|
[Inno]
Prophète
|
Je viens de faire le test en direct. Lorsque tu change tes pass du jeu, tu reçoit immédiatement un mail disant que le pass a été changé.
Perso, je regarde mes mails tous les jours, sauf si je suis en vacances. La façon dont agissent les voleurs de compte : Ils rentrent sur le compte ncsoft, changent l'adresse mail, changent le mot de passe en signalant le mot de passe perdu (donc le mail de reinitialisation du mot de passe arrive sur leur boite). de la ils changent le mot de passe jeu également, et ont tout le loisirs de profter du compte le temps que le support aie traité la demande. La plus grosse faille, est donc bien ce changement d'adresse mail ... Lors du changement de l'adresse mail, il envoie un mail à la nouvelle adresse, avec un code a taper pour confirmer que l'adresse est bien valide, je pense donc que comme il est dit, ca devient lourd pour un changement toutes les validations. De plus, il est impossible de changer dans le compte le nom et prenom liés au compte (il est évident que ceux ci ne changeront jamais), il leur suffit de faire le même pour l'adresse mail et le tour est joué. |
30/12/2009, 14h35
|
Comptes hackés - procédure et précisions
| Suivre |
|
|
Partager | Rechercher |
|
[Fairy]
Impératrice
|
Je viens de faire le test en direct. Lorsque tu change tes pass du jeu, tu reçoit immédiatement un mail disant que le pass a été changé.
Et ça te sert à quoi? Rien, enfin si, tu sais que tu n'as plus que tes yeux pour pleurer, que tu dois contacter le support et attendre patiemment en regardant le joueur dez le stuff de tous tes perso sur l'armurerie. Ils rentrent sur le compte ncsoft, changent l'adresse mail, changent le mot de passe en signalant le mot de passe perdu (donc le mail de reinitialisation du mot de passe arrive sur leur boite). de la ils changent le mot de passe jeu également, et ont tout le loisirs de profter du compte le temps que le support aie traité la demande. Non, le hacker arrive sur le compte NCsoft, modifie l'adresse email, le mot de passe du compte et celui du jeu. Pas besoin de réinitialisation. Ca c'est dans le cadre d'un mot de passe perdu et le mot de passe temporaire est envoyé sur l'adresse mail de l'utilisateur, et à part vraiment pas de bol, il n'a pas accès à tes mails. |
|
30/12/2009, 14h42
|
|
[Inno]
Prophète
|
Citation :
Si on ne peux changer d'adresse mail, personne ne sera laisé, vu qu'en deux mail et un changement simple de la part du support c'est réglé si vraiment quelqu'un voulait changer de mail (ca arrive pas tous les jours). Effectivement, on préfère un moindre mal, c'est pourquoi cette solution me semble une très bonne solution. De plus, comme tu le dit, ils ne vont pas botter pour une heure de temps, donc ca me parait une bonne facon de réduire la vague et les décourager. Après il y'aura toujours du monde pour réprouver et c'est bien pour ça que rien n'avance 
|
|
30/12/2009, 14h46
|
|
[Inno]
Prophète
|
Citation :
Donc la faille réside dans le fait, qu'il change l'adresse mail, et puis s'envoie le pass temporaire. CQFD |
|
30/12/2009, 14h47
|
|
Impératrice
|
Citation :
|
|
30/12/2009, 14h49
|
|
[Fairy]
Impératrice
|
Exact, pas besoin de répondre à tes questions secrètes.
Oui le mot de passe se change les doigts dans le nez sans aucune barrière. |
|
30/12/2009, 14h52
|
|
Héroïne
|
Donc @ Arathaur pour le changement de mail et pass il faut une validation par email avant tout !!!!!
|
|
30/12/2009, 14h54
|
|
[Inno]
Prophète
|
Pas a arathaur mais à ncsoft.
Et effectivement si le mot de passe est changé ils peuvent prendre possession du compte (sauf si ils ne peuvent changer l'adresse mail) il te suffit juste de reinitialiser ... Donc on peux tourner autour du pot deux heures, sauf que la solution la plus simple et la plus efficace reste d'empecher ce changement de mail ... |
|
30/12/2009, 14h58
|
|
[Fairy]
Impératrice
|
Kemda voilà ce que donnerait ta solution :
1. Le hacker dispose de l'identifiant et du mdp du compte NCsoft et se connecte 2. Il ne peut pas changer l'adresse mais... 3. Il s'en fout, il peut modifier le mdp du compte NCsoft et du compte de jeu 4. Il fait mumuse L'utilisateur lui se rend compte que ses mdp ont été modifiés, il doit alors demander une réinitialisation de son mdp NCsoft, qu'il reçoit par mail après avoir répondu à ses questions secrètes. La solution de la confirmation par mail : 1. Le hacker dispose de l'identifiant et du mdp du compte NCsoft et se connecte 2. Il essaie de modifier l'adresse mail mais une demande de validation est envoyée sur le mail de l'utilisateur, failed 3. Il essaie de modifier le mdp du compte NCsoft ou du compte de jeu mais une demande de validation est envoyée sur le mail de l'utilisateur, failed 4. Il ne peut rien faire Ca me parait quand même largement plus efficace. |
|
30/12/2009, 15h06
|
|
[Inno]
Prophète
|
Citation :
Ca demande pour être efficace la refonte complète du fonctionnement du site ... Donc ta manière efficace qui requiert beaucoup de travail n'est en plus pas infaillible, loin s'en faut. Ce qui est généré automatiquement peut être décrypté plus ou moins facilement. |
|
30/12/2009, 15h17
|
|
[Fairy]
Impératrice
|
Si on commence à partir sur l'idée que le hacker superstar réussira à intercepter le mail de validation envoyée à l'utilisateur et que donc, ça ne sert à rien de mettre en place un système basique de sécurité, on ne fera jamais rien.
Parce que partant de ce principe là tout est contournable par un petit génie de l'informatique. Quoi qu'il en soit à l'heure actuelle, m'étonnerait que ce soit des petits génies de l'informatique qui hackent les comptes, et vu le système mis en place, ya pas grand chose à faire pour récupérer un compte. Quand on voit qu'ils essaient de récupérer les comptes en avertissant un joueur "en ligne" que son compte est banni. Cherchez l'erreur. Non c'est pas des lumières, juste des opportunistes. Et c'est NCsoft qui laisse l'opportunité. D'ailleurs pour le phishing c'est pareil, si un mec se laisse avoir, le hacker atterri sur le compte NCsoft mais avec un système de validation par mail, il ne pourra rien modifier. Donc même le phishing serait contré. Ca vaut pas le coup de mettre en place "un système hyper méga sophistiqué et novateur de confirmation par mail"? Oui c'est ironique, non je ne pense pas que ça demande des centaines d'heures de boulot et pour des informations sensibles sur un MMO payant c'est juste le minimum syndical. Le support y gagne, les hackers sont contrés, les joueurs ne s'enfuient pas. Tout le monde y gagne et les heures de boulot seront vite rentabilisées. |
|
30/12/2009, 15h29
|
|
[Inno]
Prophète
|
Citation :
Sauf qu'il faut pas être un petit génie de l'informatique pour peter des clefs ... A moins qu'ils n'optent pour des systemes completement aléatoires ... mais oui, je te confirme qu'il faut des heures et des heures de boulot, alors que griser le changement de mail ne prends aucun temps de programmation ... et au final, ca vaut toutes les sécurités, car ils ne pourront pas changer dans la base ton adresse mail ... Si c'était le cas, validation ou non ca ne changerait rien. Pour changer ton mail, il envoie à la nouvelle adresse pour vérifier que c'est bien valide, et demande déja un code d'indentification qui est envoyé par mail. Ca fait une double sécurité très lourde a gerer ... Parce que faire une validation au changement de mot de passe, c'est bien beau, mais tant qu'on peux changer le mail, on peux tout faire. Il faut arrêter de croire que ncsoft sont des abrutis qui ne connaissent rien ... |
|
30/12/2009, 15h44
|
|
[Fairy]
Impératrice
|
Comme dit plus haut :
1. Le hacker dispose de l'identifiant et du mdp du compte NCsoft et se connecte 2. Il ne peut pas changer l'adresse mais... 3. Il s'en fout, il peut modifier le mdp du compte NCsoft et du compte de jeu 4. Il fait mumuse tant qu'on peux changer le mail, on peux tout faire Non tu n'as pas l'air de comprendre, tant qu'on a accès au compte on peut tout faire. Même si tu bloques le changement d'adresse mail, le hacker dispose du compte, modifie les mots de passe et bloque l'accès au compte NCsoft et au compte de jeu. |
|
30/12/2009, 17h18
|
|
Alpha & Oméga
|
On va résumer:
Une confirmation par email d'un changement de mot de passe a pour unique avantage de laisser aux joueurs une chance de récupérer leur compte et de ne pas laisser leur personnage se transformer en machine à kinah. Ca n'empêche absolument pas de se faire dépouiller le compte entièrement, et ça engendre des soucis pour ceux qui oublient le mot de passe de leur adresse email. Rien n'est parfait. Et ça change rien au problème de base: on ne doit en aucun cas perdre le login/mot de passe du compte Ncsoft (ou/et Aion). |
|
30/12/2009, 17h25
|
|
[Inno]
Prophète
|
Faut rester logique, si ils se connectent, c'est qu'ils ont le login et mot de passe ...
Donc si toi tu les rechange après lui (ce qui t'es possible vu que c'est toujours sur ton mail que c'est envoyé), tu récupère ton compte en limitant les dégâts. Je comprends parfaitement que changer le mot de passe pourrais demander une validation, mais pour mon cas, je suis sur un serveur exchange ... si je m'apercoit que quelqu'un joue mon compte un jour ou le serveur exchange est crashé (tout peut arriver) je suis même pas foutu de changer mon mot de passe. Leur but premier est de profiter du compte et de tout son contenu. A court, moyen et long terme, le gel de ce changement d'adresse mail te certifie que même en cas de changement de mot de passe, tu peux récupérer ton compte dés que tu t'en rends compte. Ensuite, si ils décident de faire des validation par mail dans tous les sens, c'est pas demain que ca sera mis en place vu la complexité et le travail que ca implique ... Ma solution n'est pas infaillible, mais ca sécurise aujourd'hui et pas dans un mois ... car ca se met en place en 30 min chrono Après j'ai envie de dire que pour l'instant je ne suis pas concerné ... mais je pourrais, et j'ai pas envie qu'ils puissent changer cette adresse mail ... |
|
30/12/2009, 17h29
|
|
Légende
|
Vous proposez 2 solutions, une rapide mais pas complète, et l'autre très convenable ( voir nécessaire ) mais qui demande du temps de programmation et de mise en place .
Qu'ils mettent la rapide dans un premier temps : Figé le changement d'adresse mail : Même si le hacker peut s'amuser avec tous les pass ncsoft et aion, l'utilisateur peut récupérer son compte sans passer par le support. Quitte à être dépouillé, j'aime autant récupérer mon compte dans la journée avec une demande de réinitialisation par mail (auquel j'ai toujours accès). Et dans un deuxième temps pour le long terme : Mettre en place la confirmation par mail : Ca devrait éviter le problème de fiphing comme dis plus haut, car même avec les pass ncsoft, pas moyen de récupérer les pass aion avec cette sécurité. Donc pas de dépouille de personnage, ni booting. On dispose toujours de la demande de réinitialisation du mdp qui ne passe pas par le support. Et pour ce que est de la confirmation de changement d'adresse mail, j'ai entendu des gens dire, " mais si j'ai perdu mon ancienne adresse ", quelqu'un avait proposé la solution suivante : Un mail de confirmation est envoyé à la nouvelle adresse, Et un mail est envoyé à l'ancienne adresse avec un lien qui permet de s'opposer à ce changement d'adresse (considéré comme autorisé au bout de 5 ou 7 jours) Tout ça sans passer par le support. Après pour ceux qui se sont aussi fait hacker leur boite mail, ben go support, mais bon, ca doit représenter même pas 10% des hackés. La programmation c'est fait pour soulager les hommes non de non ^^. |
|
30/12/2009, 18h22
|
|
[Fairy]
Impératrice
|
Citation :
- Des dégâts moindres, un compte de jeu plus ou moins préservé - Des joueurs qui n'insultent pas le support et ne quittent pas le jeu déprimés d'avoir retrouvé leurs persos à poil - Moins de flippe, moins de peur, moins de parano - Un support allégé par les requêtes donc avec plus de temps à consacrer aux joueurs rencontrant des difficultés (je le rappelle, certains en sont à plus d'une semaine d'attente et leur compte n'est même pas bloqué). Et j'en oublie, oui les avantages sont nombreux. Après un type qui ne peut plus accéder à sa boite mail, d'une il commence par voir ça avec le support de son mail, de deux en cas de soucis il aura affaire à un support largement moins floodé et plus disponible. En plus ça reste rare. La probabilité du type qui se fait hacker + piquer son compte mail ou hacker + "mince je me souviens plus de mon mot de passe mail", ça ne représente clairement pas la majorité des hacks. Et si on suit la logique Yuyuienne "He dude, t'es pas sensé oublier ton mot de passe de compte mail, et si tu te le fais chourrer, t'as du faire une connerie". Évidemment qu'à la base on ne doit pas "perdre" ses identifiants. Enfin là ils ne sont pas perdus mais volés. C'est un peu différent. Les règles de sécurité restent les mêmes, par contre l'après hack est de loin plus efficace et avantageux pour les GM comme pour les joueurs hackés. |
|
30/12/2009, 18h25
|
|
Empereur / Impératrice
|
Citation :
|
|
30/12/2009, 20h49
|
|
Légende
|
Qu'on soit d'accord, je parle là d'un changement standard d'adresse mail, pas le cas particulier où le hacker s'est aussi emparé de l'adresse mail.
Si le hacker a piqué les pass ncsoft/aion et aussi l'adresse mail, faudra aller voir le support avec tout les justificatifs, faut quand même qu'il taf dans certains cas le support  .
|
|
30/12/2009, 22h46
|
|
Empereur / Impératrice
|
Citation :
|
|
31/12/2009, 00h10
|
|
Empereur / Impératrice
|
Bonjour a tous. Voila j'ai un petit problème dans le jeu, et je pense que ce topic est le meilleur endroit pour en parlé, et pour chercher un petit coup de pouce.
A ma grande surprise, en me connectant cette aprem midi, un petit " vous êtes déja connecté" s'affiche. Je retente donc ma chance, en y arrivant cette fois ci, et arrivé a la page des personnages, je les vois tous en "petite tenu" avec plus aucun stuff, je comprend le mal desuite. Je m'empresse donc de vouloir changé de mot de passe avant de voir l'ampleur des dégats, mais bizarrement, je peux accédé a mon compte du jeu, mais pas a mon compte sur le site pour pouvoir changé de mot de passe, donc que faire? Ensuite, concernant les gros dégats...Voila viens de partir en fumée un inventaire riche ( médaille d'or, d'argent + tout sorte d'item inventaire toujours full, avant * ) Un stuff durement gagné, aprés des centaines d'heures de farm ( je venais me m'offrir un jaune a 10 M, aprés deux semaines de farm pour ca  ), pratiquement full jaune, entre le stuff jaune des abysses, et autre, tout partie, me voila avec juste ma petite culotte sur moi, et quelque 10 000 kinah que le hackeur a eu pitié de me laissé.J'ai donc directement pris un tiket pour contacté le MG et voir ce qu'il pouvais faire.... 14 jours d'attende, juste ca. Donc, me suis dit, tien, vais tenté d'envoyé un mail a l'équipe d'asistana, mit en place pour ca je pense. Mouais, tentative échoué, j'ai juste le droit a des réponses informatisé, des bêtes c/c envoyé par un programme. Que dois je dont faire ? Y'a t'il une chance, d'avoir une restauration du personnage 1 jours avant qu'il soit hacké ? Je ne connais pas la politique de Ncsoft sur ca. Et je tiens a précisé, que j'ai toujours pris plus ou moins mes précautions ( jamais changé de mot de passe, logiquement c'est sencé être sécurisé, jamais fait pour autre chose, j'en voyais pas l'interet ), c'est a dire, je n'ai jamais été sur un site autre que le site officiel de AION, je n'ai jamais tenté de contacté un revendeur de khinah ( ca ncsoft peut le vérifié trés facilement je pense), bref, j'ai toujours était clean, et c'est donc une trés drôle de surprise pour moi d'avoir a subir ca. Merci d'avoir pris la peine de me lire, et merci a ceux qui vont m'éclairer 
|
|
02/01/2010, 18h27
|
|
Empereur / Impératrice
|
J'ai oublié un point dans mon poste, la politique de ncsoft se résume vraiment a ca?
http://fr.support.ncsoft.com/cgi-bin...i=&p_topview=1 "[FONT='Arial','sans-serif'] La sécurité d'un compte et de son contenu relève de la seule responsabilité du propriétaire du compte. Tout objet, devise, ou expérience perdu lors de cet incident ne sera pas restauré.[/font] [FONT='Arial','sans-serif']Les propriétaires sont responsables du maintien de la confidentialité de leurs mots de passe et de la sécurité de leurs comptes à tout moment." C'est quand même un service payant, si leurs systeme de sécurité est aussi faible pour subir autant de hack, c'est que la responsabilité vient quand même d'eux... [/font] |
|
02/01/2010, 18h30
|
|
Alpha & Oméga
|
Citation :
D'aprés cette phrase, ca serait ton compte principal de hacké ! Oo Le plus grave à mon avis parce qu'à partir de ce moment là peu importe le "changement de compte de jeu " pour un hackeur ! Bref à ta place je ne me déconnecte plus du jeu avant réponse ! (si possible) |
|
02/01/2010, 19h12
|
|
Empereur / Impératrice
|
Bah c'est ce que je fais, je reste a tourné en rond en petite culotte comme un idiot, en attendant une réponse autre qu'une réponses informatique, mais je doute tenir 14 jours sur le jeu avant 'larrivé du MG
|
|
02/01/2010, 19h15
|
|
Alpha & Oméga
|
Citation :
Mais lol, ne t'attends pas non plus à ce que quelqu'un te tell en jeu ! Contacte le support, explique ton cas, explique surtout que tu es en ligne et que ton compte principal n'est plus accessible ! Explique aussi qu'il y a eu des accés sur ton compte de jeu !!! surtout çà pour le jeu en soit ^^ |
|
02/01/2010, 19h37
|
| Suivre |
Connectés sur ce fil1 connecté (0 membre et 1 invité)
Afficher la liste détaillée des connectés
|