Die Sicherheit war schon immer ein wichtiger Bestandteil in der Retroszene, der des öfteren auch Diskussionen auslöste. Seit Donnerstag Abend soll nun wieder eine Liste von Passwörtern der alten HabboST-Datenbank im Umlauf sein. Auf dem Discordchannel von HabboST wurden die User hierüber sofort informiert und gebeten, ihr Passwort gegebenenfalls zu ändern. Auch im Live-Hotel gab es, anlässlich der folgenden Geschehnisse, den Hinweis, sein Passwort zu ändern, wenn man dieses auf mehreren Plattformen verwendet hat.

Wurde das Live-Hotel Opfer der Veröffentlichung?

Noch am selbigen Abend hat sich offensichtlich eine unbefugte Person Zutritt zu einzelnen Accounts des Live-Hotels verschaffen können. Die Verbindung zur veröffentlichten Passwortliste liegt nahe. Mit den übernommenen Accounts wurde im Live-Hotel für das HabboST geworben und unter anderem auch die Hotelmanagerin horngry beleidigt. Betroffen waren gleich mehrere Accounts, die wohl dasselbe Passwort in den beiden Retro Hotels nutzten. Auf dem folgendenen Screenshot ist ein Ausschnitt des LiveHotel-Housekeepings abgebildet, der beweist, dass die Logins von einer einzelnen IP-Adresse stattgefunden haben. 

Mit dem Account von Killerfresse bedankte sich die unbekannte Person im Live-Hotel noch über die Skype- und Facebookdaten der Nutzerin Ardaa, was darauf schließen lässt, dass er/sie auch Zugriff auf diese Accounts erlangen konnte. Als Reaktion auf die wiederholten Beleidigungen der mehr oder weniger gehackten User, erhielt der Betroffene offenbar Nachrichten vom Hotelmanagement des Live-Hotels, die gegen ihn und HabboST gingen. Dieses unprofessionelle Verhalten erklärte die Hotelleitung als Reaktion auf die gehackten User-Accounts und Beleidigungen. 

Reaktion der HabboST Projektleitung

Nach diesen Geschehnissen haben wir bei der Projektleitung des HabboST um ein Statement gebeten. Bei diesem Statement handelt es sich um die Schilderungen aus Hazeds Sichtweise. Auf dem unteren Screenshot ist zu erkennen, wie ein User behauptet, er habe alle Accounts von HabboST. Um welches HabboST und von welches Datum es sich darum genau handelt, ist jedoch unklar.

Ein User schrieb mir gestern, dass er sich in viele HabboST Accounts einloggen kann. Wollte das anfangs nicht glauben, aber es gelang ihm, sich in mehrere Accounts einzuloggen. Begründen tut der User das damit, dass er eine Passwortliste hat, worauf man über mehr als 100 entschlüsselte Passwörter sehen kann (siehe Screenshot). Nach dieser Info informierte ich die Spieler via Discord über das Ereignis und bat sie darum, ihre Passwörter zu ändern und Sicherheitsfragen zu aktivieren. Der User, der mir die Informationen gab und im Besitz dieser Liste ist, ist ein sehr treuer Spieler im HabboST. Was im Live passiert ist, weiß ich nicht, es interessiert mich auch nicht. Madness schrieb mir gestern via Skype und schickte mir eine IP-Adresse, kurz darauf wurde ich für 10-20 Minuten geddost. Sehr reife Aktion vom Live-Hotel, IP-Adressen an fremde Personen weiterzugeben und DDoS-Attacken in Auftrag zu geben. […] Das Live-Hotel ist an seiner Lächerlichkeit kaum zu überbieten. […] Cheers. – Hazed, Projektleiter des HabboST

Sicherheitsrisiko Passwort

Es wäre nicht das erste Mal, dass Passwörter in Umlauf geraten. Damals stand beispielsweise ein Retro Hotel unter Verdacht, die Passwörter nach der Registration in der Datenbank nicht zu verschlüsseln, sodass sie im Klartext zu sehen waren. Selbst wenn die Passworter verschlüsselt werden, nutzen noch viele Retro Hotels das alte MD5-Verfahren, welches einen Hash ausgibt, den man jedoch mit etwas Glück – insbesondere bei einfachen Passwörtern wie 123456 – in Sekunden “entschlüsseln” kann. Es ist daher ratsam, immer ein anderes Passwort zu verwenden und einfache Kombinationen zu vermeiden. Dies trifft auch auf den User Account bei RetroTimes zu!