Was geschah
Wie einigen evtl. mitbekommen haben, war der Minecraft-Account von _BOOM_21 für einige Zeit gebannt. Dies hatte den Grund, dass jemand, während _BOOM_21 im Urlaub war, versucht hat Zugriff auf seine Minecraft-Accounts zu bekommen. Trotz hoher Sicherheitsmaßnahmen seinerseits, wozu ein 12-stelliges Passwort und ebenso 12-stelligen Passwörtern als Antworten auf seine Sicherheitsfragen gehörten, ist es den Angreifern gelungen Zugriff auf 2 seiner Accounts zu gelangen.
Wie passiert so etwas?
Hierbei handelt es sich leider um einen Sicherheitsfehler bei Mojang, welcher schon seit Jahren besteht, bei dem man sich mithilfe sogenannter „Session-IDs“ vollständigen Zugriff auf Minecraft-Profile verschaffen kann ohne jemals ein Passwort zu kennen oder eingeben zu müssen. Dies zu verhindern ist leider nahezu unmöglich, da Minecraft leider recht offen mit der Session ID umgeht und diese sehr häufig offen zeigt. Vermeidet am besten viele Mods, vor allem diese, die einen Account-Wechsel ohne das beenden des Spiels oder ähnliches erlauben. Dies war wohl die Lücke, bei der bei _BOOM_21s Profil die Angreifer ansetzen konnten.
Es wird immer mehr
Die Angriffe auf Minecraft-Accounts nehmen aktuell leider zu, da Seiten wie „MMOGA“ Angebote ausschreiben, bei der man seinen alten Minecraft-Account für ein paar Euro verkaufen kann. Leider lockt dieses Angebot Menschen hervor die das System ausnutzen wollen und sich durch den beschriebenen Fehler Zugriff auf Accounts verschaffen um diese zu verkaufen.
Wie kann man sich schützen?
Leider kann es auch vorkommen, dass eure Session ID gestohlen wird, ohne das ihr irgendwelche Mods installiert habt, am besten schützen könnt ihr euch leider nur, wenn ihr regelmäßig eure eMails checkt, denn ihr bekommt eine Benachrichtigung, sobald jemand versucht Einstellungen an eurem Account zu verändern, was für den Verkauf der Accounts nötig ist. Wenn ihr also schnell genug (Innerhalb von 48h, wenn ihr Glück habt Innerhalb von 72h) reagiert könnt ihr sehr einfach die Kontrolle über euren Account zurückgewinnen, denn die Session ID ändert sich in Regelmäßigen Zeitintervallen und der Angreifer müsste erneut an eure rankommen. Einige Mail-Provider wie Gmail bieten es auch an, dass man Sonderbenachrichtigungen auf Stichwörter im Betreff oder in der Mail bekommt. Wer auf Nummer sicher gehen will, kann sich eine solche auf „Mojang Account“ legen.
(Beitrag geschrieben und recherchiert von _BOOM_21 – vielen Dank dafür)