[Ofunk]

Vague de ban suivi d'une nouvelle vague de hack... il est en tout cas certain que Anet a encore des efforts à faire pour protéger le compte de ses clients.

Ne pas utiliser le système de vérification d'ip lors de la connexion sur leur site c'est comme si il n'y avait aucune sécurité, ça ne donne pas confiance envers leur engagement à gérer le problème il faut bien l'admettre.

Quand je repense à ce trojan récupéré en plein jeu la semaine dernière, je pense que je vais abaisser le niveau de confiance de mon antivirus vis à vis de leur application, augmenter le niveau de protection global, et faire une analyse complète journalière.

[Azgaroth]

Citation :

Publié par Lcant

Et ca parle d'une possible faille dans leur système de changement de l'email lié au compte. Et en plus si on vous change l'email de votre compte gw2, l'authentification par mobile se désactive..

De mon côté l'authentificateur par mobile est désactivée depuis presque un mois juste après une de leur MAJ.

Pas vous? Savez-vous comment le réactiver?

[NeryK]

Citation :

Publié par Azgaroth

De mon côté l'authentificateur par mobile est désactivée depuis presque un mois juste après une de leur MAJ.

Pas vous? Savez-vous comment le réactiver?

En fait il n'est pas désactivé. Ils ont déployé la fonction de mémorisation d'un emplacement de confiance un peu plus trop que prévu. Actuellement le code n'est demandé que pour valider un nouvel emplacement de connexion, avec le choix de s'en souvenir ou non.

source

[Haraz]

Citation :

Publié par Lcant

Y a un post sur le forum officiel anglais et le hack de mon compte a eu lieu à peu près au même moment que ces personnes :
ici..

HeLLo
Impressionnant en effet On y parle d'un bad "french guy".
J'ai comme l'impression qu'il y a un hack qui s'est propagé maintenant et qui sniffe les liaisons entre les serveurs d'anet et les clients.
J'espère avoir tort bien sûr.
Bon Jeu à tous
@@++

[Azgaroth]

Citation :

Publié par NeryK

En fait il n'est pas désactivé. Ils ont déployé la fonction de mémorisation d'un emplacement de confiance un peu plus trop que prévu. Actuellement le code n'est demandé que pour valider un nouvel emplacement de connexion, avec le choix de s'en souvenir ou non.

source

Ah cool merci. Donc on a toujours 2 sécurités.
Donc théoriquement un type qui veut hack un compte et qui se trouve à un autre emplacement on lui demandera le code mobile. Sur le papier ça semble safe car même si malheureusement il change notre email et passe il ne pourra pas se co sans le code mobile.

Le compte sera bloqué en attendant les infos qu'on demandera au support client.

[NeryK]

Bah normalement le type ne peut même pas changer le password vu que le code est demandé pour le jeu ET le site guildwars2.com. De plus le formulaire de récupération du password demande d'avoir la clé série du jeu, donc ce vecteur d'attaque est mitigé aussi.

Edit : au sujet de la vague de hacks dont parle Lcant, il me semble à la lecture du forum que même ceux qui avaient activé le mobile authenticator se sont vu changer leur password. En revanche il y a plusieurs témoignages de gens dans ce cas, mais qui ont récupéré leur compte intact, comme si le hacker n'avait pas pu se connecter pour de bon (exemple).

[Punpun]

Si le hacker peut changer l'adresse mail ne peut il alors pas se connecter avec cette nouvelle adresse sur le gestionnaire de compte et délier le google auth au compte gw2 ? Je pose la question car je n'ai pas tout saisi au sujet de cette application que je viens d'installer.

[ergus]

Je prend exemple sur la vague de hack de compte du mois de septembre.

http://www.pcinpact.com/news/73676-g...ans-nature.htm

Si cette nouvelle vague de hack est de même que la première, il faut vraiment que A.net fasse quelque chose. Si c'est une entreprise qui gère les comptes mobile authenticator qui se fait vidé, ça en devient le problème de A.net. Il faudrait relevé les témoignages des gens hackés, si en effet ils utilisaient ce genre de système sur cette nouvelle série de hack.

[Jet]

comment fait-on pour changer d'email sur la page du compte ? moi je n'ai aucune possibilité de modifier quoi que ce soit à part le mot de passe.

[Lcant]

Je pensais qu'on pouvait le changer directement mais en fait il faut envoyer un ticket à l'assistance pour le faire. Là ils te demandent ta clé CD, et les 4 derniers chiffres de la carte bleu ou le numéro de commande paypal lors de l'achat du jeu si tu l'a acheté en ligne.

C'est encore plus surprenant donc de se faire hack, comment le gars a pu modifier le mail associé au compte? A moins d'entrer dans le mail de la victime et trouver les informations demandées. Or j'ai consulté les ip qui ont accédé à mon mail et y a personne d'autre que moi ces 2 derniers mois.

A mon avis il y a un soucis, une faille dans le système d'A.net pour modifier l'email lié au compte.

Et en plus, une fois l'email lié au compte changé par l'assistance, on a un nouveau mot de passe dans le dossier d'assistance donc pas besoin de trouver le mot de passe de l'utilisateur et l'authentification mobile devient désactivée, il faut la réactiver...

[Jet]

du coup on peut aussi imaginer (en plus d'une faille chez eux) de l'ingénierie sociale, des comptes apple se sont fait pirater comme ça, enfin bon là ça demande beaucoup d'investissement quand même.

[yuna et moi]

Citation :

Publié par Gwelicia

Commandeur sur Vizunah, plus 90% de la légendaire twilight ainsi que 200po, ça fait mal.

Le serveur m'a soutenu et motivé pour remonter, sans ça je serai reparti sur LoL.

je trouve que ce geste de la communauté à ton égard est une belle marque d'estime et vaut toutes les légendaires de la Tyrie!

[Gwelicia]

J'ai raconté mon histoire à quelques personnes non-joueurs de mon entourage, et c'est vrai que c'est impressionnant ce soutien qu'on peut avoir de cette communauté contrairement à ce qu'on peut voir de temps en temps irl.
Ca réchauffe le coeur et c'est ça qui m'a permis de reprendre le jeu en même temps


Cependant pour revenir au sujet,

Citation :

ils te demandent ta clé CD, et les 4 derniers chiffres de la carte bleu ou le numéro de commande paypal lors de l'achat du jeu si tu l'a acheté en ligne.

J'ai pas l'impression d'avoir besoin de tout ça pour changer mon email. Il suffit de se connecter sur Guildwars2.com avec donc le login/mot de pass trouvé par n'importe quel moyen, d'aller dans Mon Dossier puis modifier les paramètres du compte.
J'ai pas essayé plus loin, mais je doute qu'ils demandent autant d'info.
(par contre, quand tu veux récuperer de force ton email car ce dernier a été piraté, là oui, ils te demandent ces infos)

[Lcant]

Si pour modifier ton email de compte tu passes forcément par le support, toi ce que tu peux modifier Dans Dossier/ Paramètre de compte c'est ton compte de l'assistance (https://fr.support.guildwars2.com/app/account/profile)
Pour le compte Guild Wars 2 (http://account.guildwars2.com/) tu peux seulement changer ton mot de passe.

Edit : en fait ils ont retiré récemment le fait de pouvoir changer l'email via le site à cause des multiples hacks surement liés à ça.

[Punpun]

Citation :

Publié par Punpun

Si le hacker peut changer l'adresse mail ne peut il alors pas se connecter avec cette nouvelle adresse sur le gestionnaire de compte et délier le google auth au compte gw2 ? Je pose la question car je n'ai pas tout saisi au sujet de cette application que je viens d'installer.

Je me réponds à moi même

Le google authenticator ne fonctionne pas comme celui de battle net.
Le code généré par l'application se fait dans l'interface utilisateur du site officiel dès que l'on doit se logger et pas dans le jeu. Du coup il est impossible à mon humble avis au hackeur d'avoir accés aux paramètres utilisateurs et de modifier quoi que ce soit sur le site.
Une sécurité supplémentaire est d'ajouter une autre adresse email à son compte.
Par exemple, l'adresse mail dont je me sert pour le site n'est pas la même que celle qui me sert à autoriser les connexions ip.

[ergus]

Donc on pourrai supposer que ça viennent de leur coté et de leur partenariat google authenticator/mobile authenticator... ??? rien de bon en perspective. D'autant plus qu'il ne feront rien pour dédommager même si cela est prouvé... .

Et je confirme pour le mot de passe, encore hier on pouvait changer l'email, je le sais car j'ai voulu vérifié si on pouvait voir les dernières connexions.

[Punpun]

Bah pas forcément. Puisqu'apparemment ceux qui se sont fait hacker et qui utilisaient le google authenticator n'ont pas vu de modification de leurs persos ingame. Juste l'email et le pass changés. On peut supposer qu'avec l'auth le hackeur ne peut pas avoir accès au jeu.

[Njuk]

une image sympa ( DGV²²² ) sur les passwords :

[Lcant]

Des nouvelles sur l'avancement de la restauration des personnages, sur le forum officiel anglais :

Incidentally, account restorations are very, very close.
Gaile Gray
Support Liaison
ArenaNet
source
Donc sous peu, on devrait pouvoir récupérer tout ce qu'on a perdu.

[Gwelicia]

En même temps de mon côté j'ai reçu ça comme réponse :

Citation :

Thread de discussion
Réponse Via e-mail (Elliot) 24/11/2012 22:54
Bonjour Maxime,

Merci pour votre réponse.

Lorsque cette fonctionnalité nous sera disponible, nous serons uniquement en mesure de restaurer les comptes des joueurs ayant été piraté après la sortie de cet outil. Pour le moment, nous n'avons pas de logs de jeu nous permettant de savoir quels objets ont été volés ou perdus. Nous espérons avoir répondu à vos questions. Si vous avez d'autres questions, n'hésitez pas à nous recontacter.

Cordialement,

Elliott
Service Clientèle NCSOFT
Client Par messagerie (Maxime Touz) 22/11/2012 00:47
Bonjour,

merci de vos réponses même si aucune ne répond à mes attentes.
Heureusement que le serveur Vizunah a un peu plus d'humanité que votre service clientel et que les joueurs sont tous prêt à se cotiser pour me permettre de remonter cette grosse pente.

J'aurais juste une dernière question : Quand vous aurez mis en place vos outils de restauration, me sera-t-il possible de pouvoir récupérer mes objets ou cela ne sera pas rétro-actif? et même si ce n'est pas une restauration,
vous seras-t-il possible de les recréer à la main?

Cordialement,
Maxime

Donc bref, j'ai quelques "preuves" de mon hack (dans le sens que j'ai plus qu'un seul perso recréer, ma pierre de sang (200 pts de comp) dans le coffre, 100% explo sur le compte (mais plus de don d'explo), et qq vidéo avec le perso et crépuscule sur le dos. Mais rien est sûr que je récupère les items ni ceux qui ont subi d'autres hack...

[Anngelle Silverstar]

Citation :

Publié par Gwelicia

En même temps de mon côté j'ai reçu ça comme réponse :



Donc bref, j'ai quelques "preuves" de mon hack (dans le sens que j'ai plus qu'un seul perso recréer, ma pierre de sang (200 pts de comp) dans le coffre, 100% explo sur le compte (mais plus de don d'explo), et qq vidéo avec le perso et crépuscule sur le dos. Mais rien est sûr que je récupère les items ni ceux qui ont subi d'autres hack...

moi en lisant ce texte, je ne ferais qu'une chose c'est quitter le jeux pour ne pas sponsoriser le laxisme de l’équipe d'Anet sur ce genre de sujet !

si tout le monde ferait ça , je peut te dire qu'ils se bougeraient le cul plus rapidement ! et auraient trouvé une solution.

tiens d’ailleurs un chinois as essayé cette nuit de se connecter a mon compte !

Citation :

Adresse : 124.73.13.153
Ville : Hefei
Région : 01
Pays : CN

[xCass]

Pas terrible si leur outil permet pas de restaurer les stuffs actuels.
Que le mec dise que y'a pas de logs pour savoir ce qui a été volé, d'accord, mais y'a quand même des sauvegardes faites à un instant T au cas où les disques seraient HS...Pas moyen de faire un rollback d'un perso unique sur une sauvegarde ?

Bon en tout cas s'ils ont enlevé la fonction pour changer de mail c'est que clairement ça venait de là (ou en tout cas ils le soupçonnent fortement). Si en plus de ça ils sortent un outil de restauration du stuff efficace, y'aura déjà un p'tit progrès de fait.

[Ofunk]

Tu peux essayer de leur demander quelques gemmes comme geste commercial face à la perte de tout ton équipement. (les gemmes il y a un aspect plus commercial que des po, et tu peux les convertir après). Essaye de la jouer victime au maximum vu qu'ils sont pas obligés de te refiler quoique ce soit. Ne donne pas de proposition de quantité.

[Gwelicia]

Gaile Gray (*****@Arena.net), c'est une vraie adresse?
Si oui, j'ai une très bonne nouvelle

[vabroi]

Citation :

Publié par Gwelicia

Gaile Gray (...), c'est une vraie adresse?
Si oui, j'ai une très bonne nouvelle

La personne est une vraie personne, employée de Anet, extrêmement respectée sur le 1. Je ne sais pas ses fonctions sur le 2, ni meme si elle y travaille.
Par contre sur l'adresse mail (que tu devrais retirer immédiatement), là je ne me prononcerai pas.