帐号被盗亲历,感触分享
最近,耳闻好多玩家的街球帐号被盗,听说只要知道帐号就可以盗取玩家密码,当时听起来很玄。但至从经历昨晚的盗号事件,我改变了这种看法 。 事情经过如下: 昨晚,我在淘宝上买木乃伊,因为商城限制,只能通过1宝石收购的手段购买,因为是小号,没有去过商城,因此先去商城建了店铺,倒了宝石 ,但我疏忽了一点,就是建的店铺,后缀用的是自己的游戏帐号。因为多年的网络经验,让我对透露帐号不以为然。结果在我成功收购套装后 ,将钱打给卖家,几乎同时,我就登录不进游戏了。我小心的试了几次密码都不对,我就猜到,基本是被盗了。 然后我就到网站观察仓库内道具变更记录(刚才收购套装登录过,没有关闭,所以可以直接访问),因为是小号,只充过30块钱,买了科比扣 ,还剩下1700多点卷,此人就去玩小猪机等游戏,仓库内进了好多奖品和积分什么的。 然后我修改了密码,发现仓库内进商品的行为停止了。于是,我试图登录游戏,但还是失败。接着我再回到网站,发现仓库内进奖品的行为又 开始了。我知道,此人盗取知道的绝不是我的密码,而是安全码。 最后,此人花光了我帐号内的点卷,将我仓库里的奖品全部转移,这次盗号事件才短暂平息,但我知道,他还会再来,所以我会提前删号,不再给他机 会。 由于本人网龄近十年,玩过无数网游,对一些盗号手法有些了解,也曾研究过网黑攻防技术,对于维护帐号信息安全有些心得,自己的网络帐 号密码(QQ、MSN、网银、公司密码、游戏密码)从不向别人透露,也从来没有被盗过。但这次的盗号事件,还是让我感触颇多。 首先,我这次丢号,不是由于木马发作所为。 1、我定期杀毒杀马,预防到位,并且不乱访问链接。 2、从行为上看,盗号者可以频繁快速的修改我的密码,可见是知道我的安全码,而安全码我从未在任何接口提交过。因此不可能被木马侦测。 3、昨天整个过程,我登录了大号(倒宝石),大号内家当和点卷比小号多得多,但我查看了,并没有丢失,可见,并不是简单的木马盗密码。 因此,凭经验,我认为此次丢号只有三种可能: 1、TY内部有权限员工或亲友所为,可能TY员工待遇不到位,员工靠山吃山,赚点私钱。利用手中权限,通过TY内部系统查询到客户安全码等重 要信息,这属于TY管理有问题。(人员、系统安全) 2、真正的网络高手,通过SQL注入的手法,破解TY用户数据结构,猜出数据库表名,字段名等重要信息,并以用户帐号名(userID)为条件查 询到用户的安全码信息。归结到底,还是TY程序员技术不到家,WEB程序编写不严,导致的程序漏洞,还是TY自身的问题。 3、安全码被暴力破解,我的安全码由大小写数字和字母以及特殊字符组成,需要有极高的算法能力或者强大的黑客软件支持,可能性小,但不 排除。 针对以上,我给TY公司一些建议,如果你们想在这个游戏在多赚几年钱,那么最好,及时清查内部员工行为,对于不良员工及时清除,以免一 颗鼠屎坏一锅粥。另外及时改良游乐场数据库结构,限制程序,修补漏洞,不要让不法分子可用注入溢出等手法非法获取信息。否则,游乐场 只能成为玩家帐号的坟场。当然TY的作风一向是向钱看齐,我也只是随便提提建议,利益自己去权衡。 当然整个事件,我也有责任,就是暴露了自己的帐号信息,让盗号者有了可乘之机,希望大家可为前车之鉴,不要随便透露自己的帐号信息, 保证自己帐号的安全。 盗号危害大,一般玩家被盗号,所有心血付渚东流,基本就永远告别了这个游戏。希望可以引起运营商的注意,但我却不会离开这个游戏,因为我热爱篮球,热爱这款游戏。我会常来看看,适度安排时间游戏,小玩怡神,成瘾伤身。最近祝大家帐号安全,游戏快乐!
对的,基本上就是这回事,我以前的评论分析过这种盗号的原因与你写的大致相同。 我以前写过 1。很可能是天联技术人员泄露了数据库的有关信息,使被盗号能轻易进入数据库- -~。 2。是游戏本身密码安全性编程接口有关信息被掌握,直接更改密码(不需原始密码) 3。
还有可能就是TY内部员工问题。 至于sql注入如今的持久层框架都做了很好的封装一般是很难直接靠这获取信息的,难不成TL数据查询SQL还靠字符拼装。。。要不就是真正的高人了,有这样能力的人又怎么会觊觎TL这东西。 2008改版前几天。我以前通过url参数注入的方式激活了当时不能激活的10区为体验新版本,可见TL对程序的安全性管理并不很到位。
但第2天我又采用那方法注入服务器端代码就改善了没法激活了(朋友知道后问我要10区号我又试,服务器响应不同,程序是修改了的)。 我当时写第2点是怀疑登陆游戏时盗号原因,但看了你的过程应该是通过web网站(估计web网站用的数据和游戏中的是同一数据库而不是通过数据拷贝转移的)。
第1。3两点其实是接近的,区别是内部技术人员是可以直接对这些已知数据库接口访问或编写获取数据程序出售的。 而其他内部员工的话肯定有管理这些数据的平台,要获取玩家数据很容易。 所以我个人认为内部员工可能性是最大的。 再其次我看到你写的盗号过程认为TL对用户的安全码更本就是形同虚设,只是数据库中一个普通字段,并未多安全码做加密。
估计SQL查出来的信息直接显示的就是安全码本身,真是不可思议!。
現在這麽牛啊....這都能盜掉
关于盗号``本人也遇到过`好象是在2年前吧``我26级SF``那时候玩的叫个辛苦啊`不知道通了多少次宵``才混到26级``有次去网吧`登陆游戏的时候后面站了一个人```我当时没怎么注意他``以为他不玩这游戏``结果一天后在上线``发现我的人物变了``一天前穿的衣服``那天上就没了``我进去道具里面看看``点卷一点不剩了``说真的``那时候好象是10.1`刚冲的200块``他用完了我的点卷``删了所有的好友``反正能拿走的全拿走了``拿不走的直接卖掉了``几个发型全卖了``还有很多装饰品````呵呵``我无余的是``我没删我的号``26级的人物还在``我还是没算亏大``呵呵```号被盗确实挺火大的``所以大家以后小心``号最好别乱借出去``知道的人多了``你小心借你号的人未必是``
改了安全码好是一样!我改过两次!同样被人盗被人删号!!!原因我也不想说了!我自身也是一个玩游戏数年多的玩家....第一次见过这样频率的盗号!!!
同情啊!!!现在也不能改安全码!!
我真的好怕!
唉 我也和楼主同一情况 安全码也能盗 太厉害了 哈哈 我在家玩的 居然PG号被盗 其他2个号东西和人物都比PG号多 我就是想不明白
反正我是绝对不相信只要只到帐号就能拿到你的密码的或安全码的,一很简单的逻辑,我可以在取回密码提示问题那里可以知道用户是否存在的,我就在里面乱这一些帐号如果存在的话我都登陆去看看(知道帐号就能盗号的前提下),那么这很快全部帐号都能搞到手了,就算十个存在的帐号只有一个是有值钱的东西的那人都发大财了,而且每天都有数以十计的人在这里说自己的号被盗了,你在看看爱问第一版的问题有没有十个人是说自己是被盗号的,所以你的安全码肯定是以某种方式泄漏了,你买的木乃多少钱哦,我也在淘宝上卖哦,只卖2.8十二天的,照理应该是最低价啦,怎么不找我买呢?
在游戏里买道具不就好了吗.还用的着去网站上么? 我的游戏帐号就只用于玩游戏.道具都在游戏里面买. 到现在被被盗窃过. 再补充一句:贪小便宜吃大亏. 这也是骗子深知这句话.这也是大部分被骗者被骗的原因.
谢谢分享,表示同情,鄙视盗号的 !·
楼主:光知道帐号是没用的,TL也不可能搞这种小把戏, 被盗原因:百分百安全码太简单.或者你的淘宝某个地方出现过,或你安全码就是你帐号,盗号者全是胡乱猜的安全码!! 我的安全码是电话,有人要买我的装备不放心问我要我电话,我太疏忽了才被盗的.
很多人在当时申请帐号时不把安全码当做一回事。只是很简单的的数字排列,比如123456 之类的。造就了一些人很容易猜到安全码。 我的安全码就是。郁闷的是现在还不能改,所以我的街球帐号从不在别的网上出现! 不知道你的小号安全码是否是也是? 至于你说的TL 有内鬼也有可能。。
谢谢了,我还在考虑怎么会被知道安全码的呢,原来是这样啊。天联有时对获奖玩家公布帐号和角色名,那那些帐号估计是完拉,哎
建议去论坛在发发,天游在这里是看不见你发言的
对你的遭遇表示同情,同时感谢分享给大家你的经验教训,好帖顶一下~~
答:首先一点,你一旦被盗号。盗号的人就会改够能够用历史密码找回的密码个数,和你改多少次没有关系。其次,密宝要验证期的,在这个期间被盗号的用历史密码找回就解绑了。不过...详情>>
答:没有,可能是你没有安装最新补丁把详情>>
