https://www.gog.com/forum/general/iohi_so_cdpr_got_hacked/page1

Ist vielleicht eine gute Idee, sicherheitshalber auch hier das Passwort zu ändern, auch wenn angeblich Gog-Kundendaten nicht betroffen sein sollen.

... und ob das eine gute Idee ist. Blöd nur das der Sicherheitscode per E-Mail mal wieder ewig braucht.

Das sieht eher nach einem PR-Stunt aus. Sieht alles sehr merkwürdig aus. Da will man wohl ein wenig auf die Tränendrüse drücken. Nötig haben sie es ja, nachdem ein Shitstorm den nächsten gejagt hat.

Naja, ich habe sicherheitshalber auch mal mein PW geändert. Danke für den Hinweis an dieser Stelle.

Bin ehrlich gesagt nicht besonders besorgt. Was kann schlimmstenfalls passieren? Das GOG-Konto enthält doch keinerlei persönliche Informationen.

Müsste das testen, aber kann man mit dem Passwort nicht zuerst die Mailadresse ändern, dann das Passwort, also den ganzen Account kapern?
Außerdem kann man doch auch Kreditkarteninfos speichern (denke ich zumindest, mache ich selbst nicht).
Will auch niemanden in Panik versetzen, Gog soll ja auch angeblich nicht betroffen sein...aber Vorsicht schadet ja vielleicht nicht.

Man könnte alle deine Spiele spielen :D

Kreditkartendaten werden laut GOG nicht gespeichert, sondern nur ein Token. Schlimmstenfalls könnte also jemand Spiele für das entsprechende Konto kaufen. Geht bei mir aber auch nicht, da ich den Haken nicht gesetzt habe und meine Daten jedesmal per Hand eingebe.
Und zum Ändern des Passworts bräuchte man bei eingeschalteter Zwei-Faktor-Verifizierung doch Zugriff auf die Mail, oder täusche ich mich?

Aber wenn Du ein gehacktes Passwort hast, kannst Du doch die Mailadresse einfach auf eine andere umstellen, oder? Und dann mittels der neuen Mailadresse in einem zweiten Schritt das Passwort ändern.
Ich meine auch, mich erinnern zu können, dass früher im englischen Forum durchaus auch schon Leute behauptet haben, von Hackern aus ihrem Account ausgesperrt worden zu sein. Weiß natürlich nicht, ob das auch wirklich der Fall war.

Man muss das ja nicht aktivieren. Wenn es aber aktiviert ist, sollte eine Bestätigungsmail an die Mailadresse gehen und da der Hacker die nicht hat, kann er die Änderung nicht durchführen, also sofern das richtig Eingebunden ist.

Hab die Meldung schon woanders gelesen.
https://www.computerbase.de/2021-02/cd-projekt-red-hack-server-kompromittiert/

Dort war die Rede nur vom Source Code von CP2077, Witcher 3 und Gwent, sowie Daten aus der Buchhaltung und der Administration.

Kundendaten seien nicht betroffen.

Ich hoffe doch sehr, dass CDP und GOG diesbezüglich getrennt verwaltet werden.

Die Rede ist hier allerdings von "CDP Capital Group".
Ich schätze, damit wird der Dachverband gemeint sein?

Dann könnte es durchaus möglich sein, dass GOG auch betroffen ist.

Wäre GOG nicht darin bemüht seine Kunden anzuschweigen, könnte man hier ja mal eine offizielle Stellungnahme veröffentlichen? ... @GOG

Und selbst wenn jemand das Passwort zum GOG-Account kennt, bräuchte es bei aktivierter "Zwei-Faktor-Authentifizierung" immer noch Zugang zum jeweiligen Mail-Account.

Wie verhält es sich eigentlich, wenn ich zu meinem GOG-Account die E-Mail-Adresse ändern möchte?
Könnte ich mich da versehentlich aussperren? Bspw. wenn ich aus Versehen die neue E-Mail falsch eintrage.

Man kann sich hier ja leider nicht mit dem User-Name anmelden...

Ich hab das eben getestet, wenn man ein Passwort hat, kann man die E-Mail-Adresse ohne weitere Kontrolle ändern.
Aussperren kann man sich wohl nicht wirklich, es gibt eine Rollback-Funktion, bei der man zu der alten Mailadresse zurückwechseln kann. Resettet auch das Passwort, was auf Gog-typische Weise nicht ganz klar kommuniziert wird, d.h. man muss beim Login die Passwortrücksetzung beantragen.
So wie ich das sehe ist es aber jedenfalls möglich, mit einem Passwort einen anderen Account zu kapern und so umzustellen, dass der eigentliche Besitzer ausgesperrt wird und ohne Hilfe vom support nicht mehr reinkommt.

Vermutlich an seinem eigenen Rechner, da wird er ja nicht jedes mal aufgefordert den Sicherheitscode einzugeben. Nur wenn sich der Hashwert (Fingerprint) der Verbindung endet. Also z.B. das IP-Netz, der verwendete Browser, usw.

Der Aufwand die Daten zu ermitteln und vorzutäuschen (für einen GOG-Account) ist ja völliger Hollywood-Style. :D
Zumal man mit Zugriff auf die Datenbanken die Accounts ohnehin beim Skrotum hat. ;)

Ja, sowas in die Richtung. Als ich vorhin das Passwort geändert hatte, musste ich mich an meinen PC, von den ich die Änderung vornahm, mit den 2-Faktor-Code anmelden. Am Smart-Phone reichte die Eingabe des neuen Passworts.