Historia lubi się powtarzać: kłopoty z kradzieżą kont na Battle.net

[Kafar 0]

Nie możesz wygenerować z poprzedniego numeru nowego numeru ani numeru ID identyfikatora.

PS. Oczywiście jak ktoś instaluje jakieś programy ze stron porno tych płatnych to nie ma się co dziwić. I żadne zabezpieczenie temu nie podoła gdyż przy wpisywaniu id tokena już numer mógł zostać pobrany ;)

[Kafar 0]

Dnia 22.05.2012 o 12:05, EmperorKaligula napisał:

mnie najbardziej brakuje weryfikacji zmiany IP - mam stałe, więc przy próbie połączenia
złodzieja zza granicy blizzard powinien wysyłać maila/smsa czy to naprawdę ja. I sporo
osób będzie miało problem z głowy. Brakuje też wirtualnej klawiatury w grze. To są podstawy.
Raz mnie w wowa okradli, przeciętne konto, ważne że supprot mają na wysokim poziomie
i w parę godzin wszystko było jak przed kradzieżą :)

Fakt to by było dość ciekawe, gorzej dla ludzi co mają zmienne ip ALE przynajmniej pomogłoby tym co mają stałe ;) chyba coś takiego steam ma.

[Hacket 0]

No raz mi już zhackowali konto jakiś chiński farmer zaczął swój fach i konto zbanowali. Szczęśliwie udało się dogadać z modem i odzyskałem wszystko co do joty.
Choć dziwna sprawa nigdzie się nie logowałem przez te fałszywe strony nie wiem jak to zrobili ale faktem fakt ze jak odzyskałem dostawałam wiele maili fałszywych od "blizza"

[Alehor 0]

W wielu źródłach były dostępne "bety" D3 i ludzie ściągali to na potęgę i pewnie wielu się na tym machnęło.
Nie dziwota że tak się dzieje bowiem ku*wa i złodziej to najstarsze "profesje" ludzkości a nie można zaprzeczyć żę diablo będzie "cieszyć" się większym zainteresowaniem z ich strony w związku z ułatwionym handlem przedmiotami za realną walutę... ;]

[badmad 0]

Problem jest złożony i tak, są nim dotknięte też osoby z autentyfikatorami. Myślę że włączenie opcji wymagania kodu za każdym razem jest pomocne. Bo tak pyta się raz na tydzień. Podobnie pisali też żeby na razie grać tylko ze znajomymi nie otwierać gier, warto też odznaczyć na razie opcję "szybkie dołączanie".

[mr-nadol 0]

Jak ja uwielbiam te wszystkie wypowiedzi ekspertów o antywirusach i stronach porno. Uścisnąć dłoń i pogratulować.
Nie wszystko jest takie proste jakie się wydaje:(

[MisticGohan_MODED 3]

Sobie chyba jednak załatwie ten komórkowy sprawdzacz... ale najlepszy moim zdaniem byłby ten token ?
Jest jakis sklep w Polsce który je sprzedaje ,czy trzeba wysyłkowo brać ?

[Pudzilla 0]

Dnia 22.05.2012 o 13:14, MisticGohan_MODED napisał:

Sobie chyba jednak załatwie ten komórkowy sprawdzacz... ale najlepszy moim zdaniem byłby
ten token ?
Jest jakis sklep w Polsce który je sprzedaje ,czy trzeba wysyłkowo brać ?

Merlin sprzedaje tokeny.

[Henrar 2]

Dnia 22.05.2012 o 13:13, mr-nadol napisał:

Jak ja uwielbiam te wszystkie wypowiedzi ekspertów o antywirusach i stronach porno.

Pierwszy raz w Internecie, prawda?

[vegost 0]

Jak mnie okradną to wiem, gdzie pisać żeby kogoś opieprzyć :) Ale na pewno nie będę kupował dodatkowego tokena, który kosztuje 40 zł na nasze pieniążki. Jak Blizzard tak nas kocha to niech nam je sprezentuje. Jak drugi raz mi zhackują konto to zwrócę się o zwrot kasy :) Bo to, że tak się dzieje jest po połowie z winy Blizzarda bo ma słabiutkie zabezpieczenia i z winy użytkownika. Ale nawet nie grając w Wowa zostałem przez niego zchakowany fun :)

[Pudzilla 0]

Dnia 22.05.2012 o 13:53, vegost napisał:

Jak mnie okradną to wiem, gdzie pisać żeby kogoś opieprzyć :) Ale na pewno nie będę kupował
dodatkowego tokena, który kosztuje 40 zł na nasze pieniążki. Jak Blizzard tak nas kocha
to niech nam je sprezentuje. Jak drugi raz mi zhackują konto to zwrócę się o zwrot kasy
:) Bo to, że tak się dzieje jest po połowie z winy Blizzarda bo ma słabiutkie zabezpieczenia
i z winy użytkownika. Ale nawet nie grając w Wowa zostałem przez niego zchakowany fun
:)

Może jeszcze niech Blizzard opłaci wszystkim okradzionym abonament na rok, da milion kasy i stworzy im postać, która od razu będzie miała 85 level (+ da wyżej wspomniany token). Za głupotę i nieudolność się płaci, i tutaj te wszystkie "hacki" (hahahaha) są tego najlepszym przykładem. Jak sam napisałeś dzielisz z kimś konto, więc gdy ktoś by cię okradł, to jesteś sobie sam winny.

[L33T 0]

Jest też darmowy na telefony komórkowe i iUrządzenia.

[vegost 0]

Dnia 22.05.2012 o 13:58, L33T napisał:

Jest też darmowy na telefony komórkowe i iUrządzenia.

Wiem, ale o ile wiem trzeba mieć włączony transfer danych za co kosi kasę Android :) Inaczej bym sobie go sprawił.

[L33T 0]

Nie wiem jak na Androidzie ale mam token na iPodzie i wymagał tylko jednokrotnego połączenia z siecią celem synchronizacji z BN teraz działa offline cały czas :)

[Pudzilla 0]

Dnia 22.05.2012 o 14:01, L33T napisał:

Nie wiem jak na Androidzie ale mam token na iPodzie i wymagał tylko jednokrotnego połączenia
z siecią celem synchronizacji z BN teraz działa offline cały czas :)

Tzn masz na myśli to, że nie musisz wpisywać kodu z tokena za każdym razem? Jeśli o to ci chodzi, to musisz ustawić taką opcje w koncie battlenet, żeby za każdym razem gra prosiła o kod z tokena.

[vegost 0]

Dnia 22.05.2012 o 14:01, L33T napisał:

Nie wiem jak na Androidzie ale mam token na iPodzie i wymagał tylko jednokrotnego połączenia
z siecią celem synchronizacji z BN teraz działa offline cały czas :)

Z androidem zapewne jest odwrotnie :) Musiałbym sobie podłączyć wi-fi, żeby nie płacić w razie czego, ale wi-fi mi nie pasuje :P

[Apusan 0]

Dnia 22.05.2012 o 13:56, Pudzilla napisał:

Może jeszcze niech Blizzard opłaci wszystkim okradzionym abonament na rok, da milion
kasy i stworzy im postać, która od razu będzie miała 85 level (+ da wyżej wspomniany
token). Za głupotę i nieudolność się płaci, i tutaj te wszystkie "hacki" (hahahaha) są
tego najlepszym przykładem. Jak sam napisałeś dzielisz z kimś konto, więc gdy ktoś by
cię okradł, to jesteś sobie sam winny.

No to mi płac teraz bo przeczytałem twój post. Widzę ze nie przeczytałeś kilku wcześniejszych postów również mojego, ze okradziono ludzi z tokenami ze problem wydaje sie złożony i spowodowany może być luką w battlenecie która pozwala osobie wizytującej w twoje grze na uzyskanie danych potrzebnych do hacka.

[L33T 0]

Dnia 22.05.2012 o 14:03, Pudzilla napisał:

Tzn masz na myśli to, że nie musisz wpisywać kodu z tokena za każdym razem? Jeśli o to
ci chodzi, to musisz ustawić taką opcje w koncie battlenet, żeby za każdym razem gra
prosiła o kod z tokena.

Czytanie ze zrozumieniem "Program wymaga jednokrotnego połączenia z siecią celem wysłania danych do synchronizacji z BN" Potem nie jest wymagane żadne połączenie z siecią. Chyba że synchronizacja będzie ponownie wymagana np w przypadku gdy wyłączysz/uaktualnisz urządzenie.

Gdzie ja pisałem coś o podawaniu kodu ? O.o

[george777 0]

Mi ukradli. Mialem na nim D2 z dodatkiem. Nie wchodzilem na nie od paru miesiecy az tu nagle na poczte przychodzi mi wiadomosć o zmianie hasla do konta Battle.net. od tamtego momentu nie moge sie logowac musze zadzwonic do biura obslugi i sie tak zbieram dluzszy czas

[Tenebrael 1]

Sprawa mnie mocno zainteresowała (sam gram w D3, więc mnie również to dotyczy), tak więc poszperałem po necie, pochodziłem po forach, poczytałem, co ludzie piszą. Poniżej wnioski i obserwacje, jakie z tego wyciągnąłem, a nuż komuś się na coś to przyda:

1. Hackowanie ma miejsce zarówno na serwerach Eu, jak i US (o Azji nie wiem). Oznacza to, że nie jest to raczej jakiś domorosły dzieciak, który chce się szybko dorobić, ale bardziej zorganizowana grupa, działająca na szerszą skalę.

2. Problem nie jest marginalny. Świadczy o tym choćby to, że sam wątek z ludźmi, którzy donoszą o zhackowaniu ich konta w US, ma 1200 (!) postów nabitych w 1 dzień (!!!). Oczywiście nie wszyscy zgłaszają problem, ale jest tego naprawdę SPORO. Co tym bardziej wyklucza niezorganizowane ataki.

3. Metoda działania jest prosta: atakujący loguje się na konto gracza i na swoje, dodaje siebie u ofiary do znajomych, zakłada wspólną grę. Przerzuca, co się da do swojej postaci i opuszcza grę. Interesujące jest, że nie dba o usuwanie siebie z listy znajomych ofiary, co jest dziwne, gdyż pozwoliłoby Blizz''owi na szybką identyfikację sprawcy. Tym bardziej jest to dziwne, gdyż nie funkcjonuje jeszcze RMAH, do jego uruchomienia pozostał tydzień, więc przez ten czas ryzyko, że sprawca zostanie zidentyfikowany, a jego konto (wraz z ukradzionymi dobrami) zbanowane, jest naprawdę spore. Brakuje tu więc nieco logiki czy motywu działania, bo prócz wirtualnych przedmiotów (najpewniej jedynie an chwilę, do czasu złapania i zbanowania) sprawca nic nie zyskuje.

4. Niestety, nikt nie może się czuć bezpiecznie, gdyż problemy zgłaszają też ludzie posiadający uwierzytelniacze, powiadomienia na SMS, nikomu nie podające swoich haseł, a nawet mający zupełnie odrębne, skomplikowane hasła i osobne skrzynki mailowe dla konta BN. Jasne, że część z ludzi, którzy tak twierdzą, może kłamać, jednak jest ich zbyt wielu, by założyć, że kłamią wszyscy.

5. Blizzard niestety odcina sie od problemu, zamyka wątki na forach i sypie standardowymi formułkami w stylu: "nie otwieraj pdoejrzanych witryn, zaktualizuj antyvirusa i KONIECZNIE KUP nasz autentykator!". I takie teksty lecą nawet mimo to, że ludzie jasno piszą, że mają autentykator (uwierzytelniacz), mocne hasło, nie klikają w linki, nikomu nie podają haseł, nie dzielą się kontem etc etc. Ogólnie rzecz biorąc, całą winę zrzucają na graczy i ich rzekomy brak rozsądku.

6. Jako że możliwy jest włam pomimo użycia autentykatora, jedynym sensownym wyjaśnieniem jest to, że nie jest to żaden phishing czy inne wyłudzanie hasła, ale że sprawcy jakimś sposobem obeszli zabezpieczenia Blizzarda. Inaczej niemożliwe byłoby zalogowanie się bez użycia autentykatora, nawet, gdyby atakujący znali login i hasło, a ofiara miałaby ustawione sprawdzanie klucza z autentykatora raz na tydzień (chyba, że sprawcy logowaliby się z tego samego komputera, co ofiara - bo gdy logujemy się z innego, gra tak czy siak spyta nas o autentykator - jednak nic na to nie wskazuje).

7. Okazuje się, że nieraz znajomi widzą ofiarę jako niezalogowaną, mimo, że właśnie wtedy jest ona okradana. Co tym bardziej może świadczyć o złamaniu zabezpieczeń gry, gdyż w przeciwnym wypadku ofiara w czasie kradzieży byłaby widoczna jako zalogowana.


A teraz szybkie pytanie: kto mógłby coś takiego robić?

1. Samozwańczy hacker na pewno nie. Zbyt dużo tych włamań, zbyt wiele by musiał robić naraz, by spowodować takie zniszczenia. Pojedyncza osoba odpada.

2. Zorganizowana grupa, sprzedająca przedmioty z gry? Niezbyt. Gracze niespecjalnie będa chętni kupować teraz przedmioty "na czarno", gdy za tydzień będą to mogli zrobić oficjalnie na RMAH. Z drugiej strony RMAH rusza za tydzien właśnie, więc za wcześnie na kradzieże, w dodatku tak proste do wykrycia i zbanowania biorących w tym udział kont wraz z ukradzionymi przedmiotami.

3. Sam Blizzard, chcąc nakłonić graczy do zakupu uwierzytelniaczy? Tez bzdurne. Na pewno zyski na autentykatorach nie byłyby większe, niż straty wizerunkowe. Zresztą, uwierzytelniacze są też w wersji darmowej na smartfony, które duża część graczy ma - więc niby po co?

Jedyni ewentualni "podejrzani", jacy przychodzą mi na myśl, to:

1. Konkurencja - ale D3 nie ma jako takiej mocnej konkurencji, a już na pewno nie tak zdesperowanej, by odstawiać takie rzeczy, ryzykując w zasadzie bankructwo i pobyt w pierdlu osób, które byłyby w to zamieszane.

2. Grupa typu LulzSec - i to by było jedyne sensowne uzasadnienie, pasujące do danych powyżej. Jakaś grupa po prostu widzi, że może zaszkodzić i pokazać swoją "władzę" i to właśnie robi. A że Blizzard słynął raczej z całkiem niezłego bezpieczeństwa, to jest tu idealnym celem.

[Powyższe to oczywiście czysto subiektywne przypuszczenia, nic więcej]