[Freeman-sama]

Citation :

Publié par I-magicman-I

bah moi pas plus tard qu'hier enfin heure du hack 24/01/2012 a 00h17 juste après la sauvegarde ankama shield activé etc?? comment c possible!!!

Nous ne somme plus en sécurité!!!

Pret de compte à quelqu'un qui vit chez toi ? T'as tes id enregistrés quelque part sur ton PC ?

[[Sum]Skillzorus]

Citation :

Publié par Freeman-sama

Pret de compte à quelqu'un qui vit chez toi ? T'as tes id enregistrés quelque part sur ton PC ?

Apparemment il y aurait une faille autour de l'Ankama shield d'après ce qu'un gars de mon serveur à dit sur le thread correspondant.

La faille de l'ankama shield c'est d'être désactivable par le mail, c'est répété depuis 4 threads.

Les voleurs n'avaient connaissance que de CE nom de compte, le reste c'est du social engineering plus que facile quand on a vidé la BDD d'une boite avec toutes les infos persos des joueurs.

Citation :

Je suis d'ailleurs surpris qu'il y ai aussi peu de plaintes/remarques à ce sujet des joueurs et d'AG.

On met nos informations partout sur le net, c'est juste que cette fois ça les relient à nos comptes.

[Belzebuk]

Citation :

Publié par Se boit très frais

Les voleurs n'avaient connaissance que de CE nom de compte, le reste c'est du social engineering plus que facile quand on a vidé la BDD d'une boite avec toutes les infos persos des joueurs.

Je suis d'ailleurs surpris qu'il y ai aussi peu de plaintes/remarques à ce sujet des joueurs et d'AG.

[Liloushka]

Citation :

Publié par [Sio]Lillys

Sinon des infos sur le fait qu'ils peuvent nous co même après avoir changer nos adresses/mdp etc? (ce qui est récurrent et pas que chez moi)

Je me permet de quote ça, j'ai pas trouvé de réponse d'officiel à ce sujet et ça m'intrigue assez, en plus de m'inquiéter.

( Pas la peine de quote la réponse de Sylfaen, c'est bien beau de remettre ça sur le dos des joueurs mais dans la mesure où j'ai un ordi clean, changé le mail, le mot de passe, blablabla ... Je ne me sens pas concernée par le passage sur " les joueurs qui cumulent les imprudences " et ça n'a pas empêché quelqu'un de se connecter sur mon compte. )

Citation :

Publié par Peki-Saga

Je dispose de toutes les IP si ça peux servir à quelqu'un ainsi que des lieux.

En espérant un éclaircissement d'un officiel autre qu'une vague tirade pour envoyer chier les joueurs une fois de plus.

Je dispose de l'IP de mon " visiteur " aussi, mais j'ai toujours pas trouvé quoi en faire d'utile, et je doute que ça change quelque chose vu qu'on a aucune com à ce sujet et que ça dure tout de même depuis cet été ... Mais bon, l'espoir fait vivre on va dire !

[Extasya]

Bonsoir

Je cherche a savoir si la restitution du support avec des items parfaits (quant-on a plus en voir sur d'autre topic ouvert y'a un certain temps) était toujours pratiqué.


[Modéré par GrosBenji ]


Merci

[Rasetsu [Men]]

Non les jets et même les signatures sont les même. ça fait un bout de temps qu'ils ne pratiquent plus le jet parfait (qui effectivement créait pas mal de déséquilibre).

[Deep]

Citation :

Publié par Rasetsu [Men]

Non les jets et même les signatures sont les même. ça fait un bout de temps qu'ils ne pratiquent plus le jet parfait (qui effectivement créait pas mal de déséquilibre).

Je rejoins.

[Paile]

Et c'est pas plus mal. Voir des joueurs vouloir exploiter ce genre d'intrusion est quand même regrettable.

[JePiKHo]

La faille est pas compliquée : j'utilise ton ordi, je copie colle le certificat sur une clé USB puis sur mon PC, et si j'ai le mdp, j'ai le shield désactivé.

[Feawen]

Citation :

Publié par tombdigger

La faille est pas compliquée : j'utilise ton ordi, je copie colle le certificat sur une clé USB puis sur mon PC, et si j'ai le mdp, j'ai le shield désactivé.

Si on suit ce raisonnement, il faut donc :
- un accès au-dit PC
- le mot de passe du compte.

... Facile

['pnotowd]

Citation :

Publié par tombdigger

La faille est pas compliquée : j'utilise ton ordi, je copie colle le certificat sur une clé USB puis sur mon PC, et si j'ai le mdp, j'ai le shield désactivé.

J'appel plutôt ça du "social engeenering" qu'une faille.

Si le pc est sécurisé et clean, que personne de malintentionné n'y a accès, je ne vois pas comment on peut récupérer ce certificat.
Vous laissez n'importe qui utiliser votre pc sans être présent, vous ?

Bref, on en revient encore aux règles de base de sécurité.

[Lemineurfou]

Citation :

Publié par CyKoNiKo

J'appel plutôt ça du "social engeenering" qu'une faille.

Si le pc est sécurisé et clean, que personne de malintentionné n'y a accès, je ne vois pas comment on peut récupérer ce certificat.
Vous laissez n'importe qui utiliser votre pc sans être présent, vous ?

Bref, on en revient encore aux règles de base de sécurité.

En même temps a quoi sert le Shiled alors?

Pas pour les keylog
Si avec un keylog le voleur n'a qu'a effectuer un transfert du certificat, je vois pas en quoi c'est plus difficile qu'avant... Suffit simplement de modifier un peux le keylog pour qu'il l'envoit en même temps que les infos d'identification, rien de bien méchant...

Pas pour le social
Cf plus haut

Pas pour le prêt de compte
Un mec qui prêtait son compte continuera a le faire en donnant le code du shield a ses "amis".

Pour le phishing, oauip la c'est possible que ça bloque le vole, si le site n'est pas modifié pour injecter un keylog.....

Bref, je vois pas vraiment l’intérêt du shield....

Sinon je trouve malheureux de ne pas avoir de réponse au message d'Amanda, pourtant il parait que ça lis ce thread.....

[blaes]

Citation :

Publié par Lemineurfou

Pour le phishing, oauip la c'est possible que ça bloque le vole, si le site n'est pas modifié pour injecter un keylog.....

je l'ai déjà dit, mais pas besoin que le site injecte quoi que ce soit pour récupérer le certificat.
il y a des fonctions en java/javascript qui permettent de récupérer un fichier directement (pensez aux sites d'hébergement d'images par exemple, les scripts qui permettent l'uplaod peuvent être modifiés pour récupérer directement le fichier à uploader si on sait ou il se trouve).
et si on est assez "bête" pour arriver sur un site de phishing, on sera probablement assez "bête" pour lui autoriser l'utilisation de script puisqu'on pensera que c'est l'officiel.

du coup, non, le shield ne protège pas non plus contre les sites de phishing.

[Super-mario]

A quand le test rétinien pour la connexion sécurisée ?
(ou alors, des exercices de maths, ça devrait handicaper la plupart des voleurs) (mais dans ce cas, la plupart des propriétaires aussi, m'enfin...)

[Cirs]

Citation :

Publié par Super-mario

A quand le test rétinien pour la connexion sécurisée ?

La confirmation par un code envoyé par sms pour toute action sensible sur un compte (changer le mail, mot de pass, numéro de tel) devrait largement suffire... C'est beaucoup plus efficace que le scan de carte d'identité qui est ultra facile a falsifier.

Remplacer la connexion (mot de passe a taper) par un code alphanumérique a cliquer peut aussi améliorer la sécurité. C'est un système déja vu pour certaines banques en ligne (mot de passe + code a cliquer).

Il ne faut pas tout mélanger ici, les cas ont des distinction très précises et des solutions différentes, tous ne sont pas forcément confirmés (corrigez ou complétez).

1 - Vol du à l'intrusion directe dans la base

-> Le voleur a toutes vos informations, sauf le paiement.

Changez votre email et ensuite votre mot de passe, activez le shield. Le changement d'email vous assurera que le voleur ne puisse plus récupérer vos informations au cas ou il aurait la possibilité assez infime d’accéder a votre boite mail. Néanmoins le voleur possède toujours votre login...

2 - Vol du au phishing, Vol dû à un keylogger

-> Le voleur a votre login et mot de passe et peut etre votre email

Changez votre email et ensuite votre mot de passe, activez le shield. Le changement d'email vous assurera que le voleur ne puisse plus récupérer vos informations. Néanmoins le voleur possède toujours votre login...

3 - Vol dû a une faille du shield (récupération du certificat)

-> Le voleur peut contourner le shield mais pour cela il doit avoir votre login et mot de passe

Voir solutions précédentes pour sécuriser vos accès, sinon le shield perds de sont efficacité évidemment.

4 - Vol dû a une recherche du mot de passe

-> Le voleur possède votre login mais pas votre mot de passe

Il va devoir tester tous les mots de passe possible ce qui peut prendre beaucoup de temps mais reste une éventualité (a confirmer). Est ce que le studio a mis en place un nombre limité d'essais de mot de passe sur tous ses accès ? Ca doit pas etre handicapant d'avoir "que" 10-20 essais par tranche de 24h par exemple pour un joueur honnête alors que pour un programme de recherche ça le ralentis considérablement, un bloquage total du compte après 50 echecs consécutifs annihilerait toute tentative de ce genre (on imagine qu'un joueur peut avoir un trou de mémoire, mais de la a se tromper 50 fois sans trouver le bon mot de passe ca doit etre assez rare )

Dans tous les cas, il faut changer d'adresse email sur le compte concerné afin de repartir sur une bases saines (on peut rappeler au passage que il est très facile de creer une boite mail gratuite dédiée excusivement à un compte). Changer de mot de passe ne suffit pas. Je poserais la question du changement de login qui reste pour le moment la seule faille dans le cas ou vous avez changé de mot de passe après l'intrusion et que le voleur n'a aucun moyen de pirater votre boite mail, a moins qu'il y ait eu une autre intrusion... et la on ne peut évidemment rien faire.

[feuby]

pour le shield, si on supprime les certificats du compte, qu'on le désactive, et qu'on le réactive, ca invalide pas un certificat copié sur clef USB par exemple ?

[Super-mario]

Citation :

Publié par zweng

La confirmation par un code envoyé par sms pour toute action sensible sur un compte (changer le mail, mot de pass, numéro de tel) devrait largement suffire... C'est beaucoup plus efficace que le scan de carte d'identité qui est ultra facile a falsifier.

Remplacer la connexion (mot de passe a taper) par un code alphanumérique a cliquer peut aussi améliorer la sécurité. C'est un système déja vu pour certaines banques en ligne (mot de passe + code a cliquer).

Il ne faut pas tout mélanger ici, les cas ont des distinction très précises et des solutions différentes, tous ne sont pas forcément confirmés (corrigez ou complétez).

1 - Vol du à l'intrusion directe dans la base

-> Le voleur a toutes vos informations, sauf le paiement.

Changez votre email et ensuite votre mot de passe, activez le shield. Le changement d'email vous assurera que le voleur ne puisse plus récupérer vos informations au cas ou il aurait la possibilité assez infime d’accéder a votre boite mail. Néanmoins le voleur possède toujours votre login...

2 - Vol du au phishing, Vol dû à un keylogger

-> Le voleur a votre login et mot de passe et peut etre votre email

Changez votre email et ensuite votre mot de passe, activez le shield. Le changement d'email vous assurera que le voleur ne puisse plus récupérer vos informations. Néanmoins le voleur possède toujours votre login...

3 - Vol dû a une faille du shield (récupération du certificat)

-> Le voleur peut contourner le shield mais pour cela il doit avoir votre login et mot de passe

Voir solutions précédentes pour sécuriser vos accès, sinon le shield perds de sont efficacité évidemment.

4 - Vol dû a une recherche du mot de passe

-> Le voleur possède votre login mais pas votre mot de passe

Il va devoir tester tous les mots de passe possible ce qui peut prendre beaucoup de temps mais reste une éventualité (a confirmer). Est ce que le studio a mis en place un nombre limité d'essais de mot de passe sur tous ses accès ? Ca doit pas etre handicapant d'avoir "que" 10-20 essais par tranche de 24h par exemple pour un joueur honnête alors que pour un programme de recherche ça le ralentis considérablement, un bloquage total du compte après 50 echecs consécutifs annihilerait toute tentative de ce genre (on imagine qu'un joueur peut avoir un trou de mémoire, mais de la a se tromper 50 fois sans trouver le bon mot de passe ca doit etre assez rare )

Dans tous les cas, il faut changer d'adresse email sur le compte concerné afin de repartir sur une bases saines (on peut rappeler au passage que il est très facile de creer une boite mail gratuite dédiée excusivement à un compte). Changer de mot de passe ne suffit pas. Je poserais la question du changement de login qui reste pour le moment la seule faille dans le cas ou vous avez changé de mot de passe après l'intrusion et que le voleur n'a aucun moyen de pirater votre boite mail, a moins qu'il y ait eu une autre intrusion... et la on ne peut évidemment rien faire.

Ouais, les seuls points noirs:
1. la facturation du SMS: ouais, le mec qui choppe tes ID et qui fait envoyer 50sms, si on te les factures...

2. pour le 1, si on limite le nombre d'envoie de SMS, et que tu reçois pas le SMS, ça peut être chaud.

3. idem que 2, mais what si tu reçois pas le sms ?

4. une majorité de pays ne sont pas couverts. (citons seulement la Belgique, à quelques centaines de km seulement, et pas d'accès de récup. par SMS)

[Halfalfa]

Citation :

Publié par Belzebuk

Ticket envoyé le 27/05/2010...

J'ai eu un bug à l'ouverture du service d'ogrine sur l'un de mes comptes.
J'ai fait appel au support pour la 1er fois de ma vie. La première étape aura été de trouver comment envoyer un ticket.
Bref, une fois fait, je reçois une réponse assez rapidement. Là je me dis cool, ils sont réactifs les gars.
Ils me demandaient des preuves du bug et du litige que j'avais subi. J'avais perdu des k dans l'affaire. Rien de bien méchant mais kamas = ogrines = argent irl.
Une fois les preuves fournies, ils constatent du bug et me disent de patienter...
Dernier ticket envoyé de ma part le 27/12/2011 pour leurs souhaiter de bonnes fêtes et de laisser tomber (ce qu'ils avaient déjà sûrement fait depuis x mois de toute façon).

Bref, j'ai jamais eu d'ogrines ou de kamas via le support.

Dans l'absolu, la résolution du bug je m'en contre fou. Je voulais juste avoir réparation, remboursement, dédommagement, pisser dans un violon.

Si je parle de ça, c'est parce qu'encore aujourd'hui, je ne comprends pas pourquoi AG est si fébrile sur les dédommagement qui leurs coûtent rien en plus.
Quand je vois un joueur qui ne peut pas jouer depuis X mois. La moindre des choses est dans un premier temps de lui rembourser ses X mois de jeu (directement, par ogrine ou en créditant X mois d'abonnement) et de faire un geste commercial par la même occasion, à savoir rajouter ces X mois d'abonnement.

Quand je vois comment AG se fait du fric sur notre dos et gère les problèmes, je suis content qu'une partie des joueurs s'en fassent sur le leurs.

Tant qu'il n'y aura pas d'assoces de consommateurs d'alerté et ou de plaintes de déposées ... Agissez au lieu de pleurer sur vos sorts !!!

[Fecaa]

Psonlu s'en charge normalement, du moins c'est ce qu'il crie sur tous les toits.

[psonlu]

Non je n'ai pas porté plainte. Je veux juste que le support nous rende nos items et qu'on en finisse avec cette histoire ...

[Seigneur-Fou]

Popopop....



C'est quoi cette merde ? Dit donc ça serait pas a cause de cette saloperie tous vos problème de hack récent là ?
Je signale quand même qu'aucun téléchargement douteux n'est fait sur mon ordinateur et que toutes les précautions de sécurités sont prises.

[vace]

Finalement c'est que les français qui se font hack ?
Parce que j'ai pas vu les autres communautés se plaindre.

Ensuite viens un problème assez énorme de mon point de vu : comment peut-on rester aussi silencieux quelque soit le domaine ? (affaire de vol de matos clos d'après AG, pas de news sur le taff fourni etc...)

'fin en même temps kévin à l'habitude de se faire hack par son meilleur pote donc finalement reroll un perso lvl 199 full fri² c'est devenu son quotidien et comme il paye ben les vrais vol ne sont pas traités car ne rapportant rien à la dreamteam ag support*opinion perso*

[feuby]

Citation :

Publié par Seigneur-fou

Popopop....



C'est quoi cette merde ? Dit donc ça serait pas a cause de cette saloperie tous vos problème de hack récent là ?
Je signale quand même qu'aucun téléchargement douteux n'est fait sur mon ordinateur et que toutes les précautions de sécurités sont prises.

en fait c'est peut etre le système de report de bug ca. Moi j'avais un logiciel, the turtle, pour savoir combien de touches je pressais (c'etait fun) et il a finit bloqué par mon anti-virus.

[Seigneur-Fou]

Tu es sur ? Parce que ce présumé virus revient régulièrement même après suppression via Avira.