[Sorine]

Citation :

Publié par Raizin

Avec un site de phishing tu peux pigeonner un max de monde. Surtout à la sortie du jeu où les mecs veulent absolument jouer et font pas trop gaffe.

Sauf que bcp des hackes sont pas alles sur un site de phishing. Les certificats c'est pas pour les chiens

[Nysza]

Citation :

Publié par Eyce Karmina

Osef, tu peux tester en http sur le site web.

Ouai j't'ai répondu en edit, mon hypothèse était pas terrible, j'le r'connais

[itoma]

J ai tel au support aujourd'hui, ca vaut ce que ca vaut mais il m'ont donné quelques infos.

-Ip chinoise
-Bon mot de passe du premier coup ... bon j'étais pourtant sur de ne pas avoir utiliser ce mot de passe ailleurs ...
et
-Ils ont activer mon contrôle parental ... wtf

Pour eux c'est un spyware qui était sur mon pc à un moment, et il a été effacé par la suite par mes anti virus (Microsoft SE, spybot, malwarebytes et bitdeffender : qui sont d'après le support exactement ceux qu'il m'aurai conseilé). Bien sur pas de traces d'un spyware quelconque dans les log ...

[Harest]

Citation :

Publié par Tête de Cornet

Mais tu veux prouver quoi ? Le message cité à rien de ridicule, et le fait de l'affirmer sans rien argumenter ça fait qu'au final c'est toi qui est ridicule.
Et pour le coup, la puissance pc pour bruteforce une authentification sur une connexion on s'en balance complet vu qu'on est limité par le temps de latence entre deux essais. Le bruteforce ça sert à déchiffre des trucs truc chiffrés qu'on a réussi à récupérer, pas à faire des tentatives de connexion au rythme de 10 tentatives par minute

Je ne cherche pas à prouver quoi que se soit, je dis juste que le message était ridicule par rapport aux éléments erronés du message de base :

Citation :

Publié par Nysza

Les autres lololbruteforce, je l'ai déjà dit, on est plus en 1970, personne n'hack quoi que ce soit en bruteforce, c'est ridicule. Je suis sûr que même s'il n'y a pas de limitations en terme d'essais, il y a une limitation côté serveur, ne serais-ce que pour éviter qu'un mec mette les serveurs d'auth à genoux en spammant des essais. (et de toute y a un beau délai entre l'entrée de ton mot de passe et la réponse disant qu'il est invalide. Même sans case-sensitive, en mettant juste des lettres et chiffres (35 caractères), si tu part du principe qu'un compte a 8 caractères (sans même ajouter les possibilités de 1 à 7), tu as 35^8 possibilités, tu as plus de 2000 milliards de possibilités. Les serveurs binette ont 200 ms de ping, allez. 5 par secondes. Disons que tu trouve à la moitié de la recherche en moyenne. Tu es à 2.5 MILLIONS de jours. Par compte. Maintenant, lachez nous la grappe avec votre bruteforce, merci.

Déjà le délai, c'est du très faible. Si on part sur une attaque brute-force, c'est pas un random péon qui va le faire de chez lui hein. Et ça se fait par requêtes ofc, pas dans son navigateur ou pire dans le jeu. Déjà là le message de base ne veut rien dire, c'est les serveurs de jeu qui ont 200 ms de ping. J'ai trouvé ce site par exemple (sûrement pas bon non plus, mais j'ai pas trouvé grand chose sur les temps moyens des requêtes http basiques), qui donne 2.204 ms / requête (en comptant le temps de réponse). On est loin des 5 / s, ou les 10 / minute ironique.

Ensuite lettres + chiffres = 36 caractères. Sur du 8 caractères only ouai on est à plus de 2 821 milliards. Sur un PC dual core d'après ce site ça prendrait 78h22. En sachant que toujours pareil, ce genre d'attaques ça ne se fait pas qu'avec un seul PC, et pas un dual core non plus only. Mais faut ajouter les temps de réponse et le temps entre chaque requête. Ça rajoute 1 727 146 heures soit 197 ans. Bon on est toujours avec un seul PC. Avec un bon nombre de PC zombies ça passerait mieux. Zeus par exemple a infecté 13 millions de PC dans le monde. Pour que ça puisse être réalisable, ceux-ci ne serait pas de trop, on tomberait sous la barre des 10 minutes.

Enfin bref, j'ai pas dit que c'était nécessairement possible, juste que vouloir étayer des propos en donnant des trucs comme 200 ms de ping, ça le fait pas. Et cf. ce que je disais à la base, le fait que se soit ou non possible n'empêche pas la mise en place d'une limitation maximale d'essais. Parce qu'avec ceux qui mettent que des chiffres, ou que des lettres, ça devient vite très facile, même en ligne à owned. Et à défaut d'avoir les majuscules prisent en compte, les symboles eux le sont.

[Nysza]

Citation :

Publié par itoma

J ai tel au support aujourd'hui, ca vaut ce que ca vaut mais il m'ont donné quelques infos.

-Ip chinoise
-Bon mot de passe du premier coup ... bon j'étais pourtant sur de ne pas avoir utiliser ce mot de passe ailleurs ...
et
-Ils ont activer mon contrôle parental ... wtf

Pour eux c'est un spyware qui était sur mon pc à un moment, et il a été effacé par la suite par mes anti virus (Microsoft SE, spybot, malwarebytes et bitdeffender : qui sont d'après le support exactement ceux qu'il m'aurai conseilé). Bien sur pas de traces d'un spyware quelconque dans les log ...

Ton antivirus fera jamais rien sans log. P'tin ils sont vraiment scandaleux chez bli
Si spyware il y a c'est un truc que les AV à jour ne détectent pas. Et putin si je tenais un spyware qui fait ça, j'craquerais pas des comptes D3 le lendemain de la release sans HV€.
Bon visiblement dans ton cas, ils avaient le mot de passe, vu qu'ils ont pu log sur binette pour activer le controle

[Raizin]

Citation :

Publié par Sorine

Sauf que bcp des hackes sont pas alles sur un site de phishing. Les certificats c'est pas pour les chiens

Encore mieux qu'un site de phishing :

tu fais un site lambda, normal en apparence, avec inscription obligatoire ou non, et tu récupères tout ce dont t'as besoin en partant du postulat que la majorité utiliseront la même adresse et le même pwd pour jouer à D3.

Tout con, y'a 3 mois tu faisais un site http://concoursdiablo3.fr avec 300 pass bêta à gagner et inscription obligatoire pour envoyer les pass aux gagnants...

[Sorine]

Le seul truc en rapport avec mes id d3 (mdp different btw) c'est jol et l'adresse est cachée, on a du trouver le coupable. Ou alors va falloir commencer a trouver des causes un peu plus logiques et probables que celles que donne blibli

[Mocassin]

Question un peu à part que j'adresse à ceux ayant été hacké , il semblerait qu'ils effectuent un rollback pour récupérer les ... golds ? les objets du coffres ? pour être plus précis , les grimoires et gemmes ?

Rollback veut dire que tous ce que l'on fait entre temps sera effacé , oui mais sur le compte tout entier ? ( ce que je trouverai logique vu les golds et le coffre en commun ) ou simplement sur le perso concerné ?

[Nysza]

Citation :

Publié par Sorine

Le seul truc en rapport avec mes id d3 (mdp different btw) c'est jol et l'adresse est cachée, on a du trouver le coupable. Ou alors va falloir commencer a trouver des causes un peu plus logiques et probables que celles que donne blibli

Ben l'adresse est "cachée". Une faille dans le forum jol est vachement plus probable que chez bli. Par contre ça expliquerait pas tous les hacks
Enfin dans ton cas, tout laisse à penser qu'ils avaient ton mdp à un moment ou un autre, vu qu'ils se sont log sur ton compte binette non ?

[Sorine]

Rollback complet du perso. En plus de donner des raisons bidons ils savent pas lire des logs
!
Ps : le compte qui a servit a transférer mes golds etait encore actifs 24heures après avoir éte signale

[Nysza]

Citation :

Publié par Sorine

Rollback complet du perso. En plus de donner des raisons bidons ils savent pas lire des logs
!
Ps : le compte qui a servit a transférer mes golds etait encore actifs 24heures après avoir éte signale

100% que c'est aussi un compte hacké

[Demonrule]

Citation :

Publié par Sorine

Le seul truc en rapport avec mes id d3 (mdp different btw) c'est jol et l'adresse est cachée, on a du trouver le coupable. Ou alors va falloir commencer a trouver des causes un peu plus logiques et probables que celles que donne blibli

Il y a plusieurs années, à la naissance du spam, les journalistes expliquaient le principe du programme générateur d'adresses mail.
En gros, on se procure vos noms et prénoms sur une base de données quelconque (annuaire, réseau social, FAI, etc...) et des programmes s'occupent de tester des adresses en y ajoutant des domaine (machin.truc@gmail.com, machin@free.fr, truc@hotmail.com, etc...).
Bien sûr, les mail du type : gros_sexe_30@laposte.net étaient moins évident mais pas impossible à trouver.

Tout ça pour rappeler que login ou adresse mail, même discret, peut toujours se retrouver.

[Nysza]

Citation :

Publié par Demonrule

Il y a plusieurs années, à la naissance du spam, les journalistes expliquaient le principe du programme générateur d'adresses mail.
En gros, on se procure vos noms et prénoms sur une base de données quelconque (annuaire, réseau social, FAI, etc...) et des programmes s'occupent de tester des adresses en y ajoutant des domaine (machin.truc@gmail.com, machin@free.fr, truc@hotmail.com, etc...).
Bien sûr, les mail du type : gros_sexe_30@laposte.net étaient moins évident mais pas impossible à trouver.

Tout ça pour rappeler que login ou adresse mail, même discret, peut toujours se retrouver.

C'est bien pour ça qu'on demande de pouvoir mettre un truc autre qu'un mail. ça permettrait de toujours récup les mails blizzard chez soi (genre les mails de changement/réinitialisation de mdp) au lieu de devoir mettre une adresse bidon en guise de login.

[Arsh]

Citation :

Publié par itoma

J ai tel au support aujourd'hui, ca vaut ce que ca vaut mais il m'ont donné quelques infos.
[...]
-Ils ont activer mon contrôle parental ... wtf

C'est bon, trouvé !

Vous vous êtes tous faits pirater par vos vieux...

[itoma]

Citation :

Publié par Arsh

C'est bon, trouvé !

Vous vous êtes tous faits piratés par vos vieux...

Qui ont fait le deplacement en chine pour l'occaz ...

[Nysza]

Citation :

Publié par itoma

Qui ont fait le deplacement en chine pour l'occaz ...

Proxy ftw

[Sorine]

Citation :

Publié par Demonrule

Il y a plusieurs années, à la naissance du spam, les journalistes expliquaient le principe du programme générateur d'adresses mail.
En gros, on se procure vos noms et prénoms sur une base de données quelconque (annuaire, réseau social, FAI, etc...) et des programmes s'occupent de tester des adresses en y ajoutant des domaine (machin.truc@gmail.com, machin@free.fr, truc@hotmail.com, etc...).
Bien sûr, les mail du type : gros_sexe_30@laposte.net étaient moins évident mais pas impossible à trouver.

Tout ça pour rappeler que login ou adresse mail, même discret, peut toujours se retrouver.

Pseudo limite aleatoire utilise pour la derniere fois y a 10ans

[Krn]

Nous ne sommes qu'une goûte d'eau parmi l'océan de clients Blizzard.

Ce dernier n'avouera jamais sa faiblesse même si celle-ci est avérée et nous sommes tous des gros cons vérolés.

Pour mon cas, ce n'est pas une dizaine d'objets virtuels et 60€ qui vont me manquer, je tourne la page et cet éditeur ne reverra jamais un seul de mes euros (ils en ont raf et vous aussi mais ça me fait plaisir).

[Mr.T]

Citation :

Publié par Sorine

Sauf que bcp des hackes sont pas alles sur un site de phishing. Les certificats c'est pas pour les chiens

Prend les gens pour des dindons....Un peu comme les pseudos acheteurs sur Ebay ou Leboncoin qui veulent acheter mon canapé par mandat cash loul..... Mais quand je vois les screens de 500 tentatives de log, ça pue juste l'attaque brute...

Ben là faut m'expliquer j'ai aucune naviguation internet louche, je me suis inscrit nul part pour tenter d'avoir des clés bétas ou autres, mon adresse mail est uniquement pour le compte bnet, et mon mot de passe est une combinaison de deux de mes anciens mdp daoc donc utilisé nul part ailleurs.
Et je joue pas chez tonton henry qui click par curiosité sur les mails "xxx nudity teens pictures xxx" ou "improve your p*nis"

[Ethann F.]

Citation :

Publié par Nysza

Les autres lololbruteforce, je l'ai déjà dit, on est plus en 1970, personne n'hack quoi que ce soit en bruteforce, c'est ridicule. [...] Par compte. Maintenant, lachez nous la grappe avec votre bruteforce, merci.

Faut arrêter de venir raconter n'importe quoi, les attaque par brute force courent toujours, dernier exemple en tête dont des amis proches ont été victime c'est Eve Online en 2008 ou 2009, le jeu était bien protéger contre les tentatives d'attaque par le brute force certes... Mais... Pas le site (où les login/pass sont les même) en 1 semaine ça a été l'écatombe, 4 ou 5 personne de ma corporation sur une 100ène d'actifs on été hack durant la semaine, et encore bien d'autre dans l'alliance. On est plus en 1970 tu dis?

Pour les 2000 tests de passes/seconde j'en sais rien, mais si le fichier hash de mots de passe a été hack en entier ou en partie chez Blizzard, les pirates peuvent brute force les pass un par un, et là c'est plusieurs millions d'essais de passes par seconde sur une simple machine bureautique...

[Yuyu]

Le soucis c'est le refus de la part de Blizzard de s'étaler sur le sujet.
On sait tous que la sécurité en informatique à 100% n'existe pas. Après il y a des éditeurs qui font la sourde oreille, et d'autre comme Trion qui avoue qu'il y a eu une faille et s'excuse.

Et la faille côté Blizzard, perso je la met sur le compte de Bnet, plus que sur le client de jeu Diablo III.

[Syagre]

Pour info pas d'authentificator non plus, juste l'alerte SMS activité.

M'enfin je suis content, l'alerte SMS m'a envoyé un message... quand j'ai changé mon pass suite à mon pillage.

- Pas de phishing (jamais donné mes identifiants de compte sur un site)
- Pas de social (jamais donné mes logs à une tiers personne)
- Pas encore fais de partie public.
- Antivirus et antispy à jour.

Enfin, la config standard du jolien moyen qui fais pas n'importe quoi sans être fort knox non plus.
Et puis plusieurs années de MMO et jamais un piratage, et là, 2 semaines sur un jeux qui aurait du pouvoir se jouer offline et je me fais violer comme une chevre dans le desert par une bande de troll neoliberal nihiliste.

Après brute force ou par pigeons voyageur, me fout un peu de la methode du moment qu'on trouve une solution.

Bref, je ne retourne pas sur D3 même s'il y a un rollback, pour me faire pirater dans 2 mois à nouveau.
Sans explication et une solution solide, Good Bye Blizzard.

[itoma]

Ca y est l'authenticator devient obligatoire ... sinon plus d'AH ...

[Nysza]

Citation :

Publié par itoma

Ca y est l'authenticator devient obligatoire ... sinon plus d'AH ...

Sourcez

[Nitz]

Il y avait eu une vague de hack comme ça sur WoW, après que WotLK sorte. La faille était dans Adobe Flash Player, des mecs pouvait y injecter du code, et keylog ton pass/login si tu te connectais en même temps que tu avais un des sites compromis ouvert en arrière-plan (des sites comme mmo-champion, wowhead, etc.). Ce n'est pas de votre faute les gars, mais ce n'est pas non plus de la faute de Blizzard si ce genre de truc arrive. La seule chose qu'il est possible de faire pour s'assurer à 100%, c'est d'utiliser un authenticateur.