Bericht: Hunderten von Spielern wurden Genshin Impact-Konten gestohlen und der Entwickler hilft nicht
Anfang dieses Monats haben wir berichtet, dass Mihoyo stillschweigend ein Problem behoben hat, das dazu führte, dass die E-Mail-Adresse von Genshin Impact-Spielern öffentlich zugänglich gemacht wurde. Dies, kombiniert mit der Tatsache, dass dem Spiel derzeit eine Zwei-Faktor-Authentifizierung fehlt, bedeutet, dass es für Online-Nutzer relativ einfach war, die Passwörter von Spielern auf der ganzen Welt per Brute Force zu erzwingen. Infolgedessen haben Dutzende von Menschen Verluste von mehreren Hundert bis zu mehreren Tausend Dollar gemeldet – die der Entwickler sich derzeit alle weigert, zurückzuerstatten.
Nach der Veröffentlichung unseres ursprünglichen Berichts haben wir mit betroffenen Spielern über ihren Verlust gesprochen. Derzeit unterdrückt das Genshin Impact-Subreddit die überwiegende Mehrheit der Posts, die sich auf gehackte Konten beziehen, mit einer offiziellen Mod, die besagt, dass sie bereits „zu viele dieser Posts“ erhalten haben.
Aus diesem Grund wurde ein neues Subreddit namens GenshinGehackt ist inzwischen eingerichtet. Am 7. Dezember hatte der Subreddit 125 Mitglieder, von denen über 50 über Erfahrungen mit Hackerangriffen berichteten. Inzwischen ist die Gruppe auf fast 400 Personen angewachsen, von denen alle Gegenstände verloren haben, für die sie echtes Geld ausgegeben haben, an Hacker, die ohne eigenes Verschulden an ihre Kontoinformationen gelangen konnten.
„Es gibt Informationen darüber, wie lange die Leute warten, und ich habe auch eine vollständige E-Mail-Kette mit Mihoyo, die mir sagt, dass es nichts für Spieler bringt, die Hunderte von Dollar für das Spiel ausgegeben haben“, sagt mir der Subreddit-Erfinder Kaiurai.
Die E-Mail-Kette zeigt Kaiurais Versuche, den Genshin-Support über das Problem zu informieren, und zeigt auch Mihoyos offensichtliches Desinteresse an einer Behebung der Situation – obwohl dies eine direkte Folge seiner eigenen vernichtenden Sicherheitslücken ist.
In der obigen E-Mail behauptet Mihoyo, dass dies nicht helfen kann und dass es am Spieler liegt, die Vertraulichkeit seiner eigenen Kontodaten zu wahren. Es ist jedoch wichtig zu wiederholen, dass dieser Spieler diese Details niemandem zur Verfügung gestellt hat. Da das Login-System von Mihoyo es Menschen online ermöglichte, sowohl auf die Telefonnummern als auch auf die E-Mail-Adressen der Spieler zuzugreifen, und keine Zwei-Faktor-Authentifizierungsoption bot, könnte dies theoretisch jedem passieren, der das Spiel spielt.
Nach zwei Nachuntersuchungen über neun Tage reagierte Mihoyo schließlich auf Kaiurai.
Wie Sie sehen, ignoriert der Entwickler das Problem – dass Konten mit Hunderten, wenn nicht Tausenden von Dollar gestohlen werden – und geht davon aus, dass die Schuld bei den Spielern liegt, was angesichts der leicht ausnutzbaren Sicherheitsmaßnahmen in . nicht der Fall ist Platz.
Der Rest des E-Mail-Threads geht mit den gleichen bürokratischen, um den heißen Brei herumgesprochenen Antworten hin und her, während Mihoyo die ganze Zeit die Verantwortung bestreitet. Als Kaiurai fragte, ob sie ihre Waffen zurückbekommen könnten, sagte Mihoyo, dass dies nicht möglich sei, obwohl ein Geschenksystem, bei dem Spieler – einschließlich einzelner Spieler – bestimmte Gegenstände über ihren Posteingang im Spiel erhalten können, wie der Geburtstag beweist Kuchen bekommen die Leute einmal im Jahr. Mihoyo sagte auch, dass Kaiurai die Waffenschloss-Mechanik hätte verwenden können, um zu verhindern, dass sie versehentlich eine 5-Sterne-Waffe verwenden, um eine schwache Waffe zu verbessern, aber da dies die Arbeit eines Hackers war, bewirkt diese Sicherheitsmaßnahme buchstäblich nichts – sie können einfach das Häkchen entfernen Kasten.
Nachdem er behauptet hatte, dass es nicht mehr helfen könne, sagte Mihoyo:
„Vielen Dank, dass Sie sich die Zeit genommen haben, uns zu kontaktieren. Wir alle schätzen Ihre Unterstützung wie immer. Es tut uns sehr leid, was passiert ist, aber wie in unseren Nutzungsbedingungen, die wir Ihnen zuvor gesendet haben, sind Sie dafür verantwortlich, die Vertraulichkeit Ihrer Kontoinformationen zu wahren, und wenn Dritte Ihr Konto verwenden oder anderweitig auf Ihr Konto zugreifen, dürfen Sie dies nicht tun Schadensersatz von miHoYo verlangen.‘ Wir hoffen, Sie haben Verständnis für diese Angelegenheit, wir entschuldigen uns für die Unannehmlichkeiten. ”
Dieses Problem ist in den letzten Monaten möglicherweise Hunderten von Menschen passiert. Obwohl das Subreddit Genshin Impact normalerweise Beiträge zum Thema Hacking unterdrückt, war ein Beitrag einfach zu vernichtend, um ihn zu ignorieren, da er enthielt Videomaterial von Mihoyo, der sich weigert, jemanden zu entschädigen weil die Person, die ihr Konto gehackt hat, es inzwischen aufgeladen hat.
„Ab dem Zeitpunkt, an dem Ihr Konto von jemandem übernommen wird, gibt es jedoch viele Aufladungen“, heißt es in der Nachricht vom Mihoyo-Support. „Und das ist [a] Kontosituation streiten, daher konnten wir in dieser Situation nicht helfen.“
Das Poster teilte ihre letztes Gespräch mit Mihoyo, bei dem der Entwickler sagte, dass die von ihm bereitgestellten Informationen inkonsistent seien – obwohl er zuvor anerkannt hatte, dass das Konto gehackt wurde – und das Ticket schloss, ohne dem Spieler weitere Anfragen zu ermöglichen.
Kaiurai schickte uns eine Liste aller Gegenstände, die sie durch den Hack verloren haben, was im Vergleich zwei Battle Passes ausmachte – 12 Wochen Spielzeit und 22 £ – sowie Primogems im Wert von über 500 £.
„Die 5-Sterne-Waffen standen alle auf dem Standardbanner, das sind also 90 Wünsche für jede davon“, erklären sie. “[That’s] 270 Wünsche. Jeder Wunsch kostet 160 Primogems, also 43.200. Für die handwerklich hergestellten gibt es drei Chancen, jede Woche einen Tropfen zu bekommen, und sie fallen sehr selten, so dass wir davon ausgehen können, dass es höchstens alle zwei Wochen eine gibt. Im Grunde sind es 550 Pfund, um die Sachen, die ich verloren habe, zurückzubekommen.“ Wie Kaiurai oben sagt, ist auch ein enormer Zeitaufwand erforderlich, um dorthin zurückzukehren, wo sie waren.
Was den Grund für die Hacks angeht, fallen Kaiurai nur zwei Möglichkeiten ein.
„Sie waren ein Idiot und wussten nicht, wie sie die Verknüpfung meines Telefons und meiner E-Mail aufheben sollten, damit sie mein Passwort ändern konnten“, erklären sie. „Ich nahm an, dass es daran lag, dass ich beide verlinkt hatte, sie konnten es nicht ändern, aber es wurde bewiesen, dass Sie sie selbst mit beiden Verbindungen ohne E-Mail- oder Telefonauslöser entfernen konnten.“ Die andere Möglichkeit ist, dass jemand Kaiurai, einen kleinen Streamer, versucht hat, obwohl sie dies bezweifeln.
„Ich habe das Gefühl, wenn jemand wirklich hinter mir her ist, ist es eine seltsame Art, es anzugehen“, sagen sie. „Wenn es gezielt war, hatten sie meine E-Mail. Warum mein Genshin-Konto, wenn sie vermutlich alles andere von echtem Wert hätten versuchen können? Ich denke, es ist ein Hacker, der es stehlen wollte, es aber nicht konnte. Beschlossen, wenn er meine Sachen nicht haben könnte, könnte ich es auch nicht.“
Kaiurai wies mich an einen anderen Spieler, TravisC98, der berichtet von ähnlichen Frustrationen mit Mihoyo. Als ich Travis kontaktierte, erklärten sie mir, dass sie zwischen 1.500 und 2.000 US-Dollar für Genshin Impact ausgegeben haben, was jetzt alles in den Abfluss gespült wurde. Wie Kaiurai führen sie die Aktionen des Hackers auf einen gescheiterten Diebstahlversuch zurück.
„Sie konnten mein Konto wahrscheinlich nicht stehlen (zumindest nehme ich an) und benutzten meine 5-Sterne-Waffen und einen großen Teil meiner 5-Sterne-Artefakte als Materialien, um Waffen und Artefakte niedrigerer Seltenheit zu verbessern“, erzählt mir Travis . Sie reichten einen Bericht über die Tausenden von Dollar ein, die sie am 26. November verloren hatten, die am 3. Dezember mit der folgenden Antwort von Mihoyo beantwortet wurden:
„Grüße Reisender, wir haben Ihr Feedback erhalten und bedauern Ihren Verlust zutiefst. Aktuell haben wir keine [a] Datenrückspuldienst. Da der Wert Ihres Verlustes jedoch erheblich ist, werden wir Ihr Ticket aufbewahren und Ihnen helfen, wenn wir es in Zukunft haben [a] Datenrücklauffunktion. Wir werden Ihr Anliegen einreichen, um zu sehen, ob weitere Maßnahmen ergriffen werden können. Wir empfehlen dringend, dass Sie Ihre Spielkontoinformationen nicht an Dritte weitergeben und Ihr Konto per E-Mail und Mobilgerät mit dem miHoYo-Konto binden, da die Anmelde-IP zum Zeitpunkt Ihres Verlustes anscheinend anders ist[red].“
Travis erhielt dann erst gestern folgende Antwort:
„Grüße Reisender. Vielen Dank, dass Sie sich an uns gewandt haben. Wir haben Ihr Problem mit der OP besprochen[erations] Manager und lieferte die spezifischen Informationen zu Ihrem verlorenen Gegenstand. Wir als Spieler bedauern Ihren Verlust zutiefst, da wir uns des Wertes Ihres verlorenen Gegenstands bewusst sind. Die endgültige Entscheidung unseres Operationsteams ist jedoch, dass wir derzeit nicht in der Lage sind, verlorene Gegenstände für die Spieler wiederherzustellen. Dies geschieht sowohl aus der Berücksichtigung unserer Operationsprotokolle als auch aus den Nichteingriffsprinzipien des Spieldatenmanagements. Wir wissen Ihre Unterstützung von Genshin Impact sehr zu schätzen.“
„Ich habe keine Ahnung und habe mir diese Frage tagelang gestellt“, erklärt Travis in Bezug darauf, warum ihr Konto überhaupt gehackt wurde. „Warum sollte jemand das tun?“ Sie sagen mir, dass sie Genshin Impact jetzt immer noch spielen – „leider“ – aber es scheint, dass Mihoyo ihr Ticket vollständig geschlossen hat und das Geld, das sie bisher ausgegeben haben, nicht zurückerstattet wird.
Ein anderer Benutzer, der Gegenstände im Wert von 1.000 € und Primogems verloren hat, hat sich ebenfalls mit mir in Verbindung gesetzt. Sie haben Anonymität beantragt, da sie für mehrere Spiele und Websites dasselbe Handle verwenden, aber ihre Erfahrungen anonym teilen konnten.
„Mein Konto wurde in der Nacht zum 30. November gehackt“, erklären sie. „Ich hatte ungefähr 1.000 Euro für das Spiel ausgegeben.
„Ich hatte immer noch Primogems im Wert von etwa 50 € auf meinem Konto, die ich gespart hatte. Nachdem ich gehackt wurde, waren diese Primogems aufgebraucht und einige Waffen wurden zerstört, um neue aufzurüsten. Ich hatte mein Telefon und meine E-Mail damit verknüpft Der Hacker konnte mein Konto nicht stehlen. Aber sie hatten eine ganze Nacht lang Zugriff darauf.“
Mihoyo antwortete diesem Spieler mit der gleichen Nachricht: „Leider können wir dieses Problem nicht bearbeiten, Sir.“ Der Spieler schickte zwei Tickets und die letzte Antwort kam acht Tage später, woraufhin ihr Fall geschlossen wurde. Sie erklären, dass sie dieselbe E-Mail-Adresse verwendet haben, die an mehrere andere Spiele angehängt ist, aber in keiner anderen Datenbank kompromittiert wurde. Sie haben keine Phishing-Links besucht und ihre Kontodaten nie online weitergegeben.
„Ich habe das Gefühl, dass der Hacker meine E-Mail über das Forum herausgefunden hat – es gab eine Möglichkeit, die E-Mail mit einem Exploit herauszufinden“, sagen sie mir. „Das Passwort muss nicht stark genug gewesen sein. Ich habe eine Kombination aus Wörtern und einer Zahl verwendet, aber es scheint, dass Sie viel komplexere Passwörter benötigen, um in Genshin Impact sicher zu bleiben.“ Wie oben erwähnt, können die Hacker, sobald sie eine bestimmte Menge an Details erhalten, die Passwörter aufgrund der fehlenden Zwei-Faktor-Authentifizierung mit Brute Force erzwingen.
Zum Zeitpunkt des Schreibens hat sich gamebizz.de auch an mehrere gewandt andere Spieler, denen Berichten zufolge ihr Geld nicht zurückerstattet wurde, nachdem sie aufgrund der schlechten Sicherheit von Mihoyo gehackt wurden. Wie es aussieht, wurden diesen Spielern sowohl Rückerstattungen als auch Ersatz für die verlorenen Gegenstände verweigert und sie erwägen alle, Rückbuchungen über ihre Banken durchzuführen, um das Geld zurückzufordern, das ihnen aufgrund von Genshins eigener mangelhafter Sicherheit gestohlen wurde.