sicherheitsleck bei fulltilt?

    • rootsanarchy
      rootsanarchy
      Black
      Dabei seit: 10.01.2008 Beiträge: 6.843
      in letzter zeit scheint es vermehrt accounthacks bei fulltilt zu geben mit jeweils ähnlicher vorgehensweise:
      - hack des accounts
      - änderung der mit dem account verknüpften email-adresse
      - einzahlung per elv vom bankkonto des geschädigten users und/oder gestohlenen kreditkarten
      - chipdumping auf fremden account

      abgesehen davon, dass unklar ist, wie die hacker an die login- und bankdaten kommen, scheint es v.a. ein problem zu sein, dass anscheinend eine änderung der email-adresse möglich ist, ohne dass dies von der alten adresse bestätigt werden muss. die betroffenen bekommen zwar eine email auf die alte adresse, in der sie über die adressänderung informiert werden. allerdings scheint es dann schon nicht mehr möglich zu sein, diese änderung von der alten adresse aus zu widerrufen.
      weiter ist es merkwürdig, dass nicht sofort die automatischen sicherheitsmechanismen greifen und den account freezen, wenn sich da plötzlich jemand aus weißrussland einloggt und die email-adresse ändert. (als ich mich mal aus dem ausland in meinen ftp-account eingeloggt hab, war er trotz security token sofort dicht und ich musste meine identität verifizieren).

      aber genug gesagt, hier die betroffenen:
      Starke Sicherheitsmängel bei FTP? (ja, der thread ist 1 jahr alt, aber ab seite 2 kommen mehrere aktuelle fälle dazu)
      heute hat es mich auch erwischt - account gehackt
      Fraud/Datasniffing bei FT - Mailadresse geändert

      schließt euch da bitte mal mit fulltilt kurz und findet raus was da los ist.
  • 36 Antworten
    • busfahrer09
      busfahrer09
      Bronze
      Dabei seit: 12.07.2006 Beiträge: 10.674
      ####

      bei der Accountsicherheit bei FT muss ganz dringend etwas passieren und da müsst ihr bei ps.de unsere Interessen besser vertreten. Diese Vorfälle häufen sich und sie laufen immer nach dem gleichen Muster ab, da muss FT endlich einen Riegel vorschieben...

      was mir gestern bzgl. Black Friday usw eingefallen ist... das FBI/DOJ ist in der Lage, von FT zu verlangen US-Spielern den Zugang zu Real Money Tischen zu sperren. das ist nicht weiteres als ein simpler IP-Block. warum ist es uns als Kunden nicht möglich den Echtgeldzugriff von ausländischen IPs zu untersagen?

      Warum sind nicht insta die Schotten dicht wenn sich nach 4 Jahren auf einmal irgendwer im tiefsten Russland einloggt? Oder warum können wir nicht Ein/Auszahlung mit allem verbieten außer unseren eigenen MB-Karte/MB-Konto?

      FT könnte mit einem minimalen Aufwand maximale Accountsicherheit gewähren, aber sie tun es einfach nicht weil ihnen das Anliegen von nem einzelnen Rakesklaven per Mail am Arsch vorbeigeht. Wenn ps.de, das an FT-Spielern sicher nicht schlecht verdient, sich mal mit FT zusammensetzen würde und in unserem Interesse etwas ausarbeiten würde, wäre uns allen geholfen.

      just my 2 cents
    • Flawless
      Flawless
      Bronze
      Dabei seit: 08.12.2006 Beiträge: 505
      Bei meinem Fall war es leicht anders als von rootsanarchy beschrieben.

      Ich hab die Mail mit der Adressänderung bekommen, konnte mich jedoch noch in meinen Account einloggen, die Mailadresse wieder auf meine alte Umändern und das PW ändern.

      Hier meine persönlichen Umstände:

      1: Ich erhalte die Mail, dass meine Mailadresse im Profil auf eine mir unbekannte geändert wurde
      2: Wie geht Schritt 1 ohne dass ich eine Verifikationsmail bekommen habe?
      3: Ich kann die Mail im Profil umändern und bekomme eine Verifikationsmail an MEINE alte Mailadresse
      4: Wie kann es sein, dass ich auf einmal die Verifikation an meine alte Mailadresse bekomme? Müsste diese nicht eig. jetzt an den Hacker gehen?
      5: Ich glaub ich hab nochmal Glück gehabt, ich hatte aber bis jetzt auch nur via Neteller und noch nie via Bankkonto ein/aus-gezahlt
      6: Der Support von FT der will, dass man sich sofort meldet, hat immernoch nicht zurückgeschrieben
      7: Wenn jetzt (ich warte seit 8 Tagen, verdammte Scheisse!!!!) endlich mein Cashout bei Neteller vorfinde wandert mein Geld wieder exklusiv zu Stars

      bye
      Flaw
    • major20111
      major20111
      Bronze
      Dabei seit: 26.07.2007 Beiträge: 673
      @ roots da du jetzt grade von weissrussland sprichst würde mich echt mal interessieren ob das bei dir wirklich weissrussland war!
      bei einem freund von mir ist im letzten jahr dasselbe passiert auch weissrussland. vor allen dingen hat er ein 1k hu gegen einen anderen reg gespielt würd mich interessieren obs bei dir genauso war. weil wir haben den reg danach angesprochen und er wollte von nichts wissen.

      oder wurde einfach ausgecasht?

      ich finde es jedenfalls auch abartig das das möglich ist. allerdings security token ist da wohl das beste was man machen kann....
    • HannesZ
      HannesZ
      HeadAdmin
      HeadAdmin
      Dabei seit: 30.06.2010 Beiträge: 16.311
      Hey,

      danke für euer Feedback bezüglich der Sicherheitsvorkehrungen von Full Tilt Poker.

      Wir werden eure Vorschläge an FTP weiterleiten.

      Generell empfehlen wir ein gutes Passwort auszuwählen. Siehe: Wichtige Tipps zum Thema Passwort-Sicherheit

      Zusätzlich bietet der Raum weitere Mechanismen an um einen Accounthack zu verhindern:
      - Security Token
      - PIN

      Ich weiß, dass dir das jetzt auch nicht mehr hilft, allerdings solltest du dies in Zukunft beachten.

      Viele Grüße
      Hannes
    • rootsanarchy
      rootsanarchy
      Black
      Dabei seit: 10.01.2008 Beiträge: 6.843
      @major: geht nicht um mich. mit meinem account ist bisher zum glück nichts passiert. mir ist auch noch kein fall bekannt, wo ein account mit security token erfolgreich gehackt wurde. hab den thread nur erstellt, weils in letzter zeit auf fulltilt auffällig viele solcher fälle gibt.
      am merkwürdigsten find ich dabei halt, dass man anscheinend einfach die email-adresse ändern kann, ohne dass man dies von der alten email-adresse aus bestätigen muss. und wenn nach der email-adresse auch das passwort geändert wurde, kommt man auch nicht mehr in der account und kann die änderung nicht von der alten adresse aus widerrufen.

      das hu gegen den reg, von dem du sprichst, war höchstwahrscheinlich chipdumping. sprich: das geld mehrerer gehackter acounts wird an den tischen auf einen account geschoben, von dem die hacker auszahlen können. wie vermutlich auch hier http://www.pokerprolabs.com/hocico2006/fulltiltpoker.aspx. der account spielt ende januar um einstellige $-beträge, ist dann 2 monate nicht aktiv und am 4.4. gewinnt er plötzlich 12 $1k hu sngs.
      ob der reg, von dem du sprichst, jetzt ein komplize war oder selbst unbemerkt gehackt wurde, weiß man halt nicht.

      hier gibts übrigens schon wieder nen neuen fall: Unglaublich! - Full Tilt betrügt!!
    • kingtobey
      kingtobey
      Bronze
      Dabei seit: 22.07.2006 Beiträge: 104
      Hallo,

      habe gerade mal bei mir geschaut in den Login Details und habe da auch einen Loginversuch aus Weißrussland.




      Uploaded with ImageShack.us


      Daraus schließe ich, dass der Typ weiß dass ich mich mit einer Email-Adresse einlogge und nicht mit meiner Player-ID. Da stellt sich mir halt die Frage woher weiß der das und woher weiß er wie die Email-Adresse lautet?

      Meine Sicherheitsvorkehrungen sind:
      -Email-Adresse auschließlich für diesen Pokerroom
      -Passwortmanagerprogramm (mit Masterpasswort und Keyfile)
      --> tippe die Email-Adresse nie ein
      --> tippe das PW (110bit) nie selber sondern immer über copy / paste
      -Sec. Token
      -Passwörter (Pokeraccount + Emailclient) werden regelmäßig erneuert
      -Passwort des Emailclients ist ebenso gesichert (außer Sec. Token
      -Surfe mit diesem PC nie auf unsriösen Seiten oder lade irgendwelchen Schrott runter

      Dachte eigtl. immer bei mir wäre alles sicher aber anscheinden gibt es irgendwo ein Leak. Ist zwar nichts passiert, aber woher kennt der zumindest teilweise meine Kontodaten?!?
    • uni05mz
      uni05mz
      Bronze
      Dabei seit: 09.01.2007 Beiträge: 3.303
      Original von busfahrer09
      Oder warum können wir nicht Ein/Auszahlung mit allem verbieten außer unseren eigenen MB-Karte/MB-Konto?

      Ich habe genau das den FT-Support gefragt (Antwort habe ich in einem der verlinkten Threads gepostet). -> eMail an den Support um Ein-/Auszahlungsoptionen sperren zu lassen.
    • major20111
      major20111
      Bronze
      Dabei seit: 26.07.2007 Beiträge: 673
      kannst du dich noch an den thread bei strategy erinnern, dass eine fake strategy adresse emails verschickt hat vielleicht biste da drauf gekommen!

      mit sec token biste ja schon recht abgesichert!
      gibt es in weissrussland einen hacker ring oder ist das immer derselbe typ?

      wenn ich genug geld hätte und die richtigen verbindungen würd ich eigenhändig nach belarus fahren und mir den vornehmen.

      finde sowas von ftp echt nicht normal. hier im forum gabs ja auch schon mal ne diskussion drüber, da meinten die leute abwertend zu mir und meinem freund selber schuld etc....

      mein account glücklicherweise noch nichts passiert.
      ich kann nur immer wieder sagen sec token ist PFlicht für jeden
    • major20111
      major20111
      Bronze
      Dabei seit: 26.07.2007 Beiträge: 673
      bin mir sicher ohne sec token wäre es dir nicht so ergangen. dann hätte der typ aus belarus dich abgezockt
    • major20111
      major20111
      Bronze
      Dabei seit: 26.07.2007 Beiträge: 673
      lass am besten mal alles auf trojaner durchsuchen! mein freund hatte einen drauf. der hat windows komplett neu draufgemacht
    • kingtobey
      kingtobey
      Bronze
      Dabei seit: 22.07.2006 Beiträge: 104
      Original von major20111
      bin mir sicher ohne sec token wäre es dir nicht so ergangen. dann hätte der typ aus belarus dich abgezockt


      Denke eher das er schon an meinem normalen PW gescheitert ist, denn wenn er das PW hätte und es am Sec. Token gescheitert wäre dann würde dran stehen: "Invalid Security Key Singel-Use-Password"
    • Partyboiii91
      Partyboiii91
      Black
      Dabei seit: 20.05.2009 Beiträge: 1.355
      gab es jemals einen hack eigentlich obwohl wer ein security-token benutzt hat?
    • asahara
      asahara
      Bronze
      Dabei seit: 22.09.2006 Beiträge: 2.247
      Original von kingtobey
      Hallo,

      habe gerade mal bei mir geschaut in den Login Details und habe da auch einen Loginversuch aus Weißrussland.




      Uploaded with ImageShack.us


      same here:

      Apr 19 2011 11:40 ET 81.25.41.97 Belarus Failure E-mail Address with Security Key Invalid Password
    • major20111
      major20111
      Bronze
      Dabei seit: 26.07.2007 Beiträge: 673
      krass und immer weissrussland sagt mir mal ob man auch irgendwie längere zeit seine login details verfolgen kann ?

      also account - my login history da steht bei mir nur was bis zum 19ten.

      aber ich glaube kaum dass die sich mühe machen ohne das passwort zu kennen. auch wenn da steht password invalid kann das nicht trotzdem da stehen wenn es am sec token liegt?

      also bisher ist meine erfahrung das die typen aus weissrussland clever sind und nicht dumm rumraten. die gehen ziemlich strategisch vor
    • IronPumper
      IronPumper
      Coach
      Coach
      Dabei seit: 03.01.2008 Beiträge: 14.840
      Original von Partyboiii91
      gab es jemals einen hack eigentlich obwohl wer ein security-token benutzt hat?

      #2
    • baum0r
      baum0r
      Global
      Dabei seit: 18.01.2007 Beiträge: 1.364
      Original von busfahrer09
      ####

      bei der Accountsicherheit bei FT muss ganz dringend etwas passieren und da müsst ihr bei ps.de unsere Interessen besser vertreten. Diese Vorfälle häufen sich und sie laufen immer nach dem gleichen Muster ab, da muss FT endlich einen Riegel vorschieben...

      was mir gestern bzgl. Black Friday usw eingefallen ist... das FBI/DOJ ist in der Lage, von FT zu verlangen US-Spielern den Zugang zu Real Money Tischen zu sperren. das ist nicht weiteres als ein simpler IP-Block. warum ist es uns als Kunden nicht möglich den Echtgeldzugriff von ausländischen IPs zu untersagen?

      Warum sind nicht insta die Schotten dicht wenn sich nach 4 Jahren auf einmal irgendwer im tiefsten Russland einloggt? Oder warum können wir nicht Ein/Auszahlung mit allem verbieten außer unseren eigenen MB-Karte/MB-Konto?

      FT könnte mit einem minimalen Aufwand maximale Accountsicherheit gewähren, aber sie tun es einfach nicht weil ihnen das Anliegen von nem einzelnen Rakesklaven per Mail am Arsch vorbeigeht. Wenn ps.de, das an FT-Spielern sicher nicht schlecht verdient, sich mal mit FT zusammensetzen würde und in unserem Interesse etwas ausarbeiten würde, wäre uns allen geholfen.

      just my 2 cents
      warum nicht insta die schotten dicht sind, wenn sich wer aus Russland einloggen will? Weil man das ganz einfach abusen könnte und sich so die regs fernhalten wuerde von den hs.LOL
    • major20111
      major20111
      Bronze
      Dabei seit: 26.07.2007 Beiträge: 673
      würd mich auch interessieren @ party
    • TheCelt
      TheCelt
      Bronze
      Dabei seit: 24.03.2007 Beiträge: 3.932
      KA ob das vielleicht das Problem ist, aber irgendjemand hat vorhin geschrieben, zuerst bekommt man eine Mail von FT mit der Meldung, Email geändert und man soll bestätigen.

      Danach kommt erst das Dilemma.

      Diese Email ist wohl das problem, weil es ein Fake ist. Man soll ne Email an security@fulltiltpoker.com schicken, der Link führt aber auf security@ru.fulltiltpoker.com.

      KA, ob man sich da dann irgendwo anmelden muß und die so an die Daten kommen.
    • kingtobey
      kingtobey
      Bronze
      Dabei seit: 22.07.2006 Beiträge: 104
      Original von major20111
      aber ich glaube kaum dass die sich mühe machen ohne das passwort zu kennen. auch wenn da steht password invalid kann das nicht trotzdem da stehen wenn es am sec token liegt?

      also bisher ist meine erfahrung das die typen aus weissrussland clever sind und nicht dumm rumraten. die gehen ziemlich strategisch vor
      Ne habe es getestet, wenn man ein falsches PW eingibt dann kommt: "Invalid Password", wenn man den Code es Sec. Token falsch eingibt dann kommt: "Invalid Security Key Singel-Use-Password".
    • 1
    • 2