu verwenden, die natürlich möglichst lang sind und möglichst komplizierte Zeichen enthalten (meine Wunsch-Passwörter sind oft so lang und enthalten so spezielle Zeichen, dass sie nicht mal von der Website akzeptiert werden.. traurig aber wahr und das betrifft auch Banken, die oft noch altmodischer sind).. und um sich den ganzen Quark an Benutzernamen und Passwörtern nicht merken zu müssen, nutzt man nen Passwort-Manager wie bspw. KeePass (free, open source), welches ich benutze.. für KeePass verwendet man dann ein Master-Passwort (zum Zuriff auf die Passwort-Datenbank) und legt dort all seine Geheimnisse ab.. mit ner entsprechenden Browser-Anbindung ist der Login dann nur einen Klick entfernt und es muss nicht mal ein Passwort oder ein Benutzername eingetippt werden... am Android-Handy funktionierte das ganze sogar nicht nur mit Browser, sondern auch mit quasi allen anderen Apps, für die man die Passwörter dann speichern kann.. nennt sich dort Keepass2Android ;)


    Naja, sehr langes Thema... nur mal eine grobe Übersicht, um Euch in Richtungen für mehr Sicherheit zu lenken...

  • #17

    Support greift bei kontoschutz nicht mehr. Das wird dann (wohl durch die codes) selbst veranlasst. Da ich das noch nicht machen musste, bleibt das aber nur eine Spekulation.

  • #18

    Wenn ich das so überdenke komme ich zu dem Schluss, daß SC hier aus einer guten Idee nur Shit rausgehauen hat. Hier wird nicht der User Sondern nur das Spiel selbst zu 100 % geschützt.

    M.m.

    Tatsächlich sollte bei dem Telefonnummer wechsel zuerst eine SMS mit entsprechender re Bestätigung von dieser nr.kommen und dann erst alle weiteren Schritte durchgeführt werden.

    2 Mal editiert, zuletzt von CaT Babsi ()

  • #19

    Das wäre keine gute Idee. Angenommen, jemand macht eine längere Spielpause und legt sich in dieser Zeit eine neue Rufnummer zu und kündigt die alte. Wenn er dann wieder ins Spiel kommt, hat er gar keinen Zugriff mehr auf die alte Nummer.

  • #20

    Das macht man so dann auch nicht, sondern vor dem Wechsel. Und bei einer SMS ,das die Nummer geändert werden soll , auch drauf reagieren. Oder es gibt noch viele andere Optionen damit man nicht gleich alles verliert. Die sind sber nicht gegeben.


    aufjedendall muss es eine

    Option für den 1.besitzer geben sich in so einem Fall vom Support heraus helfen zu können. Aber die wehren alles ab. Geben sich nicht die Mühe auch nur zu helfen, da es ja nicht mehr in ihren Händen liegt.

    2 Mal editiert, zuletzt von CaT Babsi ()

  • Hey,

    dir scheint die Diskussion zu gefallen, aber du bist nicht angemeldet.

    Wenn du ein Konto eröffnest merken wir uns deinen Lesefortschritt und bringen dich dorthin zurück. Zudem können wir dich per E-Mail über neue Beiträge informieren. Dadurch verpasst du nichts mehr.


    Jetzt anmelden!