Sicherheitslücke im Epic Store - Fehlende Verifizierung ermöglicht Accounts mit fremden Email-Adressen

Keine automatische Versendung einer Verifikationsmail bei der Erstellung eines neuen Accounts: Benutzerkonten mit fremden Email-Adressen sind möglich.

von Laura Engelken,
06.03.2019 11:35 Uhr

Der Epic Games Store steht derzeit in der Kritik, seine Benutzerkonten nicht ausreichend zu Verifizieren.Der Epic Games Store steht derzeit in der Kritik, seine Benutzerkonten nicht ausreichend zu Verifizieren.

Auf das Problem, dass Epic Games bei der Erstellung eines neuen Accounts für den Store keine Verifizierung der angegeben Email-Adresse fordert, machte gestern bei Reddit der User -dov- aufmerksam.

Bei dem Versuch einen Account zu erstellen, stellte der User fest, dass bereits zwei seiner Email-Adressen zur Erstellung von Accounts genutzt worden waren, allerdings nicht von -dov- selber.

Viele Mail-Adressen betroffen

Viele Betroffene berichten darüber, dass Accounts mit ihren Mail-Adressen von Dritten in Thailand und Russland erstellt worden sind. Aufgefallen ist es oft erst, wenn der Betrüger versucht hatte den Benutzernamen zu ändern. Hier schickt Epic Games eine Mail zur Bestätigung an die angegebene Mail-Adresse.

User sind durch die geringen Sicherheitsüberprüfungen im Store verunsichert und stellen in Frage, ob ihre Kontodaten dort überhaupt sicher sind. Dabei hatte der Store mit seiner neuen Refund-Politik gerade positive Schlagzeilen gemacht.

Wurde die eigene Mail-Adresse bereits von jemand Fremden benutzt, so kann man den Account zwar löschen lassen, vor einer erneuten Nutzung der Adresse ist man dann aber nicht geschützt. Hier hilft es tatsächlich nur, sie sich mit einem eigenen Account zu sichern.

Fortnite - Battle Pass Season 8 ansehen

Die Liste aller Exklusiv-Tiel im Epic Store findet ihr hier!

In einigen Reddit-Beiträgen berichten User zwar darüber, eine Validierungs-Email bekommen zu haben, bei unserem Test konnten wir das aber nicht bestätigen.

Dass man im Epic Store einfach so einen Account erstellen kann, ohne seine Daten ein einziges Mal bestätigen zu müssen, klingt komisch - ist aber so. Zumindest heute Morgen ließ sich noch ein Account ohne jegliche Bestätigung erstellen.

Zwei-Faktor-Authentifizierung

Nach der Anmeldung kann man in den Kontoeinstellungen das Verifikationsverfahren nachholen. Es erscheint eine Warnung, dass das Konto noch nicht verifiziert wurde. Hier kommt zwar tatsächlich eine Bestätigungsmail, sie zu ignorieren bleibt aber ohne Konsequenz.

Wurde ein Account auf diese Weise verifiziert, bietet der Store eine zusätzliche Zwei-Faktor-Authentifizierung an. Entscheidet man sich für diese, bekommt man einen Code per Mail oder über eine Authentifizierungs-App den man in folgenden Situationen zusätzlich zu seinen Zugangsdaten angeben muss:

  • bei der ersten Anmeldung nach Aktivieren der Funktion
  • bei der Anmeldung über ein neues Gerät
  • wenn die letzte Anmeldung mehr als 30 Tage zurückliegt
  • wenn kürzlich die Browser-Cookies gelöscht wurden

All diese Maßnahmen schützen aber nicht davor, dass jemand einen Account mit der falschen Adresse registriert - sie greifen erst nach der Registrierung.

Datenschutz-Report: Wie Kriminelle eure Daten im Internet abgreifen

Exklusive Doku: Hinter den Kulissen von Gog.com, Teil 3 - Good New Games - Wie Gog gegen Steam, Epic Store & Co. bestehen will PLUS 28:49 Exklusive Doku: Hinter den Kulissen von Gog.com, Teil 3 - Good New Games - Wie Gog gegen Steam, Epic Store & Co. bestehen will


Kommentare(104)

Nur angemeldete Benutzer können kommentieren und bewerten.

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklärst du dich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen