Historia lubi się powtarzać: kłopoty z kradzieżą kont na Battle.net

[Shakermaker 1]

Ja jeszcze nie straciłem konta. Avast nie zawodzi i wykrywa niebezpieczne strony/keylogger''y, jak najbardziej polecam go bardziej niż Kaspersky''iego :)

[Lfdracon 0]

Ludzie grający w kampanię singleplayer są okradani ze swoich postępów w grze... Ciekawe do ilu włamań by doszło, gdyby idioci z Blizzarda zastanowili się chwilę i umożliwili granie offline.

[EmperorKaligula 0]

Dnia 22.05.2012 o 14:22, Lfdracon napisał:

Ludzie grający w kampanię singleplayer są okradani ze swoich postępów w grze... Ciekawe
do ilu włamań by doszło, gdyby idioci z Blizzarda zastanowili się chwilę i umożliwili
granie offline.

konta offline nie mają żadnej wartości bo można je łatwo edytować - patrz save hacki do singla diablo 2 :) Albo postać na dysku i granie dla samego siebie, albo postać na serverze blizzarda, granie ze znajomymi (ja solo w ogóle nie grywam) i zapisywanie progresu w czasie rzeczywistym. Wg mnie blizzard wybrał dobrze, ale nie dopracował produktu. To już nie są czasy singleplayer; sieciowe dodatki i gra ze znajomymi po jednym kliknięciu to przyszłość grania czy nam się to podoba czy nie.

Oczywiscie wiem, że są gry które muszą byc singleplayer, ale diablo 3 to gra akcji i wyzwania w grupie, dlatego w to gram.

[pkapis 0]

Dnia 22.05.2012 o 14:16, Tenebrael napisał:

2. Problem nie jest marginalny. Świadczy o tym choćby to, że sam wątek z ludźmi, którzy
donoszą o zhackowaniu ich konta w US, ma 1200 (!) postów nabitych w 1 dzień (!!!). Oczywiście
nie wszyscy zgłaszają problem, ale jest tego naprawdę SPORO. Co tym bardziej wyklucza
niezorganizowane ataki.

Ilość postów nie jest żadnym wyznacznikiem. Temat jest gorący i mnóstwo ludzi komentuje, a większość to plotki.

Dnia 22.05.2012 o 14:16, Tenebrael napisał:

jest to dziwne, gdyż nie funkcjonuje jeszcze RMAH, do jego uruchomienia pozostał tydzień,
więc przez ten czas ryzyko, że sprawca zostanie zidentyfikowany, a jego konto (wraz z

RMAH miał być uruchomiony wcześniej, tylko zostało to przesunięte. Być może atak został przeprowadzony w oparciu o stare dane?

Dnia 22.05.2012 o 14:16, Tenebrael napisał:

że część z ludzi, którzy tak twierdzą, może kłamać, jednak jest ich zbyt wielu, by założyć,
że kłamią wszyscy.

House twierdzi coś innego ;-)

Dnia 22.05.2012 o 14:16, Tenebrael napisał:

5. Blizzard niestety odcina sie od problemu, zamyka wątki na forach i sypie standardowymi
formułkami w stylu: "nie otwieraj pdoejrzanych witryn, zaktualizuj antyvirusa i KONIECZNIE
KUP nasz autentykator!". I takie teksty lecą nawet mimo to, że ludzie jasno piszą, że
mają autentykator (uwierzytelniacz), mocne hasło, nie klikają w linki, nikomu nie podają
haseł, nie dzielą się kontem etc etc. Ogólnie rzecz biorąc, całą winę zrzucają na graczy
i ich rzekomy brak rozsądku.

Hmmm, ja widziałem coś innego. Blizzard bardzo wyraźnie odpisał jednemu ze skarżących się i twierdzących że ma autentykator, że urządzenie zostało dodane już po włamie.
Napisali też, że póki co nic nie wskazuje na to, by atak był przeprowadzony inaczej niż starą, sprawdzoną metodą przez zalogowanie się używając loginu i hasła.
Za każdym razem gdy ktoś twierdzi, że włamano się na konto chronione autentykatorem (ciekawostka, prawie zawsze jest to nie konto piszącego, tylko jego kolegi/brata/znajomego) proszą o szczegóły, np. battletag i najczęściej pozostaje to bez odpowiedzi.
Jedna z hipotez jest taka, że ktoś dysponował sporą liczbą loginów i haseł (ludzie rzadko je zmieniają, więc mogły być zebrane np. przez ostatni rok) i po prostu zaatakował w tym momencie.

Dnia 22.05.2012 o 14:16, Tenebrael napisał:

6. Jako że możliwy jest włam pomimo użycia autentykatora, jedynym sensownym wyjaśnieniem
jest to, że nie jest to żaden phishing czy inne wyłudzanie hasła, ale że sprawcy jakimś

Sorry, nie widziałem jeszcze potwierdzonego przypadku takiego włamu na konto chronione autentykatorem, którego właściciel zgłosiłby się do Blizzarda i pozwolił im sprawdzić w jaki sposób zostało to zabezpieczenie ominięte.
Większość tego co można znaleźć na forach to plotki, ludzie wypisują tam różne bzdury.

Bardzo ładnie to podsumował jeden gość na forum EU Blizzarda:
Jeden koleś pisze, że to pewnie podebranie SessionID i zaraz wszyscy się rozpisują, że to na pewno to.
Drugi pisze, że to SQL injection i znowu wszyscy mu wierzą, chociaż ani oni, ani on sam nie mają pojęcia co to takiego i jak działa.

Dnia 22.05.2012 o 14:16, Tenebrael napisał:

2. Zorganizowana grupa, sprzedająca przedmioty z gry? Niezbyt. Gracze niespecjalnie będa
chętni kupować teraz przedmioty "na czarno", gdy za tydzień będą to mogli zrobić oficjalnie
na RMAH. Z drugiej strony RMAH rusza za tydzien właśnie, więc za wcześnie na kradzieże,
w dodatku tak proste do wykrycia i zbanowania biorących w tym udział kont wraz z ukradzionymi
przedmiotami.

A komu by się chciało robić tyle ataków ręcznie? Dla mnie logicznie brzmi coś takiego:
Jakaś grupa zbierała loginy i hasła ludzi przez dłuższy czas. Teraz dysponują sporą bazą danych. Użyli bota, który loguje się na te konta i oddaje przedmioty na ich konto. Ataki lecą więc przez automat.
Całość miała być zsynchronizowana ze startem RMAH, żeby rzucić jak najwięcej przedmiotów na dzień dobry, oraz żeby pozbyć się konkurencji. Tyle że Blizzard przesunął premierę RMAH, a atak ruszył w starym terminie.

Dnia 22.05.2012 o 14:16, Tenebrael napisał:

2. Grupa typu LulzSec - i to by było jedyne sensowne uzasadnienie, pasujące do danych
powyżej. Jakaś grupa po prostu widzi, że może zaszkodzić i pokazać swoją "władzę" i to
właśnie robi. A że Blizzard słynął raczej z całkiem niezłego bezpieczeństwa, to jest
tu idealnym celem.

Możliwe, tyle że taka grupa nie działałby w sposób tak monotonny, jedynie kradnąc najcenniejsze przedmioty, a raczej odstawiałaby różne głupie dowcipy, no i dałaby o sobie znać.

[ZubenPL 2]

Dnia 22.05.2012 o 14:05, vegost napisał:

Z androidem zapewne jest odwrotnie :) Musiałbym sobie podłączyć wi-fi, żeby nie płacić
w razie czego, ale wi-fi mi nie pasuje :P

Bzdura

Korzystam z tokena na androida i nie wymaga żadnego połączenia z internetem poza jednorazową synchronizacją.

[Wojman 4]

Dnia 22.05.2012 o 11:07, Kresegoth napisał:

Jest. Są keyloggery, które przechwytują wpisywany kod, wysyłają niewłaściwy, gra wywala
komunikat o źle wpisanych danych. Użytkownik zazwyczaj wychodzi z założenia, że może
faktycznie się gdzieś rąbnął i ponawia próbę logowania (tym razem udaną). Natomiast dane
z pierwszego logowania są przesyłane przez keylogger dalej.

Dlatego na swoim koncie BN należy ustawić opcję, żeby kod był wymagany za każdym razem kiedy logujesz się do gry i swojego konta. Jeśli jest opcja, żeby numer był podawany raz na tydzień wtedy faktycznie można przechwycić i numer z tokena. Jeśli zaś numer zmienia się co chwilę to już nie ma możliwości na przejęcie takiego konta.

[vegost 0]

Dnia 22.05.2012 o 14:45, ZubenPL napisał:

Korzystam z tokena na androida i nie wymaga żadnego połączenia z internetem poza jednorazową
synchronizacją.

Czytanie ze zrozumieniem się kłania, z resztą po raz enty ci to piszę, ale na to wykładasz. Twoje posty są tyle warte co ty sam, na forum blizzarda też czytam twoje wypociny i nie tylko ja widzę, że lubisz pisać bełkoty. Każdy jeden użytkownik ci tam dosrywa. Więc ogarnij się synu. Napisałem, że w przypadku Androida mogą być naliczane opłaty za włączenie usługi do sieci. Czyt. transfer danych. Skoro tego nie możesz zrozumieć to najlepiej nie pisz wcale.

[Pudzilla 0]

Dnia 22.05.2012 o 14:05, Apusan napisał:

No to mi płac teraz bo przeczytałem twój post. Widzę ze nie przeczytałeś kilku wcześniejszych
postów również mojego, ze okradziono ludzi z tokenami ze problem wydaje sie złożony i
spowodowany może być luką w battlenecie która pozwala osobie wizytującej w twoje grze
na uzyskanie danych potrzebnych do hacka.

I co, myślisz, że uwierzę w te bajeczki? Pewnie ludzie którzy teraz lamentują podali swoje dane komuś, na jakiejś stronce, lub złapali keyloggera. Ty chyba sobie żarty robisz z Blizzarda. Tysiące postawionych serwerów, fachowa obsługa klienta, ogromna ilość sprzedanych gier - myślisz, że oni dopuścili by do takiego błędu? Dobre sobie

Co do tego wpisywania kodu, to źle zinterpretowałem twój post L33T.

[Henrar 2]

Zachowujesz się trochę jak fanboje Apple''a, którzy nie mogą przyjąć do wiadomości, że Mac OS ma dziury tak jak każdy inny OS i że są na niego wirusy.

Tak, Blizzard jest niewinny, ma zabezpieczenia nie do złamania, winni są gracze, bo są idiotami - mi nic przecież nie ukradziono.

Kocham takich ludzi.

[Pudzilla 0]

Dnia 22.05.2012 o 15:02, Henrar napisał:

Zachowujesz się trochę jak fanboje Apple''a, którzy nie mogą przyjąć do wiadomości, że
Mac OS ma dziury tak jak każdy inny OS i że są na niego wirusy.

Tak, Blizzard jest niewinny, ma zabezpieczenia nie do złamania, winni są gracze, bo są
idiotami - mi nic przecież nie ukradziono.

Kocham takich ludzi.

Nie twierdzę, że zabezpieczenia Blizzarda są nie do złamania, jednak większość tych włamań dzieje się z winy właścicieli kont. Tak to jest, jak się nie dba o swoje dane, podaje mejla byle gdzie, dzieli konto z inną osobą, nie zabezpiecza się go odpowiednio (token). Wyjaśnij mi, dlaczego zawsze największe problemy mają ci, którzy przykładowo podają swoje dane do konta jakiejś obcej osobie w celu "otrzymania większej ilości złota"? Dla mnie to jest po prostu naiwność. No ale przecież jak ktoś już zostanie w taki sposób okradziony, to nie przyzna się do winy, tylko zacznie krzyczeć na forum, że zabezpieczenia są słabe.

[Apusan 0]

Dnia 22.05.2012 o 14:53, Pudzilla napisał:

I co, myślisz, że uwierzę w te bajeczki? Pewnie ludzie którzy teraz lamentują podali
swoje dane komuś, na jakiejś stroce, lub złapali keyloggera. Ty chyba sobie żarty robisz

Napisałem że być może jest to wina batlleneta natomiast ty założyłeś ze wszyscy ładują sobie keyloger na stronach porno albo rozdają swoje konta na lewo i prawo i dają sie opierdzielić. Mimo że duża cześć jest doświadczonymi graczami którzy jakąś wiedze o zabezpieczeniach swojego konta mają. Wszystko umiesz wytłumaczyć głupota ludzka ale nie głupota blizza. Jak dla mnie prawda jest jak zwykle po środku i gdyby winny był blizzard to nigdy się do tego nie przyzna i będzie wypisywał takie same głupoty jak ludzie na forach. Pozatym

Dnia 22.05.2012 o 14:53, Pudzilla napisał:

Tysiące postawionych serwerów, fachowa obsługa klienta, ogromna ilość sprzedanych
gier

i error 37 na starcie. Blizzard to nie alfa i omega również może popełnić bledy o czym ty najwyraźniej zapomniałeś

[Pudzilla 0]

Error występował, bo serwery były przeciążone. Normalka. Sam Blizzard potwierdził, że "nie doszło do włamania na żadnym z kont, do których był przyłączony token". Więc kto tutaj jest winny? Na pewno nie Blizzard. Zresztą są ludzie, którzy grają w WOWA 7 lat i jakoś nikt im do dzisiaj nie okradł konta. Są również tacy, którzy utracili je po kilku dniach. Czyżby pech? Niezupełnie. Po prostu głupota i brak ostrożności.

[pkapis 0]

Dnia 22.05.2012 o 14:49, Wojman napisał:

Dlatego na swoim koncie BN należy ustawić opcję, żeby kod był wymagany za każdym razem
kiedy logujesz się do gry i swojego konta. Jeśli jest opcja, żeby numer był podawany
raz na tydzień wtedy faktycznie można przechwycić i numer z tokena. Jeśli zaś numer zmienia
się co chwilę to już nie ma możliwości na przejęcie takiego konta.

Nieważne jakie masz ustawienia, token i tak jest ważny tylko te x sekund, a potem potrzebny jest nowy. Bez opcji sprawdzania za każdym razem po prostu system nie prosi cię o token, jeśli logujesz się z tego samego adresu IP. Ale próba zalogowania z innego skończy się prośbą o nowy token. Nigdy nie jest tak, że wygenerowany kod jest ważny dłużej. Jedyne dodatkowe niebezpieczeństwo bez opcji sprawdzania za każdym razem, to że ktoś się włamie jednocześnie podszywając się pod twoje własne IP, czyli musiałby to być atak wykonywany już bezpośrednio na ciebie. Żaden masowy hacker czegoś takiego nie będzie robił.

[ZubenPL 2]

Dnia 22.05.2012 o 14:50, vegost napisał:

Czytanie ze zrozumieniem się kłania, z resztą po raz enty ci to piszę, ale na to wykładasz.
Twoje posty są tyle warte co ty sam, na forum blizzarda też czytam twoje wypociny i nie
tylko ja widzę, że lubisz pisać bełkoty. Każdy jeden użytkownik ci tam dosrywa. Więc
ogarnij się synu. Napisałem, że w przypadku Androida mogą być naliczane opłaty za włączenie
usługi do sieci. Czyt. transfer danych. Skoro tego nie możesz zrozumieć to najlepiej
nie pisz wcale.

Mi nic nie nalicza :) Transfer użyje ci tylko jak klikniesz przycisk synchronizacji.

[pkapis 0]

Dnia 22.05.2012 o 14:50, vegost napisał:

Czytanie ze zrozumieniem się kłania, z resztą po raz enty ci to piszę, ale na to wykładasz.
Twoje posty są tyle warte co ty sam, na forum blizzarda też czytam twoje wypociny i nie
tylko ja widzę, że lubisz pisać bełkoty. Każdy jeden użytkownik ci tam dosrywa. Więc

Wot, kultura.

Dnia 22.05.2012 o 14:50, vegost napisał:

ogarnij się synu. Napisałem, że w przypadku Androida mogą być naliczane opłaty za włączenie
usługi do sieci. Czyt. transfer danych. Skoro tego nie możesz zrozumieć to najlepiej
nie pisz wcale.

Miałeś napisane zarówno przez L33T jak i Zubena, że token na smartphonach wymaga jednorazowej aktywacji a potem działa bez żadnego łączenia się z siecią. Pierwszy potwierdził to dla iPhone, drugi dla telefonów opartych na Androidach. Zamiast im grzecznie podziękować, wyskakujesz z mordą. Po ściągnięciu i synchronizacji - która owszem, może wymagać transferu danych - nie potrzebowałbyś już tego.

[Henrar 2]

Swoją drogą - skoro token dokonuje synchronizacji tylko raz i potem generuje klucze przez cały czas i jednocześnie serwer Blizzarda "wie", że dany klucz jest poprawny, to te klucze są generowane przy pomocy danego algorytmu a ten jak wiemy można dosyć łatwo złamać.

[Pudzilla 0]

Dnia 22.05.2012 o 15:38, Henrar napisał:

Swoją drogą - skoro token dokonuje synchronizacji tylko raz i potem generuje klucze przez
cały czas i jednocześnie serwer Blizzarda "wie", że dany klucz jest poprawny, to te klucze
są generowane przy pomocy danego algorytmu a ten jak wiemy można dosyć łatwo złamać.

Co i tak nie jest dowodem na to, że ten masowy włam to wina Blizzarda. A co jeśli każdy token generuje inne klucze?

[Henrar 2]

Dnia 22.05.2012 o 15:39, Pudzilla napisał:

Co i tak nie jest dowodem na to, że ten masowy włam to wina zabezpieczeń Blizzarda.

Nie, tylko tak piszę.

Dnia 22.05.2012 o 15:39, Pudzilla napisał:

A co jeśli każdy token generuje inne klucze?

Bo generuje (chyba, nie mam dostępu do kilku tokenów). Kwestia zastosowania numeru authenticatora w algorytmie. A to też da się złamać.

[ZubenPL 2]

Dnia 22.05.2012 o 15:34, pkapis napisał:

Po ściągnięciu i synchronizacji - która owszem, może wymagać transferu
danych - nie potrzebowałbyś już tego.

wymaga

[pkapis 0]

Dnia 22.05.2012 o 15:38, Henrar napisał:

Swoją drogą - skoro token dokonuje synchronizacji tylko raz i potem generuje klucze przez
cały czas i jednocześnie serwer Blizzarda "wie", że dany klucz jest poprawny, to te klucze
są generowane przy pomocy danego algorytmu a ten jak wiemy można dosyć łatwo złamać.

/facepalm

Tak, każdy token generuje inne klucze. Tak, na podstawie pewnego algorytmu. Nie, nie można go łatwo złamać, bo jest to szyfrowanie a) jednostronne oraz b) oparte o długie klucze szyfrujące. Tak, takie tokeny są lepszym zabezpieczeniem niż to co oferuje wiele banków klientom detalicznym.

Dodam jeszcze, bo być może dla niektórych będzie to zaskoczeniem, że wszystko co się dzieje na komputerach oraz urządzeniach cyfrowych takich jak autentykator, jest przetwarzaniem danych według pewnych algorytmów.