LotRO - La Forge Noire

[Actu] Sécurité des comptes joueurs

Répondre
Partager Rechercher
Cette actualité a été publiée le 16/10/2011 à 20:50 par Aalix sur notre site Le Seigneur des Anneaux Online :

Citation :
Suite à des problèmes rencontrés par plusieurs joueurs au sujet de piratage de comptes, on ne le dira jamais assez, mais pensez à changer régulièrement votre mot de passe.


N'hésitez pas à utiliser ce fil pour réagir à cette information.
En l'occurence il ne s'agit pas d'une attaque à proprement parler, un joueur allemand a simplement publié un extrait de la base de donnée de joueurs lotro en montrant que la base de donnée était en accès libre en lecture.

Niveau trou de sécurité c'est à peu près au même niveau qu'une page web avec les mots de passes en clair. Cela explique en tout cas le très grand nombre de comptes hackés, parfois même quand les joueurs hackés prennent énormément de précautions. Enfin, maintenant que c'est public on peut espérer que Turbine va faire les choses proprement

Au fait, le joueur allemand a publié la faille dimanche soir, le forum a fermé mardi soir et le message demandant de changer les mots de passes n'a que quelques jours...
2 Joueurs de ma guilde se sont fait hacker leurs comptes vendredi après-midi (avec effacement de leurs persos, blocage du compte).

Même si à priori ils vont récupérer assez rapidement (qq jours) leur compte, c'est pas une expérience super sympa à vivre...

Donc effectivement ce sont des choses qui arrivent (encore) si on est pas vigilant.
Citation :
Publié par Ingor
Mais lol la bdd en accès libre .

Va falloir que je log voir si j'ai pas été hack .
Tu as peur de te faire blacklister pour goldspamming?

Regards,
Skro

PS: blague à part, ça fait chier, j'avais déjà changé mon MdP il y a à peine deux deux semaines... D'habitude je fais ça quand Windows m'engueule, seulement...

Dernière modification par Skro ; 17/10/2011 à 12h11. Motif: typo
Citation :
Publié par Ingor
On m'a aussi dit ig qu'il fallait changer toutes les 2 semaines, c'est une blague no ?
Oui c't'une blague.
Dans mon cas, c'est juste qu'il y a deux semaines grosso-merdo, il y a eu la vague de goldspamming/rumeurs de piratages de compte => Bibi a changé ses mots de passe.

Après, je n'ai pas connaissance de jeux où le MdP a une durée de validité (comme il peut en avoir dans les politiques de sécurité d'entreprise).

Sinon, pour détendre l'atmosphère, une excellente suggestion (in ingliche) du non moins excellent (bien que très geek) XKCD:

password_strength.png

Regards,
Skro
Citation :
Publié par Mustrum_
Pour la gestion facile de vos password je recommande keepass
http://keepass.info/
Rho non pas ça, ça me rappellerait le boulot.
(la version "post-it sur l'écran" est quand même largement suffisante pour un particulier qui n'a pas de coloc' louches )

Regards,
Skro
Citation :
la base de donnée était en accès libre en lecture.
quelle bande de bras cassés franchement. heureusement que les sociétés de mmos ne sont pas chargées directement de la gestion de comptes bancaires ou de clouds professionnels je vais aller voir si j'ai été hacké
Et bien ça y est !
J'y ai eu droit ainsi que mon frère.
J'étais connecté ce matin quand écran noir : vous avez été éjecté du serveur car vous vous êtes connecté au serveur...
Impossible de me reconnecter, mot de passe changé.
Mon frère à vu tous mes personnages se connecter les uns après les autres et être effacés.
Il s'est déconnecte pour changer son mot de passe : impossible de se connecter à la gestion du compte son mot de passe a été changé aussi.
Par contre le support en ligne est super :
Ticket créé à 9h50
Compte récupéré (vide bien sure) à 13h00 (et encore j'ai pas consulté ma messagerie toutes les 5 minutes)
J'ai fait une demande de restauration de mes personnages.

Le pire c'est que j'avais vu ce fil de discussion mais que je pensais que ça n'arrivait qu'aux autres...

Changez vos mots de passe si ce n'est déjà fait !

Kahin (Hiraen sur Estel)
Citation :
Publié par Kahin
Et bien ça y est !
J'y ai eu droit ainsi que mon frère.
Juste pour référence, ce serait pas mal de dire quand vous aviez changé votre mot de passe la dernière fois avant de vous faire hacker. Si c'était il y a trois mois c'est moins alarmant pour les autres que si c'était il y a trois jours.

Bon courage pour la restauration, j'espère que vous retrouverez tout.
Mon mot de passe et celui de mon frère étaient anciens.
Toutefois, certains confrères ayant assistés au hacking de mon compte en direct se sont déconnectés et ont immédiatement changé leur mot de passe.
Ca ne coûte rien et quelle tranquillité ensuite.

Kahin
Donc voila quasi une semaine que j ai fais ma demande de retauration. et aujourd hui je recois.une demande d information sur mon compte identifiant adresse dernier numeraux de la cb etc. alors que tout deja ete donne lors de la restitution du compte. je commence a bougonner dans mon coin la.
Mon frère à récupéré son compte et apparemment ses personnages sont toujours là.
Avoir le même identifiant et mot de passe pour le forum officiel et le jeux c'est déjà pas terrible.
Mettre la base de donnée des identifiants et mots de passe du forum (et donc du jeu cqfd) en libre accès lecture c'est pas top non plus.
Pouvoir modifier un mot de passe à la volée sans confirmation par messagerie c'est pas non plus une bonne idée.
J'espère que Turbine va rectifier sa politique de sécurité des comptes.
J'ai scanné mes PC contre les virus, malware, keylogger, spybot etc. avec des logiciels éprouvés et actualisés : rien de rien.
Je n'ai jamais donné mon identifiant ou mot de passe à quiconque.
Enfin bref, je ne pense pas que la faute m'incombe.

C'est pas la fin du monde mais lorsque l'on se rends compte qu'on a mis presque 4 ans (je joue depuis la béta) pour créer tous ses petits avatars et bien ça fait c...r que quelqu'un se soit permis de tout détruire en quelques secondes.
Je ne sais pas quel est l'intérêt de faire cela mais j'espère que Turbien se donnera les moyens de repérer le fauteur (je leur est donné l'heure exact et tous les détails du hack et donc ils doivent pouvoir remonter l'IP) et de le poursuivre en justice.
Ils sont conscients j'espère de leur manquement en matière de sécurité et de l'image catastrophique qu'une multiplication de ce genre d'évènement aurait sur leur clients.

Voilà, j'ai plus qu'à patienter.
Faites gaffe.

Kahin (Feu-Hiraen sur Estel)
+1 aux remarques sur les identifiants et les changements du mot de passe. C'est fou quand même.

Je ne sais plus sur quel jeu il y avait ça, mais l'effacement de personnages HL demandait 15 jours, par mesure de sécurité contre les hacks.
Par contre on pouvait delete les petits à volonté.

P'tre une piste pour Turbine, parce que ça fait pas trop sérieux tout ce qui arrive, là.
Citation :
Publié par Kahin
Je ne sais pas quel est l'intérêt de faire cela mais j'espère que Turbien se donnera les moyens de repérer le fauteur (je leur est donné l'heure exact et tous les détails du hack et donc ils doivent pouvoir remonter l'IP) et de le poursuivre en justice.
Pour la justice je n'y crois pas une seconde, Turbine aurait trop de frais pour pourchasser quelques lampistes, et ils ne gagneraient pas grand chose (les gens qui hackent les comptes ne sont pas assez riches pour couvrir les éventuels frais de justice).

Les hacks sont généralement fait pour les PO, les persos sont effacés probablement pour que tu puisses plus facilement tout récupérer auprès de Turbine (si il ne manque que 50po tu es plutôt soupconné de les avoir vendu toi-même !). Sinon ce sont des gamins qui s'ennuient qui font cela pour faire emmerder le monde, mais dans ce cas là il y a des chances pour que ce soit un peu ciblé.

Pour finir, le coup de l'IP je n'y crois vraiment pas, il y a encore beaucoup de monde en IP flottante en europe et aux US, et il y a plein de systèmes de proxys qui permettent de cacher ton IP réelle. Donc même techniquement c'est galère.

Edit: Par contre je suis parfaitement d'accord que la sécurité de Turbine pue à des kilomètres, pas besoin d'être un génie pour proposer des dizaines de solutions pour minimiser ce genre de bordel.
Bonjour,

Si en effet l'iP est identifié quand à l'auteur de l'intrusion, un service à l'image de l'Hadopi devrait aussi exister avec les mêmes sanctions envers leurs FAI, parce que on peut aussi penser à protéger les clients comme les vendeurs, ce serait pas mal.
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés