最近火紅的D3除了error狀況不斷外
盜帳號風波也時有所聞
以下有點想法想和各位討論看看
1.防護層級無:這種應該是駭客最容易下手的對象,只要client端OS有任何漏洞,或是曾經中毒,到過惡意網站等等,雖然使用者無法察覺,可是實際上已經被侵入,那麼就很容易攔截到你的D3帳號密碼
2.防護層級使用手機通訊鎖:基本上pc部分同1,不過手機通訊鎖的號碼應該不是那麼容易可以攔截到,就算攔截到了也只有100秒時間可以有效搶登入,個人比較在意的是現今智慧型手機也有簡易OS了,那麼是不是也開始有所謂的惡意app,或是系統漏洞等等問題存在?
3.防護層級使用實體暴雪驗證器:這個應該是目前最難破解的狀況,實體驗證器只有30秒時間出現同一個號碼讓你登入,時間過了就無效;實體驗證器也用在現實世界的金融銀行等等重大系統上,可說是安全層級非常高的東西,如果駭客能夠破解暴雪驗證器,同樣的手法也能侵入銀行系統......那何必找個遊戲的虛擬道具來搞?獲利也不怎麼高不是嗎?
ps1.使用驗證器被盜的受害人在巴哈已出現,不過官方好像還沒回應就是
ps2.曾經有個高調的傢伙公布自己的戰網ID(email)和很好猜的密碼,同時有使用驗證器,可是目前為止也還活的好好的~
經由這個 Session ID 可以免密碼直接進入你的角色。Session ID 是直接連結 Server 的
一把金鑰(Key) 。簡單來說:這把 Key 是用來驗證你有登入 Server 用的,所以當 駭客
取得 這把 Key ,就可以免密碼進入遊戲,並取得你的角色, 因為是拿你跟 Server 驗證
過的資料,所以 通訊鎖 是沒有用的。
一般而言,Session ID 是無法直接取得的,但是公開遊戲中,似乎有存在漏洞,導致加
你遊戲的人可以不法取得你的 Session ID。
然後BZ的藍帖
We've been taking the situation extremely seriously from the start, and have
done everything possible to verify how and in what circumstances these
compromises are occurring. Despite the claims and theories being made, we
have yet to find any situations in which a person's account was not
compromised through traditional means of someone else logging into their
account through the use of their password. While the authenticator isn't a
100% guarantee of account security, we have yet to investigate a compromise
report in which an authenticator was attached beforehand.
If your account has been hacked, please view the previous post for
information on contacting our support department.
It was Wayyyy too many at once and at the same time. It seems the attack was
very orchestrated
It seems to me like it's the most logical way to go about it. Build up a list
of accounts and passwords, and then hit them in a rapid succession before
word can spread and people can change their passwords, add an authenticator,
etc.
不過BZ的藍帖實在沒啥說服力
MagicElva wrote:
謠傳是:公開遊戲可以...(恕刪)
感謝這位版友的回覆~
基本上個人認為這些技術上面的東西應該多多少少都要讓正在遊玩D3的人知道
一方面可以讓官方正式問題嚴重另一方面可以自保
(因為照您所說這種公開遊戲側錄方式可以規避所有目前B社在推的驗證方法)
可惜的是藍帖仍然維持官方保證伺服器運作正常的論調
個人是不認為一個伺服器沒有任何瑕疵漏洞存在
但起碼B社應該除了驗證鎖外也要提醒玩家在遊戲內盡量不要做什麼什麼的事避免被盜
還有另一點也想在這邊提出來
就是一開始說的ps2那位發文曾經被轉貼到某個不是很正式的討論區內
結果回覆相當有趣~他說只要給battle tag id就足夠了,根本不需要什麼戰網帳號密碼
(而且他還用英文回....明明是中文討論區何必這樣呢)
雖然是覺得大概只是開玩笑吧~不過如果成真代表曾經公布過battle tag的人都有機會成為下手目標?
但起碼B社應該除了驗證鎖外也要提醒玩家在遊戲內盡量不要做什麼什麼的事避免被盜
實務上做不到,因為
1.沒道理自己知道瑕疵漏洞存在,然後不處理
2.合理推測是“自己都不知道瑕疵漏洞的存在”
若是第1點,這種遊戲跟設計能力也敢推出擁有被期待11年的產品
然後毫不在乎玩家的感受
去吃屎好了
若是第2點原因,連他自己都不知道了,要怎要建議玩家不要做啥事情?
即使牠建議了
您能接受嗎?玩個遊戲也太累了
這已經不是在玩遊戲,而是被廠商玩
牠只能建議您不要玩遊戲
附帶提一下
廠商都說是玩家自己的帳號保全問題
但若是這樣為何“現金賣場”無限期延後推出?
我想是因為現在只是玩家的抱怨而已,走法律途徑也很有灰暗地帶
若是涉及現金交易,這可是可能因此走上訴訟案件讓他自己吃大虧
所以您說帳號被盜都是玩家自己問題?
合理嗎?
我是覺得睜眼說瞎話
完全把暗黑II時期的熱情降到冰點
希望單機版能早點開放
內文搜尋
從 APP 打開
X