These forums have been archived and are now read-only.

The new forums are live and can be found at https://forums.eveonline.com/

Informationen und Bekanntmachungen

 
  • Topic is locked indefinitely.
 

Probleme mit Single-Sign-On am 8. Februar

First post
Author
Previous Topic Next Topic
CCP Phantom
C C P
C C P Alliance
#1 - 2016-02-08 16:08:14 UTC  |  Edited by: CCP Phantom
(Engl. Originalmeldung)

Am 8. Februar wurde ein Update auf den Login-Server von Tranquility (auch bekannt als Single-Sign-On oder kurz SSO) aufgespielt. Dieses Update wurde zuvor schon auf dem Testserver Singularity getestet, wobei ein Fehler entdeckt wurde, bei dem das SSO zwei Datenbank-Tabellen zusammenführte, was dazu führte, dass Benutzer valide Authentifikations-Token von fremden Konten erhielten. Damals war Singularity offline, Daten waren nicht kompromittiert. Der Fehler wurde behoben, die Folgeschäden beseitigt, die Fehlerbeseitigung ausgiebig getestet und dann am 8. Februar auf Tranquility aufgespielt.

Zu unserem größten Bedauern tauchte dieser Fehler mit der Veröffentlichung am 8. Februar auf Tranquility wieder auf, sodass einige Benutzer wieder valide Authentifikations-Token für fremde Konten erhielten. Kurzum: Das ermöglichte jenen Benutzern das Einloggen in besagte Konten und die Fähigkeit, alle Aktionen auszuführen, die der Kontoinhaber im Spiel auch hätte ausführen können. Wir konnten keinerlei Belege dafür finden, dass unberechtigte Zugriffe auf andere Dienste stattgefunden haben oder auch nur möglich gewesen waren - unsere Ermittlungen werden aber bis zur endgültigen Bestätigung fortgesetzt.

Sofort nachdem wir dieses Problem auf Tranquilitiy erkannt haben wurde der Login-Server heruntergefahren, um die Ausgabe weiterer fehlerhafter Token zu verhindern. Um auch die schon vergebenen fehlerhaften Tokens zu entfernen, wurde Tranquility direkt heruntergefahren. Nachdem Tranquility offline war, wurden alle ausgegebenen Token nutzlos gemacht. Der Logon-Server wurde auf die vorherige, korrekte Version wiederhergestellt.

Alle Spieler müssen sich nun, wie gehabt, bei Benutzung unserer Dienste wieder ganz normal auf Tranquility anmelden, das schließt den Spiellauncher ein und Dienste von Drittanbietern.

Momentan erstellen wir eine Liste von betroffenen Konten, die dann von unserer Sicherheitsabteilung und dem Kundendienst auf ihre vollständige Integrität geprüft werden - das schließt alle Spiel-Vermögenswerte ein. Wir werden betroffene Kunden entsprechend benachrichtigen, ihr braucht also nicht selbst aktiv werden. Solltet ihr den Verdacht haben, dass ihr von diesem Problem betroffen seid, dann fragt bitte beim Kundendienst per Ticket nach.

Wir bitten für diese Unannehmlichkeit um Entschuldigung.

CCP Phantom - Senior Community Developer
Darkblad
Doomheim
#2 - 2016-02-09 07:12:09 UTC
CCP Phantom wrote:
wurde zuvor schon auf dem Testserver Singularity getestet, wobei ein Fehler entdeckt wurde
Die Meldung zum auf Sisi entdeckten Fehler

NPE-ISD-Übersetzt!