[Prob sécurité] #1

Fil fermé
 
Partager Rechercher
je me suis déjà fait deconnecté du jeu avec comme message le fait que quelqu'un d'autre se soit connecté sur mon compte, j'ai très vite changé mon mot de passe, mais j'avoue que ça faisait flipper sur le coup.

par contre l'histoire des deux mots de passe différent je ne savais pas non plus, j'ai changé ça vite fait
Lien direct vers le message - Vieux 05/12/2009, 23h19
La première fois que j'ai vu qu'on pouvait se connecter sur le site avec les mêmes login/mdp que le compte du jeu, j'ai pensé "WTF ? Ils sont fous ?"...

D'ici à ce que ça soit la source du problème... Ça m'étonnerait même pas. J'ai le souvenir à plusieurs reprises de m'être retrouvée sur le compte d'un autre en arrivant sur le site. /fear
Lien direct vers le message - Vieux 05/12/2009, 23h50
Citation :
Publié par Dacas
+1 compte hacké Alors c'est pas pour relancer le débat, ou polémiquer sur le manque eventuel de sécurité de leur site/launcherc'est plutôt pour faire un signe à ceux qui croient que ça n'arrive qu'aux autres, et que "eux puisqu'ils font tout ce qu'il faut; ça ne leur arrivera pas".

Bah, avec un peu de chance tu vas avoir droit toi aussi au taunt avec fermeture, je ne pense pas que tu trouveras beaucoup de soutien sur ce forum tel qu'il est devenu.

Bon courage quand même.
Lien direct vers le message - Vieux 05/12/2009, 23h52
Perso je viens de tout changer aussi

Citation :
Publié par Slann
Cela dit, je veux pas jeter la pierre, ou nourrir une fausse rumeur, mais il y a 4 jours, je vais sur le site off, via le raccourcis de mon navigateur, je tape dans la barre : aiononline et ça me mets le raccourci directement, je valide.

J'arrive sur le site aiononline.com d'hab ça me fout direct en français et là, je suis en allemand, et quelle surprise, je suis log dessus mais sauf que c'était pas mon compte, mais le pseudo d'un joueur allemand.

Je suis pas allé plus loin, mais visiblement leur site doit avoir un soucis avec le stockage de sessions... D'ailleurs j'ai même envoyer un mail à l'assistance pour signaler ça... J'ai jamais eu de réponse.
Ce genre d'annecdote fait froid dans le dos
Lien direct vers le message - Vieux 05/12/2009, 23h54
Citation :
Publié par enro
Pour ma part je me suis fait hacker mon compte sur WOW il y 2 jours

Quelle rapport me direz-vous ??
Et bien le même jour mon compte sur aion était clôturé
Mon erreur a été de garder le même mot de passe pour les 2 jeux. Et pourtant moi aussi je jouait depuis longtemps sans aucun soucis.

Comme quoi les hacker sont partout ...

Ah mais là, c'est pas la faute du hacker, on ne dira jamais assez de ne jamais avoir le même mdp sur des supports différents.
Lien direct vers le message - Vieux 06/12/2009, 00h21
Si le login/mdp de jeu est récupéré par ex via un keylogger et que ce sont les mêmes que ceux du compte NCsoft, le hacker peut alors bloquer l'accès au compte NCsoft donc rendre impossible la modification du mdp in game par le joueur voulant récupérer son compte c'est ça?

Ou si ce sont les logs du compte NCsoft qui sont choppés, le hacker modifie directement le mdp/login du compte jeu pour le récupérer.

Mais au final on revient à un hack de login/mdp, juste plus emmerdant s'ils sont concordants non?

En plus à priori les personnes hackées sont bloquées et attendent un retour du support. Donc c'est qu'elles ne peuvent pas modifier leur mot de passe via leur compte NCsoft, donc elles auraient toutes utilisé le même mdp pour leur compte NCsoft que pour leur compte de jeu?

J'ai du mal à comprendre
Lien direct vers le message - Vieux 06/12/2009, 00h25
Admettons que le site bug et des personne se retrouvent co avev le compte d'un autre.

Cette personne peut changer le dmp de compte ET du jeu ! donc ca sert a rien d'avoir des mdp diférent
Lien direct vers le message - Vieux 06/12/2009, 00h36
J'ai un pote qui c'est fait hack aussi cette semaine, son perso principal est à poils ( Cleric ) mais par contre son glad est co toute la journée et il a déjà pris 7lvl
Lien direct vers le message - Vieux 06/12/2009, 00h36
Du coup je me demande : est-ce que les personnes "hackées" avec modification du compte NCsoft, donc sans possibilité de modifier leurs identifiants en jeu, cliquaient bien sur "Déconnexion" après s'être loggées sur leur compte NCsoft au lieu de fermer tout bêtement la fenêtre?

Qui sait si ya pas un bug quelque part, bizarre quand même de se retrouver loggé sur le compte d'un autre et effrayant.
Lien direct vers le message - Vieux 06/12/2009, 00h41
moi j'ai du mal à comprendre comment vous arrivez à chopez la session d'un autre quand celle-ci est gérer par cookies.

Alors j'ai jetter un oeil et aimais déjà pas trop le nom du cookies commençant par un J

Et là



Code:
<script type="text/javascript">
					var myOnAvailable = true;
					<!--MainContents_6_2100-->
myOnAvailable = true;
<!--MainContents_6_2100-->
					function loadingPersonalArea() {
						if(getCookie('GPSESSIONID') && !myOnAvailable) {
							jQuery.ajax({
							  type: "GET",
							  url: "/common/inc/myOnDisabled",
							  success: function(msg){
							    document.getElementById('myOn').innerHTML = msg;
							  }
							});
						}
						else if(getCookie('GPSESSIONID')) {
							jQuery.ajax({
							  type: "GET",
							  url: "/common/inc/myOn",
							  success: function(msg){
							    document.getElementById('myOn').innerHTML = msg;
								jQuery.ajax({
								  type: "GET",
								  url: "/common/inc/myOnScript",
								  dataType:"script"
								});
							  }
							});
						}
					}
					jQuery(document).ready(loadingPersonalArea);
					</script>
Dite moi que c'est pas le cookies de session principal qui est géré en JS quand même ?
Accessoirement, il y à trop de JS "de brutasse" le document.write pour balancer deux trois screen/menu ça fait assez rustre
Lien direct vers le message - Vieux 06/12/2009, 00h42
Citation :
Publié par Blackcat!
J'ai un pote qui c'est fait hack aussi cette semaine, son perso principal est à poils ( Cleric ) mais par contre son glad est co toute la journée et il a déjà pris 7lvl
7 levels déjà? Mince alors. Toujours les mêmes qui ont de la chance.
Bon et bien il ne reste plus qu'à retourner pexer apres avoir changé le mot de passe du site pour remettre le meme qu'en jeu alors. Sait on jamais, avec un peu de bol...
Question: faut que je donne mon mot de passe sur un blog ou pas pour qu'ils y arrivent, ils n'ont pas l'air décidé ?
Lien direct vers le message - Vieux 06/12/2009, 00h47
Citation :
Publié par Cleophis/Miss Linoa
Ah mais là, c'est pas la faute du hacker, on ne dira jamais assez de ne jamais avoir le même mdp sur des supports différents.
Ah ok si c'est pas la faute du hacker on est sauvé !
Lien direct vers le message - Vieux 06/12/2009, 01h20
Récemment de nombreuses fois j'ai été redirigé sur le site officiel allemand également (notamment en quittant le jeu). Je n'ai pas pensé ceci dit à regarder si c'était sous le nom de quelqu'un...

C'est chaud leur truc ...

Citation :
Publié par Gectou4
moi j'ai du mal à comprendre comment vous arrivez à chopez la session d'un autre quand celle-ci est gérer par cookies.

Alors j'ai jetter un oeil et aimais déjà pas trop le nom du cookies commençant par un J

Et là


...

Dite moi que c'est pas le cookies de session principal qui est géré en JS quand même ?
Accessoirement, il y à trop de JS "de brutasse" le document.write pour balancer deux trois screen/menu ça fait assez rustre
Désolé mais je m'y connais peu, tu peux expliquer pour le néophyte en informatique ce que tu as trouvé ou ce que tu soupçonnes ?
Lien direct vers le message - Vieux 06/12/2009, 01h20
En gros le cookies gérant la session du site principal voyage en JS, et semble aisément exploitable par une faille dite de "Cross-Site Request Forgeries"

Cependant, et même si ça reste possible, le cookie n'emploie pas de données "visible" tel qu'un mot de passe et login.

Plus étrange encore il n'y à aucun moyen de récupéré le mots de passe par après car tout est géré sur le site plaync et non plus sur le site aion online.

or le site plaync ne laisse pas la place à une faille CSRF dans le cadre qui nous intéresse ici.

De plus je ne vois pas ce qui pourrait faire qu'on vous pique vos passe en les saisissant dans le cadre de login, qui semble donc être la seule possibilité pour récupéré les données ( à leurs saisie ) puisqu'aucune page où vous les saisissez ne semble proposer de faille par emplois de données externe.

Donc ok pour le probable échange de session, mais il n'implique en rien le vol de mots de passe ni ne le permet.
Lien direct vers le message - Vieux 06/12/2009, 01h37
Dans le doute, j'ai tous modifié
Lien direct vers le message - Vieux 06/12/2009, 02h18
Citation :
Publié par Voldar/Tarneis
C'est bien finalement, on se croirait avec Bachelot et ces vaccins de la grippe A.
Parano quand tu nous tiens...
Nan mais de base j'avais le même mdp pour mon compte ncsoft et mon compte jeux donc j'ai profité de l'occasion pour faire un truc intelligent, mettre un mdp différent pour les deux ^^

Ha et ce que tu appel parano, moi j'appel ca de la prudence étant donné la recrudescence des comptes hack en ce moment.
Lien direct vers le message - Vieux 06/12/2009, 02h51
Citation :
Publié par Gectou4
En gros le cookies gérant la session du site principal voyage en JS, et semble aisément exploitable par une faille dite de "Cross-Site Request Forgeries"

Cependant, et même si ça reste possible, le cookie n'emploie pas de données "visible" tel qu'un mot de passe et login.

Plus étrange encore il n'y à aucun moyen de récupéré le mots de passe par après car tout est géré sur le site plaync et non plus sur le site aion online.

or le site plaync ne laisse pas la place à une faille CSRF dans le cadre qui nous intéresse ici.

De plus je ne vois pas ce qui pourrait faire qu'on vous pique vos passe en les saisissant dans le cadre de login, qui semble donc être la seule possibilité pour récupéré les données ( à leurs saisie ) puisqu'aucune page où vous les saisissez ne semble proposer de faille par emplois de données externe.

Donc ok pour le probable échange de session, mais il n'implique en rien le vol de mots de passe ni ne le permet.
Il ne faut pas se leurrer il y a belle et bien une faille dans le système et C'est une réponse des soc. de GF . Et la vague de hacker n'est pas finie .

J'ai pleurer pour un ami il y a 5 jours pour un Ami et j'ai bousculer nos deux représentants , j'ai prévenu que l'amalgame et rumeur au délit de connivence pourrais leurs tombé dessus. Certains qui s'exprime ici même parlait de:
si tu t'es faits hacker dans 99,999999% des cas c'est de ta faute , avec un smiles sourire.

J'en ai remis une couche et j'ai demandé que les pseudo qui s'idenfie comme appartenant à NCsoft se bouge les .... car pour moi ils ne servent à rien à part faire les beaux. Je suis d'accord j'étais un peu énervé. je m'en excuses à moitié.

J'ai donc demander à trois de nos informaticiens d'y regarder. Je peux seulement vous dire: ils ne viennent pas d'une société privée.

Premièrement en piratage cibler ils n'y sont pas parvenu. Je leur ai donner mon Login et 26h après ils sont rentré sur mon compte Aion mais ne sont tjrs pas parvenu sur le compte Ncsoft.

Leurs remèdes

-Bien sur qu'il faut un mdp différents pour le compte aion et Ncsoft
-Sur le compte Ncsoft utiliser le plus possible de signes nombre max 13
-Prendre en compte les Maj , minuscules et chiffres
-ne pas former de mots à signification " En langue française comme étrangère"
-ne pas noter le mot de passe sur un disque dur, préféré le bon vieux papier volant.
-Les cybercafés pour jouer ou même aller sur forum officiel sont proscrit.
C'est donc l'ordonnance qu'ils m'ont donnée après consultation mais c'est pas pour cela qu'on peut échapper à ses actes frauduleux. Mais au moins tu peux dormir tranquille

Pour en arrivé a notre cas le hacker a joué en bot pendant 5 jours le perso Hl.
Si cela vous arrive . je pense que le mieux c'est que la légion entière le signal comme bot . Signaler aux service client " puisque pas ou peu de MJ en jeu", de bloquer le compte et décrire le cas.( compte de guildies hacker , verifier les log d'échange entre perso.) Nous pensons que le compte de notre ami est maintenant bloqué et de + les perso que nous avions remarqué et supposé faire des transactions avec, ne sont plus en jeux ( nous avions des screens des probables échanges mais ils n'ont pas servi). Si c'est le cas , je le dis moi mm ils se bougent un peu a NCsof pour les européèns.

J'avais fait pire, je l'ai suivi pendant quelques heures en criant " le personnage derrière (nom du perso ) n'est pas le propriétaire du compte même s'il fait partie de notre légion,pour nous vous pouvez le report.

Le seul prob c'est que notre ami vas mettre un temps fou a récup son compte mais on s'arrangera avec lui.

N'oubliez pas mon Utopie l'entre aide , HV ,Formez des Alliances et avant de vendre proposer des échanges équivalents sans kinha. On as le temps pour nos Kiki tout dur.


Dsl pour la tartine et je sais; je suis con et je n'ai certainement la solution divine mais les con m'aiment car suis con , les vieux m'aiment car suis vieux mais les vieux con de gold farmer / hacker m'aimeront pas car c'est des vieux con!
Lien direct vers le message - Vieux 06/12/2009, 03h14
moi aussi je viens de me faire hacké (samedi 05/12/09 a 9h07) mon compte, ma seul erreur peut est aussi d'avoir eu le même mdp pour le compte ncsoft et pr aion.
j'ai eu les mêmes réactions quand j'ai annoncer ça à mes amis, "oui tu a acheté aux ..., tu a donner ton code ..." et bien rien de ça et comme tu le dis au début du post ceux qui nous disent pas assez prudent méfiez vous ca peut vous arriver a vous qui êtes aussi prudent que je croyais l'être ( g scanner mon ordi ds tous les sens avec différents programmes et rien nikel )

je ne jette la pierre a personne, je demande juste de la compréhension, quand ca vous arrivera vous verrez bien
personnellement je ne crois pas que je vais retrouver le courage d'investir du temps dans un personnage sachant qu'a tout moment on peut tout perdre et au pire passer pour un menteur ou un imprudent.
je crois que ce jeu est réserve au pro de 'linfo et du hack et goldseller ou bots
Lien direct vers le message - Vieux 06/12/2009, 03h18
Citation :
Publié par xaza
moi aussi je viens de me faire hacké (samedi 05/12/09 a 9h07) mon compte, ma seul erreur peut est aussi d'avoir eu le même mdp pour le compte ncsoft et pr aion.
j'ai eu les mêmes réactions quand j'ai annoncer ça à mes amis, "oui tu a acheté aux ..., tu a donner ton code ..." et bien rien de ça et comme tu le dis au début du post ceux qui nous disent pas assez prudent méfiez vous ca peut vous arriver a vous qui êtes aussi prudent que je croyais l'être ( g scanner mon ordi ds tous les sens avec différents programmes et rien nikel )

je ne jette la pierre a personne, je demande juste de la compréhension, quand ca vous arrivera vous verrez bien
personnellement je ne crois pas que je vais retrouver le courage d'investir du temps dans un personnage sachant qu'a tout moment on peut tout perdre et au pire passer pour un menteur ou un imprudent.
je crois que ce jeu est réserve au pro de 'linfo et du hack et goldseller ou bots
Change ton passe de boite mail en + si c'est le meme ... surtout ne nous dis pas ici si c'est le meme

Puis écrit aux services clients pour récup ton compte. Courage

Citation :
Publié par Dekim
En gros pour résumé il y a une grosse faille sur le site web d'aion et les GS l'utilise pour piqué des compte ?...
Je n débâterais plus sur de tels évidences sinon je vais me faire encore passer pour un diffamateur calomnieux
Lien direct vers le message - Vieux 06/12/2009, 03h26
Fil fermé

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés
Thème visuel : Fuseau horaire GMT +2. Il est actuellement 02h37.
^^ Haut de page ^^