This week two users reported that someone had gotten into their game account and stole their items and deleted their characters. We immediately investigated to find out how this could have happened. A vulnerability on the old trade site login page allowed a malicious user to attempt to login many times without being timed out. This malicious user wrote a program that tries many different passwords in quick succession to break into a player account. This is also known as a bruteforce attack. Once he got into their trade account, he then tried the same password on the game account and logged in.

The malicious user did not have access to any sensitive information. He could only get a player's password (and email address once he had logged into their game account). We don't keep sensitive data about anyone and he did not have access to our databases. All he did was gain access to at least 2 users' game accounts to steal their stuff. However we are still taking this seriously because he may have acquired a few more accounts that he hasn't yet logged into. So to protect your characters and game account, we are asking everyone to please change your in-game password immediately. The process is quick and easy. Go to the login page click 'Account Settings' and then click on 'Change Password'.

To change password on website you have to go to old account page.
1. Click "My account" top right corner
2. Scroll down and click "Go to old account page"
3. Scroll down again and type new password you want

In the end, the malicious user's accounts were closed and the two affected users got their characters recovered. But we still feel we need to take this seriously because some users have bad password habits. I always worry that someone will reuse the same password for their email as their D2 account. Hopefully this situation shows the importance of having a long and difficult password as well as having unique passwords for everything. I recommend getting a password manager for this exact purpose.

As for us, we have already closed the vulnerability so it is no longer possible. I'd like to apologize for any stress caused. We have been in the long process of moving away from the old website code for a couple years as it wasn't fast or secure. Unfortunately we missed this vulnerability in the old code but you can rest assured that on the beta website we are creating a fast, stable and secure website. if you have any questions or concerns about this you can dm me directly. Thanks for your time and attention. Please take a few seconds to change your password in-game now.


本周有兩名玩家回報發生了帳號被盜用且角色被刪除的情況,因此我們立刻著手調查是什麼原因或漏洞產生此問題。 舊的交易網站登入網頁上有個漏洞,可使惡意玩家多次嘗試錯誤的帳號登入而不會產生超時問題。 該惡意玩家因此編寫了一個程式,以連續的隨機密碼來隨機登入別的玩家帳號,一旦成功登入,便立刻在遊戲中嘗試使用相同的帳號與密碼來盜用他人帳號。

惡意玩家沒有辦法直接盜用他人帳號的任何敏感訊息,只是以該方式來盜用他人密碼。 我們遊戲官網不會儲存任何玩家的敏感訊息,且他無法利用此漏洞進入我們的數據庫。他唯一所做的是利用此漏洞盜用了兩人的帳號。 但我們依舊對此事件非常重視,因為他有可能已經使用此漏洞獲得了更多他還沒動手的其他帳號密碼。 因此為了保護你的角色與遊戲帳號,我們建議所有玩家立刻更改你的遊戲密碼。方法非常簡單。 先進入登入網頁點擊'Account Settings' 然後點擊'Change Password'

備註:繁體中文用戶使用的翻譯語言該按鈕被變更變成中文化版本編號,位子沒有變化 如果你要更改你網頁的密碼,請依照以下步驟進行
1.點擊右上角的"My account"
2.將網頁往下拉,點擊"Go to old account page"
3.再次將網頁往下拉並重新設定你的密碼

該惡意玩家的帳號已經被封鎖,被盜用帳號的兩名玩家已經進行了復原處理。 但我們依舊會認真對待此事件,因為有些玩家的密碼使用習慣並不好,會將許多帳號跟密碼都設定的完全相同。 我們建議使用複雜且高強度的密碼,並自行建立一個類似於管理用的筆記本或是類似的東西來加強防護。

我們已經修復了這個網頁漏洞,因此不會再發生這件事情。對於這次事件,我們深感歉意。 這幾年來我們一直在重新編寫舊的網頁代碼,因為舊代碼不快速也不安全。不幸的是,在編寫過程中我們沒注意到這個漏洞。 但請玩家放心,新的網站我們已經重新編寫了一個新的網頁代碼,快速且安全。 如果你還有任何疑問或是問題,可以直接找我(GreenDude),再Discord上密語或是其他類似方法。 感謝你花費些時間看完這些,還請注意立刻更改你的密碼以免發生更多問題。


本周有两名PoD玩家报告,有人盗取了他们的游戏账号,偷走了装备并删除了角色。我们对此立刻展开了调查,发现有用户利用了旧版交易网站的漏洞,在不触发系统锁定的条件下进行了大量登录尝试,该盗号者通过编写的脚本,暴力破解密码了部分玩家的密码。一旦他获得玩家的交易网站密码,随后便利用相同的密码登录玩家的游戏账号。

盗号者无法获得玩家的任何敏感信息,他只能得到玩家的密码(及绑定的邮箱)。PoD战网从未保存过任何玩家的任何敏感信息,盗号者也并没有侵入我们的数据中心。他所做的就是获取到了至少两名玩家的账号和密码,并盗走了他们的装备。即使如此,我们仍需要严肃对待,因为盗号者很可能还获取了其他账号的密码,只是还未尝试登录。因此,为了保护你的账号,我们希望每一位玩家立即更改游戏密码。过程很简单:进入游戏的登录界面,点击“账号设置”按钮 然后点击“更改密码”。

若要更改交易网站密码,你需要进入PoD网站:
1. 点击右上角的“My account”
2. 下滚页面,点击“Go to old account page”
3. 继续下滚页面,输入你要设置的新密码

现在我们已经封禁了该盗号者的所有账号,两名被盗号玩家也得到了游戏角色和装备恢复。由于很多用户设置密码习惯较差,因此我们需要非常重视这个问题。我经常担心有玩家会把相同的邮箱密码重复使用在D2账户中。希望通过本次情况,用户能为所有账户设置一个复杂并独一无二的密码。基于此,我推荐使用密码管理器。

目前,我们PoD团队已经修复了该漏洞,在这里也向各位因此造成的不便表示歉意。多年来我们一直在改进旧版网站的代码,希望能够提高速度和安全性。遗憾的是,我们疏忽了这个漏洞的存在。但请各位玩家放心,正在测试中的新版交易网站将会比以前更加快速、安全和高效。如果你仍对此有任何疑问或建议,请在Discord上私信我。感谢各位对PoD的支持与关注,也请各位尽快更改您的游戏密码。


На этой неделе два пользователя сообщили, что кто-то проник к ним в игровой аккаунт, украл их вещи и удалил персонажей. Мы немедленно начали расследование, чтобы понять как это могло произойти. Слабое место старой страницы входа на трейд, позволяло злоумышленнику многократно пытаться войти, не получая тайм-аутов. Злоумышленник написал программу подбирающую множество разных паролей в короткий срок, для взлома учётной записи игрока. Это также известно как атака грубой силой. Как только ему удалось войти в учётную запись на сайте трейда, он сразу попробовал этот же пароль в игровом аккаунте и успешно вошёл.

Злоумышленник не имеет доступа к конфиденциальной информации. Он мог получить только пароль игрока (И адрес электронной почты, когда вошёл в учётную запись). Мы не храним конфиденциальные данные ни о ком, и у него не было доступа к нашим базам данных. Всё, что он сделал, - это получил доступ как минимум к двум игровым аккаунтам, и украл их вещи. Однако мы относимся к этому всё ещё серьёзно, потому что он может иметь доступ к ряду учётных записей в которые ещё не входил. Поэтому, чтобы защитить свой внутриигровой аккаунт, мы просим каждого, немедленно изменить свой внутриигровой пароль. Это быстро и просто. Перейдите на страницу входа, далее нажмите на “Настройки пользователя”, и затем “Изменить пароль”. Чтобы изменить пароль вам необходимо перейти на старую версию сайта “go to old account page”.

В заключение, аккаунты злоумышленника были закрыты, а персонажи двух потерпевших пользователей - восстановлены. Но мы по-прежнему считаем, что нужно отнестись к этому серьезно, потому что у некоторых пользователей есть неправильные пароли. Я всегда беспокоюсь, что кто-то использует тот же пароль для своей электронной почты, что и для учетной записи D2. Надеюсь, эта ситуация показывает, как важно иметь длинный и сложный пароль, а также уникальные пароли для всего. Я рекомендую использовать “Password manager” именно для этой цели.

Что касается нас, мы устранили уязвимость, так что подобное больше невозможно. Я хотел бы извиниться за доставленные неудобства. В течение нескольких лет мы находились в долгом процессе отказа от старого кода веб-сайтов, поскольку он не был быстрым и безопасным. К сожалению, мы упустили это слабое место в старом коде, но вы можете быть уверены, что на веб-сайте бета-версии мы создаем быстрый, стабильный и безопасный веб-сайт. Если у вас есть какие-либо вопросы или опасения по этому поводу, вы можете написать мне напрямую. Спасибо за ваше время и внимание! Пожалуйста, потратьте несколько секунд, чтобы изменить свой пароль прямо сейчас в игре.


이번 주에 두 명의 유저로부터 누군가가 게임 계정에 접속해서 아이템을 훔치고 캐릭터를 삭제했다고 제보를 받았습니다. 우리는 무슨 일이 발생했는지에 대해 즉시 조사를 시작했습니다. 구 트레이드 사이트의 로그인 페이지 취약성으로 인해 악성 유저가 타임아웃되지 않고 여러 번 로그인 시도를 할 수 있었습니다. 악성 유저는 유저의 계정을 탈취하기 위해 연속적으로 다른 비밀번호 조합을 시도하는 프로그램을 사용했습니다. 이는 브루트포스(bruteforce) 공격이라고 알려진 방법입니다. 트레이드 계정으로 접속한 뒤 똑같은 비밀번호로 게임 계정에 접속을 시도해서 로그인에 성공했습니다.

악성 유저는 어떠한 민감한 정보에도 접근하지 못했습니다. 오직 사용자의 비밀번호(그리고 게임 계정에 접속한 뒤에는 해당 이메일 주소도)만 알아냈습니다. 우리는 그 누구의 민감한 개인정보도 보관하지 않으며 해커는 우리의 데이터베이스에 접근하지 못했습니다. 오직 아이템을 훔치기 위해 두 명의 유저의 게임 계정에 접근권한만 얻었을 뿐입니다. 그러나 우리는 이 사안을 심각하게 생각하고 있습니다. 해커가 몇몇 추가적인 계정도 탈취했지만 로그인하지 않았을 가능성도 있기 때문입니다. 따라서 캐릭터와 게임 계정을 보호하기 위해서, 모든 유저가 인게임 비밀번호를 즉시 변경해 주실 것을 부탁합니다. 변경방법은 빠르고 간단합니다. 로그인 페이지 에서 ‘Account Settings’를 클릭하고, ‘Change Password’를 클릭해서 바꿀 수 있습니다.

웹사이트 비밀번호 변경은 구 계정 페이지에서 할 수 있습니다.
우측 상단의 “My account”를 클릭합니다.
스크롤을 내려서 “Go to old account page"를 클릭합니다.
스크롤을 다시 내려서 새로운 비밀번호를 입력합니다.

해당 악성 유저의 계정은 정지되었으며 피해를 입은 유저의 캐릭터는 복구되었습니다. 그러나 우리는 여전히 사안을 심각하게 받아들이고 있습니다. 나쁜 비밀번호 습관을 가진 유저들이 있기 때문입니다. 이메일 비밀번호를 디아블로2 계정 비밀번호에도 재사용하는 것이 우려하는 점입니다. 이번 사태가 모든 계정에 길고 어려운, 그리고 독자적인 비밀번호를 사용하는 것의 중요성을 알려주었다고 생각합니다. 제가 비밀번호 관리자(password manager)의 사용을 추천하는 것도 위와 같은 이유입니다.

관리 차원에서는, 이미 취약점을 수정했으며 더 이상 같은 방법으로 해킹을 시도할 수 없습니다. 이번 일로 신경을 쓰게 해드려서 죄송합니다. 속도와 안정성의 문제 때문에, 우리는 구 웹사이트의 코드를 교체하는 긴 작업을 몇 년간 진행중입니다. 불행하게도 예전 코드에 포함된 취약점을 놓치는 일이 발생했지만 beta 웹사이트에서 우리는 빠르고 안정적이며, 안전한 웹사이트를 구축하고 있기 때문에 안심하셔도 좋습니다. 이번 일에 대해 문의나 우려되는 점이 있다면 저에게 직접 DM을 주시면 됩니다. 관심을 가지고 시간을 내주셔서 감사합니다. 수고스럽더라도 인게임 비밀번호를 변경해주시기 바랍니다.


A het folyaman ketto felhasznalonk is jelentette hogy valaki hozza fert a jatekban hasznalt felhasznaloi fiokjahoz, ellopta a felszereleset es letorolte a karaktereit. Mi azonnal utana neztunk a problemanak es kiderult hogy egy, a regi ‘trade’ oldalunkon mukodo bejelentkezesi rendszer hibaja miatt egy rossz akaratu felhasznalo feltorhetett jelszavakat. A felhasznalo irt egy programot ami kulonfele jelszavakkal probal meg belepni a regi trade oldalra egymas utan sokszor. Ezt a fajta tamadast ugy is nevezik hogy ‘bruteforce’ tamadas. Amint a felhasznalo bejutott az oldalra megprobalt ugyan azzal a felhasznalo nevvel es jelszoval bejutni a jatekban hasznalt felhasznalokba is.

A rossz akaratu felhasznalonak nem volt hozzaferese semmilyen szenzitiv informaciohoz a jatekosainkrol. Csak es kizarolag a jatekos jelszavat tudta feltorni es a felhasznalohoz csatolt email fioknak a nevet amint bejutott a trade oldalra. Jelenleg ketto felhasznalo fiokrol tudunk akik ki lettek teve ennek a tamadasnak, de komolyan kezeljuk a problemat mert lehet hogy tobb fiokhoz is hozza ferhetett a tamado. Annak erdekeben hogy megvedjuk a jatekosainkat a tovabbi tamadasoktol, mindenkit megkerunk arra hogy valtoztassak meg a jatekban hasznalt felhasznaloi fiokjuk kodjat. A folyamat egyszeru es gyors. Navigalj a bejelentkezesi feluletre a jatekon belul: valaszd ki az ‘Account Settings’ menu fulet es utana klikkelj a ‘Change Password’ fulre.

Ahhoz hogy megvaltoztasd a jelszavadat a honlapon, a regi honlapon levo felhasznaloi lapra kell navigalnod.
1: Valaszd ki a ‘My account’ fulet a jobb felso sarokban
2: Gorgess le es valsed ki a ‘Go back to old account page’ linket
3: Gorgess le ismet es ird be az uj felhasznaloi jelszavat amit szeretnel

A rossz akarato felhasznalo fiokjait megszuntettuk es a ketto erintett felhasznalo karaktereit vissza allitottuk. Azonban mi akkor is ugy ereztuk hogy ezt komolyan kell vennunk mert nehany felhasznalonknak lehetnek rossz felhasznaloi kodjaik amiket konnyu feltorni ezzel a modszerrel. En mindig azon aggodok hogy valaki ujra fogja hasznalni ugyan azt a felhasznaloi jelszot az email cimehez mint a jatekbeli felhasznalojahoz. Remelem hogy ez az eset ramutat arra hogy mennyire fontos hogy hosszu es nehez jelszavakat adjunk meg mindenhova, amik minden felhasznalonknal kulonboznek. Szemely szerint tudam ajanlani hogy egy felhasznaloi jelszo rendszerezo szoftvert hasznaljunk.

Ekozben mi mar elharotottuk a tamadast szoval ez mostantol nem jelent veszelyt a jatekosainkra nezve, es ezuton is szeretnenk bocsanatot kerni a fejfajasert amit feltehetoen ez a helyzet okozhatott. Egy hosszu es nehez idoszak all mogottunk amig a regi honlaprol az uj oldalra helyeztuk at a funkciokat mivel a regi nem volt eleg biztonsagos. Sajnalatosan elsiklottunk efelett a biztonsagi resen a regi oldal kodjaban, de megnyugtathatunk mindenkit hogy az uj oldal amit fejlesztunk az megbizhato es biztonsagos. Ha barmi kerdesed lenne vagy aggodalmad tamad nyugodtan irj nekem szemelyesen. Koszonom szepen hogy idot szantal ra es elolvastad ezt a bejegyzest. Kerlek ha meg nem tetted volna akkor most valtoztasd meg a jatekban hasznalt felhasznalod jelszavat.


Diese Woche wurde uns von zwei Usern zugetragen, dass sich jemand unrechtmäßigen Zugriff zu ihrem Account verschafft hat. Ihre Items wurden gestohlen und Charaktere gelöscht. Wir haben uns der Sache unverzüglich angenommen, um herauszufinden wie das passieren konnte. Eine Sicherheitslücke auf der alten Trade-Site, hat es einem böswilligen User ermöglicht, sich wiederholt anzumelden, ohne dabei von einem Time-Out gestoppt zu werden. Der besagte User hat ein Programm geschrieben, welches durch schnell aufeinanderfolgende Loginversuche, versucht Passwörter zu entschlüsseln. Diese Methode ist auch bekannt als „bruteforce attack“. Sobald er Zugang zum Account auf der Website hatte, wurden diese Passwörter auch für den jeweiligen Accounts getestet und sich eingeloggt.

Der Angreifer hatte keinen Zugang zu vertraulichen Informationen. Er konnte lediglich das Passwort des Spielers ermitteln (und die E-Mail Adresse, nachdem er sich eingeloggt hatte). Wir speichern von niemandem vertrauliche Daten und er hatte keinen Zugriff auf unsere Datenbanken. Er hat sich nur Zugriff auf die Accounts von mindestens zwei Usern verschafft, um deren Gegenstände zu stehlen. Wir nehmen die Angelegenheit jedoch sehr ernst, denn er hat möglicherweise Zugriff auf ein paar weitere Accounts, in welche er sich bisher jedoch noch nicht eingeloggt hat. Um euren Account sowie eure Charaktere zu schützen, bitten wir jeden Spieler die Passwörter eurer Accounts zu ändern! Dieser Vorgang nimmt kaum Zeit in Anspruch und ist leicht umzusetzen. Besucht dazu die Login-Seite und klickt auf „Account Settings“, danach klickt ihr auf „Change Password“.

Um das Passwort auf der Website selbst zu ändern, müsste ihr die alte Account-Seite besuchen.
1. Klickt „My Account“ in der oberen, rechten Ecke
2. Scrollt runter und klickt “Go to old account page”
3. Scrollt erneut runter und wählt euer neues Passwort

Letztlich wurden die Accounts des Angreifers gesperrt und die Charaktere der zwei Betroffenen User wurden wiederhergestellt. Dennoch haben wir das Gefühl dieses Thema generell sehr ernst zu nehmen, denn die Spieler haben in der Regel einen schlechten Umgang mit ihren Passwörtern. Immer wieder befürchte ich, dass jemand dasselbe Passwort für seinen E-Mail Account und Diablo 2 Account verwendet. Hoffentlich verdeutlicht dieser Vorfall umso mehr, wie wichtig es ist ein sicheres und einzigartiges Passwort für alle Accounts zu wählen. Ich empfehle euch einen “Password Manager” für eben diesen Zweck zu verwenden.

Was uns betrifft, haben wir die Sicherheitslücke bereits geschlossen, um weitere Angriffe zu verhindern. Ich möchte mich an dieser Stelle für alle entstandenen Unannehmlichkeiten entschuldigen. Wir sind seit ein paar Jahren dabei, uns vom alten Website-Code zu entfernen, da er nicht schnell oder sicher war. Leider jedoch haben wir diese Sicherheitslücke im alten Code übersehen, aber ihr könnt euch sicher sein, dass wir auf der Beta-Website eine schnelle, stabile und sichere Website erstellen. Wenn Sie Fragen oder Bedenken dazu haben, könnt ihr mich direkt kontaktieren. Vielen Dank für eure Zeit und Aufmerksamkeit. Bitte nehmt euch ein paar Sekunden Zeit, um euer Passwort jetzt im Spiel zu ändern.

Discussion on r/pathofdiablo

Posted by GreenDude, 3 years 2 days ago