No to stało się. Pierwszy raz ktoś "włamał się" na moje konto.
Dołączyłem do jakiejś public game, gdzie od razu na start koleżka wyrażał dziwne zainteresowanie moim sprzętem. Pytał też ile gold mam aktualnie. Pograliśmy razem tylko 5min, po czym koleś znikł. Myślałem, że standardowo portnął się do wioski by się naprawić, kupić potionki etc. Po dalszych 2min nagle mnie rozłącza z komunikatem, że ktoś z innego komputera wbił się moje konto.
Wbiłem z powrotem, przy okazji (ALT+TAB) loguję się na konto do battlenetu by zmienić hasło. Udało mi się zalogować - niestety tuż potem przyszedł mail, że hasło zostało zmienione.
No to odzyskiwanie konta - trzeba podać trochę danych - dobrze, że pudełko z kodem miałem na biurku.
Odzyskane.
Zmiana hasła.
Wbijam się na konto.
Minęło zaledwie 3min i moja czarodziejka stoi goła i wesoła.
I tak:
Jestem dorosłym facetem, już dawno znudziło mi się klikanie na każdy link jaki widzę. Podobnie z mail-ami - przeważająca większość ląduje do kosza bez czytania - nie wiem kiedy ostatni raz kliknąłem na jakąś ofertę w spamie mailowym - nie pamiętam.
Komputer jest czysty.
Od czwartku - sprawdziłem historię przeglądarki internetowej byłem jedynie na oficjalnych dużych portalach w stylu gry-online, mmorpg, ebay, amazon, allegro, etc. Żadnych podejrzanych stron etc. Wcześniej nie chciało mi się sprawdzać.
Do tego to zainteresowanie moją postacią przez koleżkę z Public Game - i zaraz potem disconnect i kradzież...
Aktualnie czekam na rollbacka przez blizzard.
Nie wierzę w to co napisałeś.
ps. ja mam takie http://eu.blizzard.com/store/search.xml?q=authenticator
A ja mam takie coś:
https://play.google.com/store/apps/details?id=com.blizzard.bma
też nie wierzyłem. 10s straciłem na wpatrywanie się w ekran i napis że ktoś zalogował się na moje konto z innego komputera...
Kuzwa nie było szans - mimo, że od razu zareagowałem tak jak powinienem.. Gości musiało być conajmniej dwóch jeden wbijał się na konto - drugi zmieniał hasło przez www....
Jeszcze nie odzyskałem - czekam na rollback-a.
Tak authenticatora już sobie założyłem w iphonie. Ale kuzwa, mam konto w paypalu, mbanku, barclaysie, 10x innych mmorpg, amazonie, na niektórych kontach mam spore sumy pieniędzy i nigdy nie czułem się, że brakuje mi jakiegoś authenticatora do nich. Czułem się bezpiecznie do dzisiaj.
Druga strona medalu - to ten dziwny koleś z którym grałem przez ~5min. Zainteresowany sprzętem (o niczym innym nie gadaliśmy) - tylko skąd masz legendary wand-a, ile masz kasy etc. I potem nagle bah.. i ktoś włazi na moje konto jakby nigdy nic...
Jeżeli to przypadek to idę dzisiaj zagrać w totka - może dzisiaj taki przypadkowy mamy dzień ;)
gehenna ---> nie wierzę że goście włamali ci się w 5 minut po tym jak cię znaleźli. Myślę że rozmowa z przypadkowym graczem to jedno, a włamanie to coś zupełnie innego. Możesz mieć keylogera od miesięcy na swoim komputerze. To że ktoś interesuje się twoim sprzętem w D3 to całkowicie normalne zachowanie.
Większość wypadków włamań teog typu jakie widziałem to efekt klikania na fałszywe zaproszenia do bet i nieświadome instalowanie programów szpiegowskich, które czekają tygodniami na swoją chwilę.
No dobra - załóżmy, że mam keylogger-a którego nic nie wykrywa.
Od roku średnio na paypalu/amazonie mam kilkadziesiąt tysięcy złotych. Loguje się tam praktycznie codziennie. Dlaczego akurat diablo III?
Soulcatcher - nic takiego nie było. Spędziłem ze 20min przeglądając historię konta w chrome. A maili to ja większości nawet nie otwieram, jeżeli nie są z allegro/ebay/amazon.
bawienie się hacki/sracki, etc? To nie dla mnie. Ja mam 37lat, uwierz mi do tej pory nawet totalny debil by się nauczył, że na 99.99999% to co ściąga pod nazwą bigmoney1biliontoyourdiabloaccaunt.exe to w najlepszym wypadku zwykły wirus, a w najgorszym jakiś keylogger czy inne badziewie.
właśnie mi zrobili rollback-a.
Ale ciekawe czy złapią tych gości którzy sprzątnęli mi kasę i sprzęt. Bo sytuację opisałem dokładnie tak jak tu.
gehenna ---> to są automaty nie żywi ludzie.
Zdalnie dostają sygnał, dzisiaj kosimy diablo 3, jak się logujesz, zaczytuje twoje dane i wysyła je, automat loguje się na twoje konto, robi co ma zrobić, sekwencję kroków zaczynającą się od twojego hasła i znika.
Dlaczego Diablo 3? Bo łatwo, bo właściwie bezkarnie, bo nikomu nie chce się ścigać itd.
Interesujesz się MMOcRPG więc pewnie takiego keyloggera masz.
Zastanów się dobrze czy nie zalogowałeś się kiedyś (np na WWW do battle.net), kiedykolwiek na innym komputerze niż twój własny. Czy ktokolwiek ma dostęp do twojego komputera? Czy nie trzymasz hasła do battle.net w skrzynce pocztowej? Bardzo popularne są włamy na gmaila, autumat skanuje całą twoja pocztę i wybiera wszystko co ważne. Możesz nawet nie wiedzieć o takim włamaniu. Zastanów się czy nie używasz takich samych haseł na rożnych serwisach?
EDIT:
Keylogera możesz pobrać bez klikania w cokolwiek, wystarczy wejść na zakażoną stronę i już.
A znasz Nick tego kolesia :) jakbym znał to JEB do billza i mu BANa za taki wybryk.justice will prevail
Zastanów się dobrze czy nie zalogowałeś się kiedyś (np na WWW do battle.net), kiedykolwiek na innym komputerze niż twój własny.
nie.
Czy ktokolwiek ma dostęp do twojego komputera?
żona
Czy nie trzymasz hasła do battle.net w skrzynce pocztowej? Bardzo popularne są włamy na gmaila, autumat skanuje całą twoja pocztę i wybiera wszystko co ważne. Możesz nawet nie wiedzieć o takim włamaniu.
nie
Zastanów się czy nie używasz takich samych haseł na rożnych serwisach?
możliwe. Na szczęście tu miałem stare hasło.
EDIT:
Keylogera możesz pobrać bez klikania w cokolwiek, wystarczy wejść na zakażoną stronę i już.
tylko, że ja nie chodzę po takich stronach...
A najlepsze jest to:
własnie się zalogowałem i jakiś gostek pisze do mnie czy go okradłem. Bo jestem pierwszą osobą w recent players, ktoś mu się włamał na konto i stracił wszystko...
Jak się robi screeny z Diablo? Print Screen - paste do painta daje szary ekran...
Fraps. Nawet darmowa wersja pozwala na robienie nieograniczonej ilości screenów. Co prawda w BMP, ale przekonwertowanie tego masowo do jpg to chwila w IrfanView
A najbardziej żałosne jest to, że Blizzard planuje wprowadzić Real Money Auction House. Przecież jak takie sytuacje będą w dalszym ciągu się ponawiać, ludzie zaczną tracić real cash to się zesrają od pozwów...
Frapsa nie chce mi się instalować.
Na forach jest sporo podobnych przypadków.
Nie można wszystkich zrzucać na winę keyloggerów.
Popularna opinia mówi o podkradaniu sesji - szczególnie że problem dotknął graczy, którzy choć raz grali w publiczną grę.
Jak dla mnie to kuriozalne jest, że za grę, która kosztuje niemało (pomijam fakt że mam kolekcjonerkę) trzeba dodatkowo dorzucać zabezpieczenia typu authenticator (dlaczego nie dodają go od razu w pudełku z grą ? A co jeśli ktoś nie używa smartphona, na którym darmowa wersja authenticatora działa?).
Co ciekawe Blizzard zamiast zdwoić wysiłki w celu rozwiązania problemu - zaczyna zrzucać winę na samych graczy - no bo najprostsze wytłumaczenie to takie, że gracz miał keyloggera, podzielił się hasłem do konta itp.
A co jeśli hackerzy wykryli dziurę w architekturze gry i na razie zbierają fanty oczekując na uruchomienie domu aukcyjnego za prawdziwą kasę ?
Fajny ten authenticator z postu [4]. Jeszcze nigdy nikt mnie nie okradl online i prawdopodobnie nie bedzie mi sie chcialo za kazdym razem logowac sie uzywajac telefonu ale moze warto skoro tak piszecie. Czy ten mobilny authenticator jest calkowicie bezpieczny? Jakie dane trzeba wprowadzic do telefonu?
Mr.B-F --> Jest tak samo bezpieczny, jak standardowy. Z tą różnicą, że w telefonie jest większa szansa na stracenie go. A to nowe oprogramowanie wyjdzie do telefonu, albo telefon się uszkodzi, albo zostanie ukradziony...
Odzyskanie wtedy konta wymaga telefonicznego kontaktu z supportem Blizzarda.
Pół biedy, ze w przeciwieństwie do tokenu do SWTOR ten Blizzarda można odpiąć samodzielnie od konta podając kilka kolejnych wygenerowanych przez niego kodów. Więc jeżeli chcesz zmienić telefon, albo wgrać nowy soft to zawsze możesz odpiąć na chwile token od konta i przypiąć go później ponownie.
Narmo <--- Widze, że też masz SGS2 z ICS - jak robiłem update softu do ICS to zapomniałem go odpiąć (authenticator) i nic sie nie stało, jest nadal sprzężony poprawie z kontem battle.net.
A propos - od jakichs 2 miesięcy kiedy wróciłem do grania w gry blizzarda to ten authenticator jest przynajmniej u mnie wymagany dość sporadycznie. U Was też tak jest?
Wczoraj ktoś włamał mi się na konto jak grałem. Wylogowało mnie, gdy pojawiła się informacja, że ktoś zalogował się na moje konto na innym komputerze...
Udało mi się jeszcze raz przelogować, zobaczyłem że ktoś dodał znajomego na moim koncie, ale po chwili znów mnie wyrzuciło i straciłem wszystkie złoto.
Konto odzyskałem, pozmieniałem hasła i dodałem authenticatora z iOS - swoją drogą już go wcześniej zainstalowałem, ale stwierdziłem, że Blizzard to jest poważna firma i skoro Steam, banki czy inne moje konta są bezpieczne bez tego zabezpieczenie, to tym bardziej konto Battle.net biorąc pod uwagę ogromną popularność WoWa.
Przed chwilą dostałem rollbacka i prawdę mówiąc zrobił więcej szkody niż pożytku, bo cofnął mi szamana o 2 akty i 8 poziomów doświadczenia, a Mnicha o 2 questy na Inferno - a to boli bardziej, biorąc pod uwagę ile się męczyłem...
Na dobrą sprawę skradziono mi tylko 300 tys. złota i mam wrażenie, że ten rollback zrobił większą szkodę niż sama kradzież...
Oczywiście przeskanowałem dokładnie komputer i niczego podejrzanego nie było. Jeśli zaś chodzi o samo Diablo, to ostatnio próbowałem grać na publicznych grach na inferno, ale było tam bardzo dziwnie. Jacyś gracze pojawiali się i znikali po chwili.
Jest jeszcze możliwość, że mój mak ma jakieś robactwo, bo kilka razu uruchomiłem tam grę, żeby dom aukcyjny sprawdzić.
Czytając ten wątek jestem przerażony... Czyli już nic nie jest bezpieczne? A co z logowaniem do kont internetowych? Tak samo łatwo sie do nich dostac?
<------------
Soulcatcher:
Jestem w takim szoku, że zapomniałem o tym.
Może to nie w temacie Diablo ale moja przygoda z WoW skończyła się właśnie kradzieżą konta. Któregoś dnia po prostu nie byłem w stanie się zalogować i zdałem sobie sprawę z tego, że zostałem okradziony (zmieniono hasło). Od tamtej pory na Starcrafta mam włączone powiadomienia sms - chociaż nie wiem czy to pomoże...
Mack5 --> Ja przed i po aktualizacji zawsze robię wipe ustawień, bo miałem już przypadki, że po zmianie softu aplikacje nie działały jak trzeba.
np. tu jest całkiem spory zestaw ludzi którym wyczyszczono konta w Diablo 3 w ostatnich 12 godzinach.
http://eu.battle.net/d3/en/forum/topic/4551697523
wszystko wskazuje na to że ktoś potrafi korzystając z wbudowanych w grę mechanizmów, przejmować sesje innych graczy.
To naprawdę epicka porażka Blizzarda. 4
No to będzie niezły hate jak już nie ma.
Chociaż pewnie temu po ME 3 nie dorówna.
ten post jest fajny :)
I have the text system and authenticator and still got hacked and i havent played it in a few days... bought nothing from auction house and never use public games. So i spent £8.99 on an item that is useless to me and its great getting a text saying. "This is blizzard informing you your password has been changed".... 3 seconds later "this is blizzard informing you your email address has been changed".... 2 seconds later "this is blizzard informing you that you will no longer recieve messages to this number as it has been changed." i mean seriously in less than 10 seconds a whole account is changed. stupid. To make matters worse i get a reply from blizzard saying... please read our security section on the forums to help make your account more secure. LIKE WTF? you kidding me? thats all you guys can say? read a page that i already know and have taken them measures and still get hacked.... FYI blizzard with all the advice you give and players still get hacked NEWS FLASH FIX YOUR GAME. This should have been resolved and prepared for in closed beta, these kinda stupid issues shouldnt exist in such a new game that has so many huge games backing it. Learn from experience guys... sheeesh. Oh and blizzards way of making the servers even more secure.... 4 maintenance (over exhagerated) each day for 4-5 hours each. Payed $80 for this i could play ragnarock and have half these issues...
Na szczęście fanem diablo III , nie jestem ale to chyba fail tysiąclecia do tej pory takiego buga to chyba w żadnej grze nie było z przejmowaniem sesji graczy online. "KONGRATULEJSZYN" Blizzard utwierdza mnie w przekonaniu , że dobrze zrobiłem nie dając się wzbogacić im moimi 200 zł.
Gram sobie w wolnym czasie, a tu człowiek wchodzi i słyszy o masowym włamywaniu na konta, łupieniu itemów i golda, wszystko dla przejścia tego inferno. Niezłe ciśnienie niektórzy mają, zwłaszcza że to nie żadne mmo, a zwykły singiel z co-op'em na parę przejść.
To ja może zadam pytanie na temat Authenticatora. Czy jest on tylko dostępny do kupna w sklepie wysyłkowym Blizzarda czy można go gdzieś kupić w sklepach w Polsce ? 40 zł mogę zainwestować aby później nie płakać :P
Czy jest on tylko dostępny do kupna w sklepie wysyłkowym Blizzarda czy można go gdzieś kupić w sklepach w Polsce ?
Authenticatora widziałem w empiku za 39,90 zł.
40zł za bezpieczeństwo danych związane z wprowadzonym na silę (i źle przetestowanym) systemem uwierzytelniania graczy online. I ludzie (muszą) to kupują. Mistrzostwo :)
Jakiekolwiek bronienie tego bandyctwa w biały dzień musi pozostać bez komentarza.
Ludzie to jednak są dziwni. Firma olewa ich problemy, a oni kupują urządzenie za 10 euro (dając tym samym zarobić tej firmie), które uwaga... i tak nie działa! Jesteście prześmieszni;)
Całujecie nogę, która was po dupie kopie...
Jawna kpina z ludzi. Gra za 200zl, ktora do funkcjonowania wymaga stalego polaczenia z siecia i jeszcze wyciagaja tluste lapy po dodatkowe $$ za jakies tokeny. Cuda sie zaczna jak otworza w koncu ten system aukcji za prawdziwa kase..
Może mi ktoś wyjaśnić, dlaczego ten Authenticator nie jest dodawany do pudełkowej wersji gry ?
.:Jj:. ---> dla mnie to nic dziwnego, mam autentykatory do battle.net, SOE (np. EQ2) i do SWTOR.
Jak inwestuję swój czas w postać, często przez lata to chcę mieć pewność ze ktoś mi tego nie zniszczy.
Zresztą masz napisane powyżej że są elektroniczne darmowe wersje tych authenticatorów na telefony.
Może mi ktoś wyjaśnić, dlaczego ten Authenticator nie jest dodawany do pudełkowej wersji gry ?
bo lemingi i tak kupią to czemu pozbawiać się zysku?
Soul=> Zresztą masz napisane powyżej że są elektroniczne darmowe wersje tych authenticatorów na telefony.
Właśnie chciałem to napisać. Ta opcja jest normalna i zrozumiała. Środkami uwierzytelniania powinien być telefon i mail. W dwóch bankach mam uwierzytelnianie telefonem i mimo dwukrotnej zmiany numeru nigdy nic mi się nie stało.
W każdym razie w tym temacie chyba chodzi o to że mimo środków ostrożności i tak traci się wszystko. Moja poprzednia uwaga dotyczyła faktu że za ten gadżet jeszcze się płaci.
misiek345 ---> Authenticator nie jest najczęściej do gry tylko do konta (usługi). Nie musisz z niego korzystać. Możesz używać wersji elektronicznej, coś takiego jak w banku. Poziom bezpieczeństwa jest praktycznie taki sam.
Nie musisz za to płacić.
Nie czuję się, jak to napisałeś lemingiem, i wydatek raz na kilka lat w wysokości 10 euro nie jest dla mnie problemem.
Jak nie masz pieniędzy graj w darmowe gry.
Narmo
Z tą różnicą, że w telefonie jest większa szansa na stracenie go. A to nowe oprogramowanie wyjdzie do telefonu, albo telefon się uszkodzi, albo zostanie ukradziony...
Odzyskanie wtedy konta wymaga telefonicznego kontaktu z supportem Blizzarda.
Nieprawda. Wymieniałem jakiś czas temu telefon i zapomniałem odpiąć authenticator. Mail do supportu, podanie danych i skanu dowodu - zrobione. Więc nigdzie dzwonić nie trzeba.
Jak nie masz pieniędzy graj w darmowe gry.
jak to sie ma do tego co napisałem bo nie ogarniam?
Tak chętnie wydajesz swoje pieniądze na błędy blizza? Zresztą nic mnie nie obchodzi co robisz z pieniędzmi, ale to ty wystrzeliłeś z tym zdaniem z dupy..
W ogole o jakiej skali zjawiska mowimy? Przejrzalem teraz support forum na bnecie i owszem, widac ludzi z utraconymi kontami, ale zeby mowic, ze jest to zjawisko masowe to nie bardzo.
A poki nie pojawia sie jakies dowody, ze to blizzard skrewil (czego tez nie wykluczam) uwazam, ze duzo prostszym, a co za tym idzie duzo bardziej prawdopobnym rozwiazaniem jest to, ze to userzy sa odpowiedzialni za brak rozsadnej polityki bezpieczenstwa swoich hasel.
misiek345 --->
"Jak nie masz pieniędzy graj w darmowe gry."
To taka rada, resztę napisałem ci powyżej. Authenticator elektroniczny rozdawany jest za darmo, więc to wyjątkowo słaby sposób na zarabianie pieniędzy.
Soulcatcher ->
Zrozum że nie każdy chce/może korzystać z takiego nawet darmowego authenticatora - np. z prozaicznego powodu, że na jego telefonie to po prostu może nie działać.
Po drugie kwestie poruszane szeroko w wątkach o masowym okradaniu kont Diablo 3 (nie KRADZIEŻY kont ale OKRADANIU)
Blizzard powinien był od początku uprzedzać że authenticator jest niezbędny.
Dali mocno ciała z zabezpieczeniem (nazwijmy to bolączką wieku niemowlęcego tej gry) i do tej pory nie potrafią rozwiązać problemu. Ba - nie potrafią się już do tego przyznać.
r_ADM - masowo to teraz może nie jest, ale wygląda na próbkowanie przed wprowadzeniem RMAH. Zobaczymy co wtedy zacznie się dziać...
YogiYogi ---> mam w nosie co mówi i robi Blizzard, mogę się tylko podzielić moja wiedzą na temat bezpieczeństwa, co z nią zrobisz twoja sprawa.
ale wygląda na próbkowanie przed wprowadzeniem RMAH
Gdyby tak bylo to przejeliby 5 kont, zeby sprawdzic czy dziala i czekali na otwarcie RMAH.
Soulcatcher -> Nic nie zrobię bo nie rozumiem co chciałeś przekazać w tej wypowiedzi.
Równie dobrze mogłeś odpowiedzieć komuś w dość charakterystycznym jak na to forum stylu - "jak jesteś biedakiem, którego nie stać na smartfona na którym działa authenticator to graj w darmowe gry"...
Z uwagi na prace zawodową związaną z tworzeniem systemów IT - w tym dla banków i innych instytucji, w których bezpieczeństwo jest priorytetem - mógłbym napisać że "mam w nosie" czyjąś wiedzę i porady na temat bezpieczeństwa bo coś tam chyba o tym wiem, ale nie napiszę ;)
Problem jest szerszy i dotyczy pewnego podejścia twórców gier do konsumenta jakim są gracze.
Powoli rynek się przekształca i powstają trendy, które niekoniecznie są dobre dla graczy.
Np. fakt że gry single-player wymagają ciągłego podłączenia do sieci.
Albo ceny gier na PC są zrównywane z cenami gier na konsole (a nie odwrotnie).
Albo DLC i mikrotransakcje, które jak pokazują przykłady sporych gier - gdzie DLC było już na starcie ukryte w podstawowej wersji gry - mają na celu tylko zwiększenie zysku producentów.
Załóżmy że teraz jakiś młody człowiek wydał ciężko zarobione pieniądze na gre Diablo 3.
Jakoś przetrwał pierwsze 2 tygodnie problemów z połączeniem, autentykacją i wciągnął się w grę.
I nagle - jebudu... znika mu ekwipunek, kasa itd.
Można teraz próbować reklamować grę - Ty pewnie nie próbowałeś - ja kiedyś tak, strasznie upierdliwa procedura.
r_ADM -> niekoniecznie, zawsze znajdzie się ktoś, kto nie wytrzyma :) i pochwali się dalej, albo będzie sobie już zbierał fanty na sprzedaż
Jeśli rozwiązanie hakerskie działa w oparciu o przejęcie sesji (a informacja o tym że mają dostęp do ostatniej postaci na to wskazują) to autentykator nic nie da. Bo autentykator zabezpiecza tylko przy logowaniu.
graf_0 ---> Tu nie chodzi tylko o przejęcie sesji samej gry. Zmieniane są także hasło, e-mail kontaktowy, dane kontaktowe - a to wymaga zalogowania się do konta. A do tego już musisz mieć autentykator - za każdym razem.
[58]
Zalezy od sposobu wlamu. Jesli ktos ci podpieprzyl haslo do konta (albo miales haslo w stylu dupa123) to rzeczywiscie moga zmienic ci passa i zabrac cale konto. W niektorych przypadkach ogolocona zostaje jedna postac+skrzynka a reszta zostaje nietknieta. To jest wlasnie przypadek w ktorym mowiono o przejeciu ID sesji. W pierwszym przypadku wina jest zazwyczaj usera: albo za slabe haslo, albo keylogger. W drugim przypadku prawdopodobnie wina lezy po stronie blizza.
Bo autentykator zabezpiecza tylko przy logowaniu.
W SWTOR jest jeszcze lepiej. Jeżeli zostaniesz rozłączony z serwerem (Neostrada i upłynie czas dzierżawy danego adresu IP na przykład), to nie zostaniesz wywalony całkowicie z gry. Aplikacja jest cały czas włączona. Nie trzeba się ponownie logować ani nic takiego, bo to robisz tylko przy launcherze. Jak już otworzysz grę to nie musisz już nigdy wpisywać ani loginu i hasła, ani cyferek z tokena. Nawet, jeżeli zmieniło się IP. Nie testowałem, jak długo to działa, ale miałem już przypadki, że zostawiłem włączoną grę, w międzyczasie nastąpiło rozłączenie i zmiana IP, a ja po 2 godzinach wracałem do domu i mogłem wybrać serwer, potem swoją postać i grać bez ponownego logowania się.
W WoW jak coś takiego nastąpiło to zawsze musiałem się ponownie logować.
Asmodeusz - takie zarzekanie się - keylogger, phishing etc. Prawdopodobnie gdyby ktoś inny padł ofiarą takiego ogołocenia konta też pisałbym podobne rzeczy.
Problem w tym, że ja nie mam keyloggera na kompie, nie dostałem żadnego mail-a, nic nie ściągałem nic nie uruchamiałem na moim kompie.
A tu bach i ludziki znają login/password do mojego konta.
Coś jest nie halo u blizza i tyle - co zresztą potwierdza fakt, że konta na Mac-u też są hakowane w identyczny sposób. A tam raczej nie uruchomi się windowsowski keylogger.
Nie wierz w zadne keyloggery itp, to problem Blizzarda. Na youtube sa/byly filmy z takimi przypadkami, mozna zobaczyc 'na zywo' caly proces.
Ja mysle, ze to (tak jak pisal graf_0) przejmowanie sesji, bo z tego co poszkodowani pisza, to zawsze ostatnia postac jest ogolocona z rzeczy.
Jedyna rada to nie dolaczac do gier publicznych.
[62]
Nie dolaczalem do gier publicznych od tygodnia, konto ogolocone dzisiaj :)
No cóż gra bazująca na itemach + auction house na realna kase : czy potrzeba większej zachęty dla profesjonalnych hakerów...
Tak swoja droga MEGA FAIL Blizzarda że nie zabezpieczył tego lepiej. Za takie coś mogą stracić dobra opinie budowana latami. Nie mówiąc o załamaniu sprzedaży Diablo.
konta na Mac-u też są hakowane w identyczny sposób. A tam raczej nie uruchomi się windowsowski keylogger.
Windowsowy raczej nie, ale makowy jak najbardziej. Mac OS X wymaga co prawda trochę więcej wysiłku, aby się na niego włamać z racji tego, że jest systemem UNIXowym, ale z drugiej strony użytkownicy tego systemu nie korzystają z antywirusów, bo Apple wręcz twierdzi, że takie narzędzia są zbyteczne.
Niedawno był jakiś wirus/trojan, który zainfekował sporą liczbę maków. Zatem narzędzia do zdobywania haseł z gier Blizzarda mogą jak najbardziej istnieć. Wszak, maki są popularnymi komputerami w USA i sporo graczy gra w nie na makach.
Sam zastanawiam się, czy włamanie na moje konto mogło wynikać z logowania się na moim maku...
Ja obstawiam, ze po prostu gry publiczne lacza sie ze soba nie tylko poprzez serwer, badz tez serwer w jakis sposob udostepnia/pozostawia niezabezpieczone detale transakcji z pozostalymi grami.
keylogger to raczej bardzo malo prawdopodobna opcja, po pierwsze, jezeli nawet jakis bylby "uspiony" i czekal, to normalnym byloby uzycie go w momencie wejscia transakcji finansowych, to musi byc cos duzo prostszego.
Teraz sie tak zastanawiam, bo mam tylko dwie osoby z gry publicznej (jedyne z jakimi gralem) widoczne caly czas, moze w tym jest problem, da sie tych ludzi usunac?
Ja nie placze, bo support mi to odda. Jedynie kwestia: kiedy. Dzisiaj dzwonilem do nich, niby mieli przekazac do GMa ale dam im spokoj bo jest weekend - mozliwe ze maja od cholery roboty. Jesli jutro nie bedzie jednak naprawione bede ich dalej meczyl. A co stracilem? Hmmm... moze byc z 10-15mil golda (wlacznie z wartoscia sprzetu oczywiscie). Sama bron to 1 z hakiem + 1,6 w gotowce + set ring 2mil + sprzet na postaci ktory tez po 0,8-1mil moglby schodzic. O well, dont care. Tylko tyle ze grac nie moge teraz bo i tak wszystko zostanie zresetowane.
ak się robi screeny z Diablo? Print Screen - paste do painta daje szary ekran...
Print Screen sam w sobie zapisuje screena do katalogu Diablo 3 w moje dokumenty, nic nie musisz wklejac nigdzie.
Więc jeżeli chcesz zmienić telefon, albo wgrać nowy soft to zawsze możesz odpiąć na chwile token od konta i przypiąć go później ponownie.
Nic nie trzeba odpinac, Authenticator od paru wersji wstecz ma opcje backup, pozwalajaca spisac jego ID oraz klucz, przez co mozna go bez problemu przywrocic do stanu identycznego jak pierwotny. Mozna nawet miec ten sam token rownolegle na kilkua urzadzeniach.
Chgw, tego juz nie wiem - moze na slepo lecieli? Kumplowi tez ktos sie wbil na konto a on mial postac... hmm... 20 level czy cos kolo tego.
Nie wiem tez czy mozna sprawdzac kolesi z listy "recently played" bo mialem tam jakigos chinola/koreanca (2 dziwne znaczki zamiast xywy) - pewnie ze 2 tygodnie temu jak jeszcze bawilem sie w puby spotkalem go przelotem. Moze to jego wina? ;p
Niezłe jaja :]
Wychodzi na to, że to Blizzard ma jakiś przeciek albo dziurę w systemie, bo to byłby zbieg okoliczności, iż nagle tylu ludzi z gola traci "dobytek".
Raczej zbieg okolicznosci. Weekend = wiecej ludzi gra = wiecej ludzi traci.
Asmodeusz - w moim przypadku support blizza zmieścił się w 3h od wysłania ticketu.
Co prawda trochę z tym rollbackiem przesadzili - bo cofnęli raczej do wczoraj wieczorem.
No i nie oddają tego co w międzyczasie się sprzedało na aukcji. Ogólnie więc byłem pół dnia grania w plery i jakieś 100k z AH ;)
Mnie zhackowali 10 dnia po premierze gry. Na szczęście nic nie straciłem, prawdopodobnie dlatego, że szybko się zalogowałem ponownie, a nie bawili się w zmianę hasła na stronie blizza. A byłem wtedy na hellu i trochę stuffu i golda miałem.
[76]
No to u mnie sie troche z tym pieprza bo ticket wisi juz 12 godzin a dzwonilem do nich jakies 11h temu. O well, do jutra.
Niezła ironia losu ze Diablo III jest grywalne wyłącznie online ze względów "bezpieczeństwa" ...
Asmodeusz, miales authenticatora? Ja go dzisiaj zalozylem, "przerazony" tym tematem. Mam nadzieje, ze cos pomoze:|
ni, dopiero teraz zaloze na jakims smiesznym emulatorze, ktory nie wiem nawet jak dziala - ale najpierw niech rollbacka zrobia
Soul jest na garnuszku Blizzardu w PR?
dzisiaj kolega z mmorpg.pl też został wyczyszczony. To już raczej nie są pojedyńcze przypadki....
Myślę, że kolejnym krokiem w polityce DRM Blizzarda powinien być wymóg posiadania kamerki internetowej i nadawania z niej obrazu za każdym razem, gdy grasz. No i obowiązkowa autoryzacja telefoniczna + podanie podczas rejestracji ulubionego koloru skarpetek. Brawo Blizz - tyle lat tworzenia gry i kompromitacja systemu zabezpieczeń już po 3 tygodniach od premiery.
chcialbym zeby ten caly ich system aukcyjny szlag trafil, to bym sie smial. :P
oczywiscie ze ten wymuszony online jest tylko dla gotowkowych tranzakcji na ah, chyba nikt nie wierzyl w to pitolenie ze to dla bezpieczenstwa graczy.
chyba nikt nie wierzyl w to pitolenie ze to dla bezpieczenstwa graczy
oczywiscie ze ten wymuszony online jest tylko dla przechowywania postaci na serwerach, chyba nikt nie wierzyl w to pitolenie ze to dla gotowkowych tranzakcji na ah.
[2] Nie wierzę w to co napisałeś.
[27] To naprawdę epicka porażka Blizzarda.
Szybko zmieniasz zdanie.
Porażką B. jest tylko brak rzeletnych informacji na temat tego jak dochodzi do przejęcia kont.
Jeśli battle.net authenticator jest w 100 % bezpieczny to wina musi leżeć po stronie użytkownika: użycie tego samego hasła w innych grach, portalach czy forach, keylogger - może i obecnie mamy czysty system, ale dane mogły zostać przejęte na długo przed tym zanim kupiliśmy Diablo 3 (zapewne większość nabywców D3 posiadało już wcześniej inne gry od B i swój klucz aktywowało na tym samym koncie co reszta tytułów).
Jest też jeszcze jedna kwestia:
Jeżeli używasz tokena Battle.net Authenticator (mamy nadzieję, że tak!), to niedługo zapewne zauważysz, że żądanie wpisania kodu nie będzie się już pojawiać przy każdym loginie. Powodem tego będą ulepszenia, które wprowadziliśmy w naszym systemie zabezpieczenia kont hasłem generowanym elektronicznie. Dzięki nim, w inteligentny sposób śledzi on teraz miejsca, z których się logujesz i możliwe, że nie zażąda od ciebie wprowadzenia kodu, jeśli konsekwentnie się one powtarzają. Wprowadziliśmy tę zmianę, aby korzystanie z tokena Battle.net Authenticator stało się mniej uciążliwe, kiedy mamy pewność, że na twoje konto loguje się właściwa osoba, oferując dalej ten sam poziom zabezpieczeń.
I niestety w tym momencie cały sens posiadania battle.net authenticator znika.
[91] Szkoda mi marnować czas na dyskusję z Tobą. Twoje ostatnie wpisy na tym forum pokazują, że jest to bezcelowe.
Stereo ---> zabawny człowieku a w czym moje dwie wypowiedzi przeczą sobie, bo chyba nic nie zrozumiałeś?
I niestety w tym momencie cały sens posiadania battle.net authenticator znika
Ależ absolutnie nie znika. Autentykator jest bardzo skutecznym zabezpieczeniem, jeżeli w ogóle ktoś przechodzi przez logowanie.
Problem w tym, że podczas przechwytywania sesji (co jest bardzo możliwe, wnioskując po tym co piszą ludzie) autentykator nie jest zupełnie w niczym potrzebny.
oho, dobrze że nie kupiłem diabolo 3 :) a po tym wątku ochota jakoś przechodzi...
Zastanawiam się ile jest tych przypadków. Ilu jest faktycznych hakerów - czy to jedna grupa, czy może gdzieś podziemiami internetu rozwiązanie się rozpowszechniło i jest używane przez wiele osób...
Druga sprawa - podobno Blizz ograniczył w ostatnich dniach możliwości AH, nie wszystkim można handlować, ktoś może potwierdzić?
yakuz -- Oczywiście, że ja wierzę, że to między innymi dla bezpieczeństwa, choć oczywiście nie jest to główny powód.
Ludzie byli robieni na szaro przez różnych internetowych oszustów w D2, dzisiaj (czytaj jutro) mogą kupować za pieniądze ekwipunek całkowicie legalnie i bezpiecznie. To jak najbardziej ma znaczenie dla tych, których stać na taką formę zdobywania itemów.
I wyjaśnij, co wymuszony online ma do aukcji real cash. To nie ma związku. Grać można offline i kupować itemy za real cash online.
Druga sprawa - podobno Blizz ograniczył w ostatnich dniach możliwości AH, nie wszystkim można handlować, ktoś może potwierdzić?
O ile dobrze zauważyłem, to wszystkich przedmiotów kupowanych na sztuki nie można kupować/sprzedawać (klejnoty, karty kowalstwa itp.).
To nie ma związku. Grać można offline i kupować itemy za real cash online.
Skopiuj sejwa -> sprzedaj item -> wczytaj kopię -> repeat. A to tylko pierwszy "trik", który przyjdzie do głowy dzieciakowi, który jest w podstawówce. Nie widzę opcji grania offline i sprzedawania itemów za rl kasę ;).
Skopiuj sejwa -> sprzedaj item -> wczytaj kopię -> repeat. A to tylko pierwszy "trik", który przyjdzie do głowy dzieciakowi, który jest w podstawówce. Nie widzę opcji grania offline i sprzedawania itemów za rl kasę ;).
Może trochę skomplikowane w wykonaniu, ale nie niemożliwe:
Każdy item może mieć swój unikalny numer, tak jak zwykły banknot. Serwer zapisuje kto ma jakie itemy oraz transakcje nimi dokonane. Jeśli sprzedasz dany item, transakcja zostanie zapisana, zalogujesz się ponownie z wcześniejszym zapisem, system będzie mógł odrzucić dany item jeśli zobaczy, że go znów masz, mimo że już go sprzedałeś.
[97]
Jest to niemozliwe. Jesli grasz offline = mozesz operowac na plikach obecnych na swoim dysku. Nic nie stoi na przeszkodzie abys zduplikowal istniejacy przedmiot i dodal do niego nowe ID, czy zmienial ID przedmiotu za kazdym polaczeniem. Tak samo odpada mozliwosc grania single i tylko kupowania rzeczy z AH - gdyz zloto na singlu mozna byloby pomnazac.
Jedyna mozliwosc to gra single ZUPELNIE odcieta od multi. jesli chcesz cos kupic na AH dla postaci single to tylko za pomoca realnej kasy (ewentualnie kasy wyfarmionej przez postac multi-only) i tenze przedmiot po przeniesieniu na postac single znika z rotacji i nigdy nie moze powrocic na AH. To byloby wykonalne bez wiekszych problemow. Blizzowi po prostu nie chcialo sie kombinowac i lepiej bylo wszystkich ograniczyc do multi.
Tuminure - tak jak mowisz
swego czasu na ps3 tak sie bawili w GT5, sprzedawali ten najszybszy samochod na allegro...
ja sam go odblokowalem w B-spec i podarowalem chyba z 3 osobom wlasnie dzieki kopii...
Stereo ---> "I niestety w tym momencie cały sens posiadania battle.net authenticator znika." - Co za brednie. Próbowałem tego kiedyś z czystej ciekawości. I fakt, że jak się loguję z tego samego kompa, to marudzi o Authenticator tylko co parę dni, ale jeżeli się próbuję logować z innego kompa (nawet na tym samym zewn. IP - sieć domowa), to natychmiast wrzeszczy o Authenticator. Nawet jeżeli w przeciągu kilkunastu minut się loguję raz z jednego, raz z drugiego kompa (i tak kilka razy - sprawdziłem to na czterech "kolejkach"), to za każdym razem musiałem wpisywać numerek.
Brak potrzeby wpisywania numerka jest tylko i wyłącznie wtedy, gdy się logujesz z tego samego kompa.
W dodatku brak potrzeby wpisywania numerka nie odnosi się do logowania do Account Management - tu musisz się autoryzować ZA KAŻDYM razem.
Jedno jest pewne - coś jest w blizzardzie spierdzielone, ze pozwala wywalić zalogowanego gracza bo loguje się z innego IP.
No przecież w 90% to będzie włam :D
Po przeczytaniu prawie całego wątku takie Gry jak diablo 2, duke nukem itp. Nie powinny mieć kontynuacji. Bo nie dość że się czeka na coś 10 lat ( a są tacy co czekają ), to potem sam efekt jest rozczarowujący i nie spełnia wymagań. A dodatkowo takie ruchy na gorsze w stylu wymaganie ciągłego połączenia czy ograniczenie liczby graczy ( no i 200 zł za taki sex), to jawna kpina. I w sumie oprócz kasy to nie widze w tym żadnego celu.
Btw. Coraz bardziej doceniam jak na tle tego syfu wybija się CDP Red ze swoją polityką.
Jestem ciekawy jak się sprawa rozwinie.
Bo opcje są dwie
1) hakerzy włamują się za pomocą loginu i hasła zdobytego dzięki głupocie użytkowników (taaaa, jasne :D )
2) hakerzy mogą przejąć kontrolę nad kontem bez logowania się za pomocą loginu i hasła (i na to wygląda)
Ale teraz najlepsze.
Jeśli autentykator zabezpiecza przed wypadkiem numer 2, to znaczy że standardy bezpieczeństwa pisał idiota, co więcej, taki który nie potrafi się do tego przyznać. Bo wystarczyłoby zrobić jakieś dodatkowe wymaganie w momencie gdy zmienia się IP użytkownika - WYMUSIĆ login ręczny, raptem kilka linii kodu, i po problemie. Bo teoria jest taka że z autentykatorem nie da się przejąć zdalnie konta. No, ale jest też opcja że autentykator nie pomaga na taki włam... :D
Ale ciekawie.
graf_0 - generalnie to authenticator wymusza ponowne podanie kodu przy zmianie IP, jednak nie wiem jak to sie ma do rzekomych przejmowan sesji. Kiedys w plemionach (gra przegladarkowa) zobaczylem ze nr sesji byl zapisany w linku, poslalem go z ciekawosci znajomemu i klikajac go przenioslo go na odpowiednia strone mojego konta, zreszta to samo masz na forach phpbb, wlasnie to sprawdzilem i samym linkiem uzyskuje dostep do konta.
Każdy item może mieć swój unikalny numer, tak jak zwykły banknot. Serwer zapisuje kto ma jakie itemy oraz transakcje nimi dokonane. Jeśli sprzedasz dany item, transakcja zostanie zapisana, zalogujesz się ponownie z wcześniejszym zapisem, system będzie mógł odrzucić dany item jeśli zobaczy, że go znów masz, mimo że już go sprzedałeś.
Przypuszczając nawet, że to co piszesz mogłoby wejść w życie (a nie może, bo nie byłoby zbyt wielkiego problemu, aby odpowiednio spreparować plik z zapisem gry), to wyobraź sobie jak wiele (unikalnych) identyfikatorów musiałoby być generowanych codziennie. Ile to się sztuk sprzedało? 5mln? Jeżeli każdy odpaliłby grę na 5 minut (i znalazł 10 przedmiotów), to musiałoby być 50 mln unikalnych id. A uwierz mi, że zapewne jakieś 99% właścicieli diablo pograła dłużej niż 5 minut, a drop jest większy niż 2 itemy/minutę ;). Do tego jeszcze dochodzi sprawa - jak robić, aby każdy z przedmiotów u różnych graczy miał różne id? Pomysł kulawy - bardzo.
Moim zdaniem jest niemożliwym umożliwić grania tą samą postacią (z tymi samymi przedmiotami, kasą) przez internet oraz bez połączenia z inernetem.
No i wystarczy spojrzeć na to z drugiej strony. Taniej, łatwiej, szybciej jest zrobić jeden tryb gry (multi), zamiast dwóch osobnych (single i multi). Tu już nawet nie rozchodzi się o bezpieczeństwo, czy jakieś korzyści płynące z gry przez internet.
I w sumie oprócz kasy to nie widze w tym żadnego celu.
A jaki jest cel kolejnych Call of Duty, Asasynów i Mass effectów? Głębsze przesłanie? Nawrócenie? Usatysfakcjonowanie graczy?
Tuminure -->
http://en.wikipedia.org/wiki/Universally_unique_identifier
http://en.wikipedia.org/wiki/Globally_unique_identifier
Tak tylko w kwestii technicznej.
r_ADM --> Patrzyłem. I co w związku z tym? Idea tokenów jest zawsze taka sama. One nie łącza się z serwerami Blizzarda, Bioware, czy banku w celu pobrania kodu, ale generują go wewnętrznie na podstawie wbudowanego zegara, numeru seryjnego i odpowiedniego algorytmu. Więc teoretycznie znając timestamp wygenerowania danego kodu, oraz sam kod można poznać numer seryjny urządzenia, a co za tym idzie sklonować jego działanie.
Chciałem tylko pokazać, że nawet posiadanie tych urządzeń nie daje 100% zabezpieczenia.
Gosh, Mark24 wybył z Gola w niesławie i powraca z nową ksywką.
A idz w cholerę
Myślałem że takie rzeczy to tylko w grach mmorpg typu metin 2,a tu nawet w takiej drogiej grze kradną eq.
Muszę się poważnie zastanowić nad kupnem ;/
@up
Mnie za to dziwi, że ktoś w ogóle gra w takie gry mmorpg typu metin 2 (a co dopiero kradnie tam eq) :P.
I po tym co tu przeczytałem, wiem na pewno że Diablo nie kupie. Już wole czekać aż pliki blizzarda wyciekną i zrobią emulator czy jakkolwiek to miało by się nazywać.
JohnD0e -- No no, super pomysł, wtedy będziesz okradany na serwerach emulowanych, z jeszcze większym prawdopodobieństwem.
Jaja to będą jak Soulowi dojadą konto. Ciekawe co wtedy powie.
Ale będę miał 200 zł do przodu. Z resztą emulator serwera będzie działał offline jak single player, tak samo jak emulator bety.
Tuminare - można zidentyfikować każdy przedmiot wytworzony w grze to nie będzie aż taki problem i jestem niemal pewien że w DIII każdy item magiczny ma swój indywidualny numer.
Gorzej ze złotem i/lub konsumablami czyli np. papierami do nauki czy surowcami. To są przedmioty trzymane przez userów masowo i im z założenia by się indywidualnych numerów nie dawało. I tu powstawałaby nowa kopiowana kasa.
Zresztą podejrzewam że akutalny brak konsumabli na AH w diablo moze wynikać z problemu z hackerami - bo nie da się ogarnąć przebiegu kradzionej kasy.
A jeśli autentykator zabezpiecza przed kradzieżą sesji (bo wymusza login przy zmianie IP) to dokładnie to samo możnaby zrobić bez autentykatora.
Mnie za to dziwi, że ktoś w ogóle gra w takie gry mmorpg typu metin 2 (a co dopiero kradnie tam eq) :P.
Zdziwiłbyś się ile ludzi w to gra/grało ( sam też dość długo grałem),teraz raczej ludzie mądrzeją i kończą . (chyba).
Więc teoretycznie znając timestamp wygenerowania danego kodu, oraz sam kod można poznać numer seryjny urządzenia, a co za tym idzie sklonować jego działanie.
No, a znajac kod do sejfu mozna go otworzyc, nie nazwalbym jednak tego wlamaniem tak jak odtworzenia tokena po numerze seryjnym nie nawalbym shackowaniem.