|
Prophète / Prophétesse
|
GOA: expliquez vous avec soin s'il vous plait...
Nous faut de l'info nette et claire, parce que sinon ----> on va supposer, et c'est pas bon ca : Il y a 2 solutions : 1 - Faille de securité dans le soft de mythic coté serveur 2 - Faille de securité sur les machines serveurs de GOA, (systeme, services ouverts etc) Au delà du désagrement, j'aimerais avoir des explications sur le hack : Pour savoir qui en est responsable (hormis les principaux : les hackers). Si gros silence de GOA & Mythic, on va etre obligé de supposer, déduire.. pénible.. (Perso j'opterais plutot pour l'option 2, Vu l'ampleur du hack et la ZONE touchée (login/abo) ) Si aux US on n'a pas droit à un patch de securité correctif, alors on considérera que les Serveurs GOA etaient vulnérables à des attaques, et ce indépendamment du fait qu'ils servaient du soft DAOC/Mythic. Dans ce cas, il faudrait bien admettre que les plateformes GOA sont vulnérables aux Hackers. Là j'espererais VIVEMENT de la part de GOA une réaction _durable_ et efficace et Communiquée (ie: embaucher un super crack de la sécurité ou appel à des sociétés de services spécialisées, explications claires des causes & mesures prises) Je m'inquiete un peu des infos & n° de CB que je leur ai confié. Pour finir, la solution d'envoyer en masse la totalité des mdp par Email ... je comprends qu'ils le fassent, mais je crains le pire, ca se snif aussi des mails quoi..  De toute manière, s'ils doivent nous renvoyer des mdp abonnement, c'est que les Email d'envoi peuvent avoir été changé sur les comptes utilisés par les hackers... Bref, ca ne me dit rien qui vaille personnellement, et meme si il est bien inutile d'en rajouter, il est encore pire de laisser courrir et de dire " c'est la faute aux hackeurs" point. C'est la faute aux hackers CERTES, mais GOA aurait (je dis bien "aurait") sa part de responsabilité si le hack ne s'est pas servi d'un trou de sécurité DAOC/Mythic. Et quelque chose DEVRAIT etre fait pour que cela ne se reproduise plus avec cette faille, mais aussi en prévention des prochaines attaques (car il y en aura), et également, pour réagir + vite et mieux qd la prochaine aura lieu . NB: Je ne jete pas la pierre aux employés, ces questions de sécurité logicielle, c'est un problème de direction , une politique et une stratégie, c'est une histoire d'argent et d'énergie qu'on veut y mettre et aussi de pas de bol d'etre la cible de hackers efficaces. PS: non je ne dirige pas de société de consultant sécurité ;p PPS: COURAGE aux employés de Goa, spa votre faute, et pis c'est la merde mais ca finira bien par s'arranger ;p |
27/08/2003, 03h11
|
Hack server, Explications
| Suivre |
|
|
Partager | Rechercher |
|
Alpha & Oméga
|
Citation :
|
|
27/08/2003, 03h16
|
|
Prophète / Prophétesse
|
Mais qu'ils disent : a) d'où ca sortait (ie: ca vient d'un service sur la plateforme technique, systeme, autre soft, connerie humaine etc, ou du soft de mythic). b) ce qu'ils vont faire pour que ca se reproduise pas facilement c) ce qu'ils vont faire pour que si ca se reproduit ca soit pas la galère autant (ie: 1 semaine d'arret service Abo etc, finalement, 24h d'arret et pis c'est pas fini) |
|
27/08/2003, 03h23
|
Alpha & Oméga
|
Aucun système n'est invulnérable, GOA a déjà subît nombre d'attaques dans le passé et a toujours corrigé ce qui n'allait pas (suffit de consulter les archives de forums officiels).
|
|
27/08/2003, 03h31
|
|
Alpha & Oméga
|
ah oui vu de se sens je comprend tout a fais et aimerais savoir aussi , aussi je pense que Goa feras cela de manière professionnelle et cohérente a son habitude ( ne pas voir de mal dans cette phrase sil n'y en as pas juste le contraire )
|
|
27/08/2003, 03h37
|
|
Prophète / Prophétesse
|
Comme tu le dis, aucun systeme n'est invulnérable, mais bon il y a aussi des systèmes qui ne sont pas hackés, donc il y a surement matière à améliorer.
Il y a deja eu des attaques, tu as raison. raison de plus pour faire dans le préventif & le reactif & le correctif et Il y en aura encore des attaques. Les mesures sont prises, certes, mais là ca faisait un bon bout de temps que ca trainait , + d'une semaine, c'est bcp trop long comme temps de reaction. c'est là qu'il faut agir surtout. Vu de ma lorgnette, c'est assez facile de raler & de dire faut faire ci ou ca.. Mais franchement, GOA gère maintenant + de 20k comptes, c'est bcp, c'est dur mais c'est leur boulot de gérer les abos.. pas le mien.. il est vraiment grand temps de mettre à jour qq chose chez eux là. L'année derniere il y avait moins de Downtime tous problèmes confondus. Là depuis qq mois, c'est trop. Pourquoi pas mettre plus d'argent/Ressources sur ce type de problemes qui ne vont pas aller en s'amenuisant, si DAOC continue à avoir autant de succes? hein? |
|
27/08/2003, 03h55
|
|
Alpha & Oméga
|
Les numéros de CB ne sont pas gérés par GOA pour la énième fois mais par leur partenaire de paiement : Bibit -_-
|
|
27/08/2003, 03h59
|
|
Prophète / Prophétesse
|
|
|
27/08/2003, 04h11
|
|
Alpha & Oméga
|
Citation :
|
|
27/08/2003, 04h45
|
|
[SdM]
Alpha & Oméga
|
Moi je suis curieux voir anxieux de voir ce qu'ils vont faire pour ceux qui lorsqu'ils ont coupé la page d'abonnement, voulaient mettre a jour leurs données perso. et, fatalement la fameuse adresse e-mail.
J'en reparle ici car je vois qu'un coord. DAOC est passé par la, car bcp de personnes n'avaient plus une adresse email valide et n'ont pas pu la modifier vu que le service etait offline Help quoi, mais je pense qu'ils vont reagir, car ca ferait sur toute l'europe pas mal de compte de perdus, et pas mal d'argent de perdu.
|
|
27/08/2003, 04h55
|
|
Prophétesse
|
info non officielles
Une personne travaillant non officiellement pour goa m aurait confié non officiellement les info suivantes :
Des le debut Goa savait qu il s etait fait hacker. Il savait que des login et mot de passe abo et jeux avaient été detournés. reaction immediate, fermeture de la section abo. Goa pensait pouvoir gérer la crise sans mettre les joueurs au courant. Raté, d une part les attaque se sont répétées et d autre part des joueurs se sont plaint que leur compte etait deja logué alors qu il n avait pas communiqué leur mot de passe, d autre ont vu leur perso delete. La maintenance du 26/08 avait pour but de renforcer la sécurité des plateformes, ce n etait en aucun cas une maintenance banale. Les mots de passe jeu vont etre mail dans les 24 heures, comprenez 72 heure selon les estimations interne de goa. Qu on se le dise, les nouveaux mot de passe abo seront tous envoyer par mail avant la remise en service des section abo et support. Citation :
Reste maintenant a nous informer sur la procedure a suivre pour ceux qui ont changer de mail et qui ne l ont pas mis a jour dans la rubrique abo. Pour finir je dirais deux choses. 1) la securité absolue n existe pas, il semble que cette fois ci les précautions de goa n ont pas été suffisantes, ils ont réagis en consequence et cela est une bonne chose. 2) Nous payons pour un service, a ce titre il est inadmissible que nous ne soyons pas au courant de se qui se passe, et qu on ne soit informés qu en dernier recours. Il serait temps que goa se mette un peu plus a jouer le jeu de la transparence. pire encore, alors que goa savait avoir été hacker, le support a recu la consigne de repondre par un message automatique disant que c etait les joueur eux meme qui s etait fait hacker et que goa n etait pas responsable. Bref quand goa finira t il de nous prendre pour des imbeciles, la sanction va etre severe avec les nouveau MMORPG qui arrive bientot sur le marcher. Je rapelle egalement l attitude discutable de goa de systematiquement fermer le support client des que les evenement prenent une tournure genante. Certe on peu le concevoir et le comprendre dans le cas present, quoi que je doute que les pirates pose des questions au support client, mais bon. Mais rapellez vous lors de la sortie de SI, meme senario, support client couper, n'est on pas en droit d avoir un support client qui fonctionne précisement lorqu on en a le plus besoin ? |
|
27/08/2003, 06h27
|
|
Alpha & Oméga
|
Re: Hack server, Explications
Citation :
Quand a la sécurité sur le net elle est et restera incertaine et relativement approximative, surtout toujours perfectible et donc jamais définitivement au point, ce qui fait je le crois (même si on s'en plaint) vivre beaucoup de monde. Quand a la CB dit, redit et encore... GOA ne s'occupe pas des transactions financiere. W8 & See, et surtout gardez en tete que la sécurité aussi optimal soit elle sur le rezo des rezo.. sera toujours loin de la perfection, et personne n'est a l'abri réélement, plus la sécurité est poussée, plus quelques hackers (mal intentionné ou pas) essaieront de créer / trouver des failles. [EDIT] Personnelement je ne me plaint d'une maniere générale pas de goa, ils font leur taf relativement bien, évidement perfectible... |
|
27/08/2003, 06h27
|
|
[DrFr]
Alpha & Oméga
|
Lol mais arrêtez de jouer les compatissants pour goa ca vous fera pas passer GM !
Oui le risque 0 n'existe pas. Bha oui ca arrive ce genre de chose ! Mais tin depuis le 18 !!!! Et ce que le 26 qu'on est averti !!! vous trouvez encore des excuse a ca ????? M'enfin heureusement que des gens complaisant comme vous existe remarque, vous réagissez comme un soupape de sécurité pour faire baisser la pression.... Mais bon ne nous leurrons pas Goa a tout les tord dans cette histoires !! et l'égocentrisme dont certain semble faire preuve chez eux m'exaspère. |
|
27/08/2003, 06h53
|
|
[Alico]
Oracle
|
Bonjour,
sans doute s'agit-il tout simplement d'une défaillance technique de leur clim dans les salles machines qui ont fait grillé quelques alimentations des serveurs rackables provoqué par la canicule, qui chacun sait a été foudroyante cette année. Ils ont pretexté que il s'agissait de hacking alors que peut etre c'était du à ce probleme de climatisation. Notoriété, crédibilité, confiance client ...etc Tout cela n'est que pure stipulation, pas la peine de me harceler, m'aggresser et me battre sur place en disant que ce que je dis ce sont des âneries, sauf si approfondissez vos dires auquel cas je ferai l'effort de lire... |
|
27/08/2003, 07h16
|
|
Alpha & Oméga
|
Citation :
Ce que tu dit est tres plausible mais ne serais toujours qu'une rumeur malheureusement ... 
|
|
27/08/2003, 07h46
|
|
[SVPPB]
Alpha & Oméga
|
Re: Re: Hack server, Explications
Citation :
- La notoriété de la cible - L'interêt (en valeur marchande) des éléments présents sur la cible De là, on en déduit un axiome de la sécurité informatique "Rendre l'obtention des informations plus chère que la valeur des informations elles-même" Dans tous les cas, n'oublions pas que lorsqu'on subit un hack, on doit prendre des décisions rapides, de manière a protéger les données, pour le reste c'est trop tard pour modifier quoi que ce soit 
|
|
27/08/2003, 08h02
|
|
Alpha & Oméga
|
Re: Re: Re: Hack server, Explications
Citation :
Heu ca c est un cas général... SI Daoc a etait hacker c'est tout simplement pour nuir a la communauté Daocienne et faire pop plus d'un millier de message de ouinouin et faire pop une haine immense contre GOA... 
|
|
27/08/2003, 08h06
|
|
Prophétesse
|
?
Personnellement,
je ne vois pas a koi te servirait de savoir ki fait koi kan comment, de la faute a ki etc etc.... Ca ne va pas t'aider a te lever le matin? ou autre? Il y a eut un problème... Il est en passe d'être résolut... Si ils veulent donner plus d'explication, ils le feront. Kan au cote hakers personnes n'est invulnérable (hélas). Pleins de sociétés y sont passées.. Pour ajouter a la parano de certain, pourquoi ne pas penser ke cela vient d'une autre société de jeu bien connue... Qui finalement voyant qu'il y a bcp plus de gens ki s'accrochent a DAoC, a fait cela pour le cote haine, ras de bol etc etc.. afin de récupérer des clients? Tout est bon pour arriver a ses fins... |
|
27/08/2003, 08h19
|
|
Alpha & Oméga
|
Juste en passant comme ça, y a en ce moment 2 virus majeurs qui se balladent, à savoir LovSan (Sobig) et Welchia... qui touche les plateformes 2000, NT, XP (pas le 2003 serveur gniark
 )Ces plateformes sont actuellement 60% des plateformes serveur petites et moyennes capacités (entendre moins d'un million de requetes/jour) Il est tout à fait probable que les serveurs DAoC tournent dessus, par là même probable encore que ces virus aient touché les serveurs, d'où l'arrêt d'hier pour appliquer les patchs correctifs qui vont bien. Ca n'excuse en rien le manque d'infos pour la communauté, certes, mais l'informatique est loin d'être un monde parfait et la fiabilité 100% ça existe peut être, mais dans les rêves d'un chef de projet alors Tout ça pour dire que si l'interface SAP (celle qui gere le paiement CB) est peut être tombée pour des raisons qui n'ont rien à voir avec du hack (encore que ce petit malin de Lovsan ouvre tous les ports destinés à cet usage ) Et qu'il faut attendre avant de speculer dans le vide... Mais, encore une fois, ça n'excuse en rien le silence radio de GOA, personellement, pour bosser là dedans, je peux vous dire que c'est un merdier sans nom depuis 2 semaines, et qu'enormement de grosses boites ont été severement touchées, mais qu'elles, au moins, communiquent
|
|
27/08/2003, 08h26
|
|
[Einhs]
Alpha & Oméga
|
Y'a quand même un truc qui me trotte au sujet des infos que l'on donne à GOA lors de l'inscription:
le numéro de CB: ( ou de carte type visa/mastercard pour ceux qui ne sont pas français comme moi ). ils prétendent ne pas garder trace de ce numéro une fois la première transaction effectuée hors : quand on prends l'abo mois/mois la reconduction auto se fait sans qu'on doive ré-entrer ce num de cb et il est impossible de modifier soi-même le num de CB qui servira à payer l'abo. j'ai eu le cas: ma carte visa était à expiration, mon abo n'a pas été reconduit, j'ai reçus ma nouvelle visa avec un nouveau numéro et... impossible d'entrer le num de la nouvelle carte pour ré-activer mon abo... que bref, nos données bancaires sont-elles en sécurité chez goa?? même chose concernant les autres données persos: via la faq on peut modifier certaines données ( mail, adresse etc... ) mais sur un des deux site ( soit abo soit faq) on ne peut pas modifier certaines données. j'ai été confronté à ce cas : j'ai changé de provider donc de mail y'a un an. hors dans une des deux pages, il ne m'était pas possible de modifier l'adresse mail de contact. j'ai mail/faq goa plusieurs fois pour demander le changement de cette adresse ce qu'ils n'ont apparemment pas fait ( je me demande d'ailleurs si je vais recevoir ces nouveaux pass ?? ) donc, non contant de conserver ( apparemment ) des données sois disant non conservées ( CB), ils ne permettent pas à leurs clients de modifier leurs donnée quand besoins est. au final, en voulant être au top de la sécurité (question vol de compte) ils ont un système à mon sens qui pose plus de pbms qu'il n'en résout. pourquoi ne pas avoir un système comme AO ou le joueur décide de son loggin/pass comme un grand, qu'il le retient direct par coeur et ne le note nulle-part ou un "pirate" viendrait prendre ces infos??? |
|
27/08/2003, 08h43
|
|
Alpha & Oméga
|
@rorkh: Les virus arrivent sur les ordinateurs par un parasite... l'homme, or quand on a un serveur, il est rare, voir impossible qu'un technicien aille surfer tranquillou à partir de ce poste sur le net.
A priori, on a pu voir certaines captures de Prydwen (sur un autre post) où il y avait des bigs boss qui se baladaient un peu partout coté Albion. Meme si je trouve l'attitude des responsables de GOA déplorables en matière de communication, je pense néanmoins qu'ils n'ont pas arreté les serveurs par plaisir... Par contre, je pense que les affaires des clients GOA devraient prendre une autre tournure (association de consommateurs), nous sommes client, nous avons droit à un minimum de transparence et de message préventif... |
|
27/08/2003, 08h55
|
|
Oracle
|
Et bien prenez votre plus joli papier et votre beau stylo et écrivez.
Attendez pas que les choses changent en ecrivant sur JOL. |
|
27/08/2003, 09h10
|
|
Alpha & Oméga
|
Citation :
|
|
27/08/2003, 09h12
|
|
Bagnard
|
Citation :
chaque fois pour dire un truc idiot en plus |
|
27/08/2003, 09h17
|
|
Prophétesse
|
oula
Ca se voit que tu n'es pas dans le metier
Aucun system n'est fiable à 100 % et justement ils sont tres pro de tout changer et de se mettre a jour face aux attaques Aucun firewall au monde n'est fiable a 100 % et les pirates sont aussi des professionnels qui proviennent quelques fois des employes de societes informatique. Je pense qu'ils sont fait de leur mieux pour nous proteger et stop d'avoir peur pour votre carte bleue, vous croyez que goa est une banque, ouvrez vous yeux quoi ????  Les données banquaire et transaction sont soit effectue par une banque ou une societe spécialise. Goa effectue les transacations vous me faites rire vous avez quel age ???? |
|
27/08/2003, 09h26
|
| Suivre |
Connectés sur ce fil1 connecté (0 membre et 1 invité)
Afficher la liste détaillée des connectés
|