oGame: Logindaten und private Nachrichten werden unverschlüsselt übermittelt.

Wir schreiben das Jahr 2015. Das Thema Datenschutz ist weit verbreitet und Dienste die persönliche Daten ohne Verschlüsselung übermitteln sind stark in der Kritik. So geht derzeit die Entwicklung einer Anwendung mit Benutzeraccounts mit dem bestellen eines SSL-Zertifikats einher. Ein Benutzerbereich für den Logindaten benötigt werden und innerhalb dessen man Nachrichten schreiben kann gehört damit heutzutage SSL verschlüsselt. Um so erstaunlicher sind dann Fälle in denen selbst größere Anbieter dies nicht machen.

SSL? Ohne die Gameforge!

Der Spieler crane hat jetzt im oGame-Forum der Firma Gameforge 4D GmbH ein Thema eröffnet um die Gameforge auf einen Misstand auf deren Spiele-Webseiten aufmerksam zu machen. Ungeachtet unseres ersten Abschnittes scheint die Gameforge zu dem Thema nämlich eine ganz anderer Meinung zu haben. So ist der komplette Login-Bereich des online Spiels oGame nicht SSL verschlüsselt. Das bedeutet der Login, die Registrierung und alle Aktionen im Spiel selbst (ausgenommen dem Bezahlbereich) gehen unverschlüsselt über die Leitung und können damit sehr einfach von Dritten mitgelesen werden. Crane schreibt:

Wenn ihr euch im Spiel anmeldet, werden eure Daten im Klartext über das Internet verschickt. Für das Spiel selber mag das vielleicht erst mal egal sein. Leider gilt das aber auch für eure Passwörter. Jeder der bei euch im selbem Netzwerk ist, sei es in der Schule, im Internetcafe, öffentliches WLAN, geschlossenes WLAN bei nem Kumpel kann nun wenn er Bock hat diese Daten mitlesen. Damit wäre ich dann auch beim ersten Punkt wo das mit den AGBs kollidiert.

In den AGB schreibt die Gameforge Ihren Spielern vor, ihr Passwort streng geheim zu halten und eben nicht an dritte weiterzugeben. Die Gameforge selbst hat aber keine Probleme damit, die Logindaten unverschlüsselt durch das Netz zu übermitteln. Ein wenig kontrovers ist das schon.

Unverständnis

Die Erste Reaktion von Gameforge selbst auf den Thread zeigt dann leider auch noch wenig Verständniss für das Thema selbst.

Ja das Spiel selbst ist nicht verschlüsselt. Aber das Payment als sensibelster Bereich ist sehr wohl SSL verschlüsselt. Hier wird ein Sicherheitsproblem herbeigeredet, das so akkut nicht existiert. Wenn es ein Problem gäbe, würden wir wohl von Tickets bezüglich “Hacking” überhäuft werden. Das ist aber nicht der Fall. Ihr könnt also beruhigt weiter OGame spielen und braucht nicht in Panik zu verfallen.

Frei nach dem Motto: Was wir nicht sehen, gibt es auch nicht. So wie Luft und Wind … oh wait.

Diese Reaktion  ist natürlich für alle Beteiligten ziemlich unbefriedigend. Deswegen ist crane hier noch einen Schritt weiter gegangen und hat einen Screencast erstellt, der die Problematik noch mal erklärt und auch Anwendungsfälle zeigt. Unter anderem zeigt er wie Spielern auf einfachstem Wege auch laufende Sessions geklaut werden können.

Daraufhin hat die Gameforge dann nochmal auf das Thema reagiert.

Natürlich hat die Sicherheit von Spielerdaten bei uns einen hohen Stellenwert. Deswegen beschäftigen sich die Entwickler intern regelmäßig mit diesem Thema. Aufgrund der Natur des Themas, werden hier Informationen eher selten nach außen kommuniziert.

Neben der bei uns “hausinternen” Sicherheit (z.B. der Server) gibt es ein zweites großes Themenpaket, welches auch vom Threadersteller korrekt identifiziert wurde: Sicherheit im Transit der Daten zwischen dem Browser/Rechner/Mobile und den Servern selbst.

Mit dem Aufkommen größerer Freier Netze (City- WLans, Freifunk, etc.) arbeiten wir selbstverständlich daran, Spielerdaten sicher zu halten.
Das oben angesprochene SSL ist eine Methode, um den Verkehr zwischen Browser und Server abzusichern. Es gibt von uns dazu bereits entsprechende Planungen. Jedoch müssen für eine solche Umstellung div. Problemfälle geprüft und getestet werden (z.B. Interaktion mit 3rd-Party- Tools, Browsern, sowie des OGame Codes selbst).

Ob das wirklich bereits vorher ein Thema war, darüber können wir jetzt natürlich nur spekulieren. In der gleichen Antwort zeigt zumindest der Community-Manager nochmal, dass er das Thema nicht ganz verstanden hat.

Grundsätzlich möchten wir zu diesem Thema auch darauf hinweisen, dass es immer ein Risiko gibt, seine Userdaten preiszugeben, wenn man sich in einem fremden Netz einloggt oder einen fremden Rechner nutzt.

Das ist korrekt. Und eine Maßnahme gegen die Lesbarkeit von abgefangenen Paketen ist SSL.

Nicht nur oGame

Wer jetzt denkt, dass Thema betrifft nur oGame liegt falsch. Auch aktuelle Spiele wie die Beta von Orcs must die! Unchained sind völlig unverschlüsselt. Es wurde also bei der Gameforge nicht bei einem Spiel geschlampt sondern das ist ein Thema, dass sich fast durch die kompletten Online-Präsenzen der Gameforgespiele zieht. 

2 thoughts on “oGame: Logindaten und private Nachrichten werden unverschlüsselt übermittelt.”

  1. Tja. Die haben vielleicht oGame angepasst aber alles andere ist weiterhin unverschlüsselt. Selbst der Login auf der Hauptseite der Gameforge ist nicht verschlüsselt.
    Das lässt sich leicht über die Console vom Browser nachvollziehen.

    Request URL:http://de.gameforge.com/user/login?__token=738b8156fa08e191f6d53d5bf58c0c2b
    Request Method:POST

    Die Nutzerdaten scheinen der GameForge also doch nicht so wichtig zu sein. 2016 ist das schon eine harte Nummer.

    Ohne SSL? Ohne mich!

    1. Hallo derType,

      das Gameforge seine Browsergames wie z.B. Battleknight nicht über abgesicherte Seiten betreibt, ist ja nichts neues. Gutheissen tun wird das auch nicht! Wer auf seine Daten bedacht ist, sollte diese Spiele meiden.

      Viele Grüße,
      TB | botfrei.de

Kommentare sind geschlossen.