Аккаунт и всё такое.
Всем добра. Случилась на днях интересная ситуёвина.
Сижу вечером в клиенте, никого не трогаю и
ни с того, ни с сего начали сыпаться смс
от квг с кодами — паролями. Озаботился в своё
время и привязал к акку номер телефона,
на тот случай, если кто решит взломать,
или удалить (жена пару раз покушалась).
При попытке сброса пароля приходит смс с кодом,
без которого пароль изменить не получится.
Ну вот случай значит и наступил раз смс прислали.
Написал письмецо в цпп с вопросом — была ли попытка взлома
и насколько надежна привязка телефона.
Ответили через пару дней — попытка взлома была,
но неудачная (всё равно как то неприятно. за неделю до этого
увели аккаунт в инстаграмме, да и не так что бы он был мне особо нужен, но всё равно)
и как оказалось для того что бы уж точно никто не продал твои лодки,
или распатронил запасы в арсенале нужно
подключить второй фактор защиты.
Эту опцию можно подключить в личном кабинете.
Если вдруг кому интересно — вот ссыль на инструкцию.
И да — не попадайте в такие ситуации. (с)
Publication author
Комментарии: 720Публикации: 8Регистрация: 18-10-2018
Отправить ответ
48 Комментарий на "Аккаунт и всё такое."
Вы должны быть зарегистрированы чтобы оставить комментарий
Вы должны быть зарегистрированы чтобы оставить комментарий
21 век — в офисе WG так и не открылось ДАО того, что придумываемый пользователем логин — несовпадающий ни с почтой, ни с ником в игре является очень неплохим способом повысить безопасность своих клиентов.
Нихуя. Все это ломается примерно так же просто, как и в вышеописанной ситуации.
Только привязка к мобильнику (аутентификатор, на худой конец смс) с определением IP/геолокации входа может более-менее защитить от взлома, да и то говорят и на это находят способы.
Борешься блять за приватность, борешься…
Зачем с ней бороться?
Приватность и донесение основ информационной безопасности до массы. Однако все это утопия.
Симку можно склонировать, геолокацию подделать. Что дальше?
Но опять же есть нюансы. Нужно чтобы жертва дала инфу, что именно нужно продублировать. Опять возвращаемся к человеческому фактору.
Аутентификатор.
Можно заставить его отключить, но тут уже ССЗБ.
Спертая связка логин-пароль — это уже не про жертву. Их базу может спереть, скажем, увольняющийся сотрудник. Их можно перехватить при пересылке/вводе.
Но если у тебя есть дополнительная проверка — это не сработает.
Увольняющийся сотрудник ==>проеб службы безопасности, человеческий фактор.
Перехват при пересылке==> передача данных в незашифрованном виде, не нужно говорить чей это проеб, т.е. опять чф. Про способы перехвата отдельная песня, там столько всего должно сойтись и опять из-за чф.
Перехват при вводе ==> ну епрст, жертва совсем не при чем, да? И самый частый случай, кстати.
Доп проверка работает, но с помощью жертвы и это обходят.
Вообще эта тема бесконечна, как бесконечна человеческая глупость. Нет идеальной защиты, как и нет способов 100% взлома.
Какая разница, проеб это или нет, если от сложности придуманного тобой логина и пароля нихуя не зависит?
Так шта аутентификатор пусть приделывают.
21 век, а кто-то не в курсе, что причиной взлома служит сама жертва.
Можешь придумать любую самую неприступную херь, однако жертва обязательно сама откроет дверь к своим личным данным.
Хмммм — и тебя с разморозкой. В 70% случаев аккаунты игроков уводятся после сливов баз почтовых операторов или баз данных самой игры. Поэтому разнесение пары логин почта по разным базам — и отдельная геморройная процедура смены логина — а не упрощенная смена пароля как есть у WG — в принципе помогает упростить жизнь игрокам. Если уж гугл умулряются взломать и украсть оттуда персданные — то глупо верить, что нельзя украсть данные игроков — вон у таких веселых ребят хватает денег в гугле рекламу размещать с продаваемыми аккаунтами
Брут проеб вг? Кек.
Про стоимость акков тоже повеселил.
Найдешь покупателя на мой акк за 80к и 50% твои. Уверен, что не сможешь, либо сольешся от такого предложения.
А я пока пойду поищу с какой стороны комп выключить, а то вдруг взломаешь меня по айпи :D
Таки проёб, как минимум потому что они до сих пор не удосужились приделать детектирование этого брута. Чтоб после третьего неправильного ввода акк блокировался, и дальше разбирательство через ЦПП.
Пробовал брутить?
У меня пробовали. Давно, правда.
Это ж какие сценарии можно придумать:
в день кб/турнира за минуту до прайма акки всех игроков клана брутятся до блокировки.
Зачем вся эта хуйня, если можно просто прикрутить аутентификатор и забыть про взломы?
Проебал номер телефона, на который был привязан аккаунт и куку. Почему-то кстати, ни в одном софте доступа к деньгам не разрешают использовать почтовый адрес в качестве логина, а ведь аккаунт в WG может иметь доступ у пикселям на 6 значную сумму уже в рублях. А защита — скажем так гниловата.
Можно решить проблему через ЦПП, если проебал.
Сбер и угнанные деньги.жпг
Блин, начал читать и сначала подумал, что это новое стихотворение на тему патча :)
Сыпется мне на мобилу какая-то хуёвина:
Мол, не пора начинать бить тревогу ли?
…
Не, тут всё сурьёзно)
А ты знаешь что мододелы вшивают в моды трояны которые отсылают данные?! В танковых такое нашли. У меня никогда не угоняли акк. Интересно, может от того что я почти не пользуюсь модами?!
Он же написал, что ранее угнали акк в инстаграмме. Наверняка даже не пытался найти причину.
И уж точно причина не в модах.
Судя по тому что у моего брата угоняли как-то акк, а сейчас у меня дома на втором ноуте на котором он играл при запуске танкового клиента в окне авторизации сохранились его логин и пароль, то я тебя понял о чем ты)))
Акк в инсте угнали за несколько дней до этого. Пароль на ящике был благополучно мною изменен.
Не задумывался, как именно угнали акк?
Скорее всего через почту. Поэтому и сменил пароль с привязкой к тел.номеру.
Трояны, фишинг, перенаправленный траффик, кейлоггеры?
скорее всего просто ломанули ящик и через него сбросили пароль.
Проверился бы, если пароль на ящик не был типа 12345.
Нет)
Не верим! Напиши свой емыл и пароль к нему прямо здесь, а мы тебе скажем, насколько они надёжные!!!
Нит. Джентельменам верят на слово.. бгг)))
Способы проверки?
Давай только без «сходи ко врачу» и т.д…
слишком толсто
забей в поиск угон аккаунта в инстаграме — приколись. Самое веселое — там ДЦП хуже чем в танкаче — вернуть аккаунт, если ты не звезда первой величины шансов нет.
Плюсанул. Я последний раз на том акке что то размещал около 5 лет назад, а последнее время только видосы смотрел, которые мне жена скидывала. саппорт запросил моё фото. хуй с ним, отправил. Только разница между сейчас и тогда видна невооруженным глазом.
Побрился наголо и в весе прибавил.
Короче прокатили с возвратом. это не наши jpg.
При чем тут возврат и танкач?
В танкаче вернуть акк проще простого для владельца, даже если акк продан несколько лет назад, если интересно.
Речь шла вообще о том, как человек данные проебал.
Ты там поаккуратней ))
Эт у него че, шкурки с зонами пробития? Я б тоже за сковороду схватился бы.
Суровая челябинская арта, бгг. Оглушает ИРЛ.
WoT VR-edition
Да он просто купил т34, а договаривались максимум на прем-6. Вот скотина! Небось говорил, что денег нет….
Он просто не успел доказать, что прокачал его, когда тот был ещё ТТ-9.