[Hack?] Inventaire, or, coffre supprimés

Fil fermé
 
Partager Rechercher
Citation :
Publié par Geglash
Dit comme ça ça fait un peu chasse aux sorcières .
D'un certain point de vue, ça peut le paraître ^^.
Je préfère dire que les victimes ont eu le courage d'avouer s'être fait hacker. Ce qui n'est pas forcément facile lorsqu'on se trouve sur un forum public prompt à la critique ^^.
Dernière modification par Demonrule ; 24/05/2012 à 10h13.
Lien direct vers le message - Vieux 24/05/2012, 09h46
Une telle vague de hack en si peu de temps ce n'est sûrement pas un keylogger ou autre malware , blizzard nous prend pour des jambons . Je présume que c 'est un exploit , au départ je songeais à une faille dans les partie publiques , or il s' avère que certaines victimes n'ont jamais fait de partie publiques , il faut donc chercher le dénominateur commun ,

Soit les serveurs de Bnet sont des passoires genre le gigantesque hack des lulzsec sur Sony ,

Soit toutes les victimes utilisent sur leur machines un logiciel répandu avec backdoor ou un plugins vérolé ,mais je présume que tout le monde n'a pas le même OS , tiens une question y a-t-il eu des hacks sur des comptes tournant sur Mac OS ?
Lien direct vers le message - Vieux 24/05/2012, 09h51
Citation :
Publié par Varghas
J'ai essayé d'en trouver et apparemment il n'y a que des joueurs sous windows de concernés
Non, on a un cas de joueur mac hacké sur judgehype
Lien direct vers le message - Vieux 24/05/2012, 10h01
Citation :
Publié par Tête de Cornet
T'es capable d'argumenter un peu ou pas ?
J'avais trouvé un site intéressant qui en parlait justement. Avec l'évolution des ordi & co. Faudrait que je retrouve ça. Après je ne commenterais pas le message cité, qui est assez ridicule .

En s'y intéressant un peu on doit trouver pas mal de choses, dans l'immédiat ça date tellement que je ne trouve plus exactement ce à quoi je pensais.

Edit : Tiens quelque chose d'assez drôle d'ailleurs : http://eu.battle.net/support/fr/arti...ord-guidelines .
Dernière modification par Harest ; 24/05/2012 à 10h21.
Lien direct vers le message - Vieux 24/05/2012, 10h07
Citation :
Publié par Nysza
Non, on a un cas de joueur mac hacké sur judgehype
Ok donc , soit c 'est un zero day Mac os/ Win au hasard sur un plugin flash ou autre chose en commun sur les deux OS .

Soit un trou béant côté serveurs , je me dis qu'il y a péril en la demeure surtout avec l'introduction de données bancaires et d'argent réel , êtes vous prêt à prendre ce risque?
Lien direct vers le message - Vieux 24/05/2012, 10h15
Citation :
Publié par Harest
J'avais trouvé un site intéressant qui en parlait justement. Avec l'évolution des ordi & co. Faudrait que je retrouve ça. Après je ne commenterais pas le message cité, qui est assez ridicule .

En s'y intéressant un peu on doit trouver pas mal de choses, dans l'immédiat ça date tellement que je ne trouve plus exactement ce à quoi je pensais.
Mais tu veux prouver quoi ? Le message cité à rien de ridicule, et le fait de l'affirmer sans rien argumenter ça fait qu'au final c'est toi qui est ridicule.
Et pour le coup, la puissance pc pour bruteforce une authentification sur une connexion on s'en balance complet vu qu'on est limité par le temps de latence entre deux essais. Le bruteforce ça sert à déchiffre des trucs truc chiffrés qu'on a réussi à récupérer, pas à faire des tentatives de connexion au rythme de 10 tentatives par minute
Lien direct vers le message - Vieux 24/05/2012, 10h21
Citation :
Publié par Tête de Cornet
Mais tu veux prouver quoi ? Le message cité à rien de ridicule, et le fait de l'affirmer sans rien argumenter ça fait qu'au final c'est toi qui est ridicule.
Et pour le coup, la puissance pc pour bruteforce une authentification sur une connexion on s'en balance complet vu qu'on est limité par le temps de latence entre deux essais. Le bruteforce ça sert à déchiffre des trucs truc chiffrés qu'on a réussi à récupérer, pas à faire des tentatives de connexion au rythme de 10 tentatives par minute
Toutafay, tu peux pas bruteforce un serveur de login. Par contre ouai si t'as la db des pw cryptés là tu peux tenter ta chance vu que t'élimine le ping de l'équation. ça restera quand même assez long. ça peut marcher, par contre. Mais ça veut dire qu'il y aurait eu une fuite. Même une db de pass cryptés, blizzard serait obligé de le signaler. Et puis si la fuite se faisait au niveau des comptes BN, elle serait exploitée sur wow aussi, or la recrudescence de hacks semble se faire sur D3 uniquement.
Si quelqu'un qui s'est fait hacker avait aussi un compte wow, se l'est-il fait vider aussi ? ça serait intéressant de savoir tiens
Lien direct vers le message - Vieux 24/05/2012, 10h27
Citation :
Publié par Nysza
Toutafay, tu peux pas bruteforce un serveur de login. Par contre ouai si t'as la db des pw cryptés là tu peux tenter ta chance vu que t'élimine le ping de l'équation. ça restera quand même assez long. ça peut marcher, par contre.
C'est pas si long que ca quand meme, y'a 10 ans j'avais reussi a chopper 20 passwords en quelques heures, alors j'imagine aujourd'hui, avec une compute farm, tu dois trouver les passwords plus vite que tu n'as le temps de vider les comptes...
Lien direct vers le message - Vieux 24/05/2012, 10h30
Citation :
Publié par Njuk
C'est pas si long que ca quand meme, y'a 10 ans j'avais reussi a chopper 20 passwords en quelques heures, alors j'imagine aujourd'hui, avec une compute farm, tu dois trouver les passwords plus vite que tu n'as le temps de vider les comptes...
Si t'as la db cryptée, ouai ça se fait. Après faut l'avoir
Et si les mecs changent leurs password, faut la réobtenir. J'doute que bli laisse une faille permettant de chopper toute leur db longtemps, quand même. Qu'ils soient mauvais et essayent de se couvrir pourquoi pas, mais les hack ne les arrangent pas vraiment ...
Par sécurité, changez votre pw, si les mecs ont la db cryptée, mais plus les moyens de la chopper, ça tombera pas sur vous

@tête : ça change rien, ce que tu fais c'est pas déchiffrer (impossible), c'est chiffrer des pw au pif et comparer voir si y en a un qui correspond. Enfin à priori moi j'avais compris ça. Tu peux pas bruteforce la plupart des algos de chiffrement récents dans le sens de les remonter. Par contre trouver l'algo utilisé et comparer la db à des trucs que tu chiffre toi même c'est izi.
Lien direct vers le message - Vieux 24/05/2012, 10h40
Citation :
Publié par Nysza
Toutafay, tu peux pas bruteforce un serveur de login. Par contre ouai si t'as la db des pw cryptés là tu peux tenter ta chance vu que t'élimine le ping de l'équation
Le ping n'entre pas en compte dans l'équation de toute façon.
Et bien sûr que si tu peux bruteforce un serveur de login, à condition de ne faire aucune surveillance sur ce genre d'attaque (taux d'essais infructueux...).
Lien direct vers le message - Vieux 24/05/2012, 10h41
Citation :
Publié par Eyce Karmina
Le ping n'entre pas en compte dans l'équation de toute façon.
Et bien sûr que si tu peux bruteforce un serveur de login, à condition de ne faire aucune surveillance sur ce genre d'attaque (taux d'essais infructueux...).
Wat ? Je doute que binette te laisse tenter une 2e auth alors qu'il n'a pas traité ta première demande. Donc même si tu démonte le client pour ne pas avoir à attendre la réponse sur ta première tentative pour envoyer la 2e, j'doute qu'il te la traite. On voit pas de limitation en externe vu qu'on a un gros délai avant d'envoyer la 2e requête (faut attendre un retour de binette te disant que tu t'es planté, avec le client actuel), j'pense quand même qu'il doit avoir quelques sécurités de base côté serveur.
Lien direct vers le message - Vieux 24/05/2012, 10h46
Y'a 10 ans je piquais des comptes aussi et j'avais pas besoin de bruteforce ni de keylogger.
Utiliser la naïveté des gens ça marche dans la majorité des cas.
Lien direct vers le message - Vieux 24/05/2012, 10h47
Citation :
Publié par Raizin
Y'a 10 ans je piquais des comptes aussi et j'avais pas besoin de bruteforce ni de keylogger.
Utiliser la naïveté des gens ça marche dans la majorité des cas.
Pour faire du ciblé ouai, mais là vu les hack sur des level 20 c'est pas l'idée, ils tapent dans la quantité
Lien direct vers le message - Vieux 24/05/2012, 10h52
Citation :
Publié par Nysza
Wat ? Je doute que binette te laisse tenter une 2e auth alors qu'il n'a pas traité ta première demande. Donc même si tu démonte le client pour ne pas avoir à attendre la réponse sur ta première tentative pour envoyer la 2e, j'doute qu'il te la traite. On voit pas de limitation en externe vu qu'on a un gros délai avant d'envoyer la 2e requête (faut attendre un retour de binette te disant que tu t'es planté, avec le client actuel), j'pense quand même qu'il doit avoir quelques sécurités de base côté serveur.
D'un autre côté comme tu lances en parallèle des demandes sur plusieurs compte à la fois ça revient au même, que tu fasses 1000/s sur 1 compte ou 1/s sur 1000 comptes ....

De plus, rien n'oblige à passer par le client pour cracker le pass, tu peux passer aussi par le site.
Lien direct vers le message - Vieux 24/05/2012, 10h55
Citation :
Publié par Nysza
Wat ? Je doute que binette te laisse tenter une 2e auth alors qu'il n'a pas traité ta première demande. Donc même si tu démonte le client pour ne pas avoir à attendre la réponse sur ta première tentative pour envoyer la 2e, j'doute qu'il te la traite. On voit pas de limitation en externe vu qu'on a un gros délai avant d'envoyer la 2e requête (faut attendre un retour de binette te disant que tu t'es planté, avec le client actuel), j'pense quand même qu'il doit avoir quelques sécurités de base côté serveur.
Ah ouais si tu veux bruteforce en utilisant le client D3 t'es mal barré.
Un pti script perl et tu fais quelques centaines d'essais par seconde sur le portail web.

Mais oui il y a évidemment des sécurités côté serveur. Le bruteforce n'est que rarement une méthode viable car c'est facile à détecter/bloquer. Mais pas pour des histoires de temps de réponse.
Citation :
Publié par Njuk
perso j'y crois pas trop, faudrait que les hackers aient recup toutes les adresses emails...
Pourquoi toutes ?
Suffit d'une liste d'adresses mails valides (ça coute pas cher), et tu lances ton batch en espérant ne pas te faire remarquer (c'est là que la théorie du bruteforce se casse la gueule).
Lien direct vers le message - Vieux 24/05/2012, 10h57
Citation :
Publié par Nysza
Pour faire du ciblé ouai, mais là vu les hack sur des level 20 c'est pas l'idée, ils tapent dans la quantité
Avec un site de phishing tu peux pigeonner un max de monde. Surtout à la sortie du jeu où les mecs veulent absolument jouer et font pas trop gaffe.
Lien direct vers le message - Vieux 24/05/2012, 10h58
Citation :
Publié par Pinpux
D'un autre côté comme tu lances en parallèle des demandes sur plusieurs compte à la fois ça revient au même, que tu fasses 1000/s sur 1 compte ou 1/s sur 1000 comptes ....
Tu divise mes chiffres par 1000, ça fait 5 ans. Même par un million (me dit pas que t'aura plus que ça de machines infectées pour spammer, un million c'est déjà pas mal), ça te fait un compte/jour. T'es heureux avec ça, clairement. mais t'as pas la vague de hack qu'on observe. Après c'est vrai que bli pourrait permettre d'être case sensitive, ça leur couterait rien. Et d'avoir un login, pas grand chose de plus. Voire augmenter la limite de taille des password, c'est con de les limiter.

Le bruteforce est pas la méthode la plus commune ni la plus facile à priori (faut un putin de réseau de machines infectées, ainsi que démonter le client pour avoir l’encryption pour parler au serveur). Mais ça couterait rien d'avoir quelques trucs qui rassurent

Ah et un autre truc : si tu bruteforce, à un moment tu te log. Si tu te log d'un autre pc, t'as pas droit aux alertes sms ?

Ah sinon, sur mes calculs, j'avais balancé des mdp de 8 caractères. Heureusement, binette permet un peu plus que ça

edit : ouai le pishing c'est cool. L'avantage c'est que c'est bien la faute de l'utilisateur là <3
Mais bon, j'doute que tous les joueurs hackés sur lol aient cliqué sur des liens à la con avec un pc vérolé/aient rentré leurs id ailleurs que sur binette.

re edit : ouai le truc ouebe doit être un peu plus en carton, mais je partais du principe que les hacks avaient eu lieu sur D3 vu que j'ai pas l'impression qu'il y ait une vague de hacks sur wow. Et je vois aucune raison de se priver de vider les acc wow si on a accès au compte binette.
Lien direct vers le message - Vieux 24/05/2012, 11h06
J'aimerais reparler du phénomène d'impressions. Oui, d'impressions.

Car certains parlent d'un hack de masse. En fait, je rappelle que vous lisez juste des sujets de forums dédiés aux comptes hackés, c'est évident que vous allez y trouver des témoignages (et mathématiquement, plus le jeu se vend, plus il y a de témoignages) mais attention aux impressions qui provoquent un jugement de généralisation !!!
Comparé au nombre de comptes WOW hackés quotidiennement, le nombre de comptes D3 doit être une goutte d'eau.

C'est un phénomène similaire qui a surgit lors de la grippe A H1N1. Des médecins avaient beau rappeler que la grippe normale tuait bien plus que cette nouvelle mutation, on imaginait déjà l'extinction (ou presque) de l'espèce humaine...
Lien direct vers le message - Vieux 24/05/2012, 11h08
Fil fermé

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés
Thème visuel : Fuseau horaire GMT +2. Il est actuellement 02h14.
^^ Haut de page ^^