■掲示板に戻る■ 1- 最新10

ガンホーへのメールを自分から晒すスレ

[182:(^ー^*)ノ〜さん (03/04/17 08:11 ID:JngxgHgy)]
ガンホーのDBシステムを・・・

・ガンホーIDのテーブル
これには登録時の内容が書かれてる(クレジットカード等支払方法に関しては無い)

・アトラクションテーブル(アトラクションアカウントを作らないと作られない)
Myチケットで表示される内容(クレジットカードの有効期限等の情報が含まれる)
このテーブルの内容は
1.ガンホーID(ナンバー)
2.どのアトラクションなのか(今はラグナロクだけ)
3.アトラクションID(ナンバー)
4.チケットの有効期限
5.支払方法(クレジットカードの場合は6が入るそれ以外だと6は空白)
6.クレジットカードの番号・有効期限・名義(これが漏れるとオンラインではやばい)
*0時に実行されるスクリプトによりラグナロクテーブルのアカウント状態に反映される
*WM決済時にもアカウント状態に反映(決済当日は無料)

・ラグナロクテーブル
これに関しては流出したやつと全く同じ
ガンホーIDの内容がそのまま入っている可能性有
必須項目は
性別・アカウントID・パスワード・アカウントの状態(決済無し・決済済み・垢BAN・ID変換無し等)

図星だろうなぁ〜


[183:(^ー^*)ノ〜さん (03/04/17 11:15 ID:lzB+eEQQ)]
真偽は知らんけど
>>182
> ・ラグナロクテーブル
> これに関しては流出したやつと全く同じ
> ガンホーIDの内容がそのまま入っている可能性有
これはどうかな。わざわざ内容をコピーする理由もメリットもないと思うが。
βテスト時の登録情報がそのまんまって可能性はあるかもね。
普通はそんくらい消しとくと思いたいが。


[184:(^ー^*)ノ〜さん (03/04/17 13:00 ID:JngxgHgy)]
>>183
可能性があるだけですよ

必須項目にメールアドレスを追加(キャラクター削除に使うんだった)

以下の項目が(デフォルトで)NOT NULLになってる
[AID], [Name], [Address], [Phone], [RegNum], [zipcode], [sex], [Email], [News], [nation]
β2開始時か課金開始時に変換してる可能性あるけどね

最低限このテーブルにはメールアドレス・性別は必須(これが無いとログイン不可)


[185:73-174,176 (03/04/17 14:12 ID:+qk3Cbt0)]
>>177-184 の皆様。色々と教えていただき、ありがとうございます。
やっぱり分からない所が多くて検索サイト等で用語の意味を調べたりしているのですけど(><)
特に>>178 さん。
>あくまで常識的な運用管理体制からの想像であり
その「常識的な運用体制」というのが分からないと、素人にとっては比較検討する基準が無い訳で、書いていただいて大変ありがたいです。

>>177 さん。
>垢BANの作業はHPのASP使って行ってます(掲示板とかと同じと考えれば・・・)
>8個のIPに関してはHPへのアクセス制限です

「ASP="Active Server Pages" WWWサーバ側で、JavaScriptやVisualBasic Scriptなどのスクリプト言語や、各種ActiveXコンポーネントを動作させるための仕組み。
 ASPとして記述されたWebページは、まずサーバ側で解釈・実行されるため、参照時の状態によってダイナミックなコンテンツをクライアントに提供することが可能である。」

ええと、つまり
「ガンホー社内では、サーバー内のデータベースの情報を、Webページ上に表示し、ID削除等の操作をそのWebページ上から行なえる様になっている。
当然そのWebページは社外から見られない様にアクセス制限されているが、アクセス制限の設定が間違っている場合、社外から見られてしまう(=操作される)」
という解釈で正解でしょうか?

>台湾の流出時は鯖パッチ鯖(の中身)にWindowsのadminパスワードが載ってたからプログラム自体が流出・・・(と想像できる)

adminパスワードってWindowsサーバーの大元のパスワードですよね? 管理者権限という奴だと思うのですが。
つまり「Windowsのadminパスワードが外部から見えてはいけない場所に載っていた為に、プログラムが流出」?
それって人災と言う以前にケアレスミスでは?・・・・(汗)

>>178 さん
>このへんで問題起こすとクレジット会社から縁切られかねないし…

成る程ごもっとも。ガンホーとしてもクレジット会社とのもめ事はごめんでしょうね。
そう思って少しだけ安心したのですが・・・(続きます)


[186:173-174,176,185 (03/04/17 14:14 ID:+qk3Cbt0)]
>>181 さん

>流出したAEGIS(台湾)・中国鯖(本鯖)両方とも
>個人情報のテーブル(account)とアカウントID・パスワードのテーブル(login)が同じDB(nLogin)に同居してる
>(中略)
>少なくとも重力社がすべての言語鯖で別々のシステムを作るわけ無いから
>この辺は同じと見ておかしくない

確かに言語別に設計を変えるとは考えにくいです。
という事は「個人情報を管理しているサーバーはゲームシステムとは別」の告知自体が既に嘘?!
nLoginというデータベースが外部から抜き取られてしまったら、個人情報もアトラクションID・パスワードも全部知られてしまう訳ですよね?
もはや個人としては2つのパスワード(ガンホーとアトラクション)を頻繁に変更するしか自衛手段は無いのでしょうか・・・(泣)


[187:173-174,176,185,186 (03/04/17 14:18 ID:+qk3Cbt0)]
ごめんなさい。185の名前欄が"73-174"になってた・・・
"1"の入れ忘れです。


[188:178 (03/04/17 15:00 ID:lzB+eEQQ)]
>>185
> 当然そのWebページは社外から見られない様にアクセス制限されているが、アクセス制限
> の設定が間違っている場合、社外から見られてしまう(=操作される)」
> という解釈で正解でしょうか?
間違ってると一言で言っても、チェックボックス一つとかそういうレベルの話じゃないし、
そもそも恐らく開発と管理引っくるめて外注の業者がやってるだろうから、杞憂だと思う。
と言うかこの手のセキュリティホールを心配してたらきりがない…
webサーバの穴なんてしょっちゅう見つかってるし。
ぶっちゃけ、完璧に安全なサービスなんて存在しないよ。

> >台湾の流出時は鯖パッチ鯖(の中身)にWindowsのadminパスワードが載ってたからプロ
> >グラム自体が流出・・・(と想像できる)
> adminパスワードってWindowsサーバーの大元のパスワードですよね? 管理者権限という
> 奴だと思うのですが。
> つまり「Windowsのadminパスワードが外部から見えてはいけない場所に載っていた為に、
> プログラムが流出」?
あくまで想像に過ぎない。
個人的には、流出はソーシャルハッキングだと思う。つまり、内部から流した奴がいる。
台湾の技術者ってこのへんのモラルが低いというイメージがある。偏見かも知れんけど。

> という事は「個人情報を管理しているサーバーはゲームシステムとは別」の告知自体が
> 既に嘘?!
> nLoginというデータベースが外部から抜き取られてしまったら、個人情報もアトラクシ
> ョンID・パスワードも全部知られてしまう訳ですよね?
いや、DBにその項目があるというだけで、そこにチケットセンタで入力したデータが入っ
ているのかどうかは分からない。
βテスト時に入力した情報がそのまま残っている可能性もあるし、消去されている可能性
もある。確率は低いが、チケットセンタの情報がご丁寧にコピーされているかも知れない。
(項目からして全然違うから、ないとは思うが)
ただし、アトラクションIDとパスワード、メールアドレスに関しては確実にそこにある。
ログインサーバが侵入を受ければこれらの情報が盗まれる可能性はある。


[189:178 (03/04/17 15:05 ID:lzB+eEQQ)]
つづき。

怖いのは分かるが、どこかに入力した情報は、常に第三者に抜き取られる可能性がある、
ということを理解した方がいい。繰り返すが絶対に安全なサービスなどはない。
で、ゲームシステムが脆弱だとしても、そこに氏名だのクレジット番号だのが
格納されている「理由は」ない。
ゲームと切り離されたチケットセンタに脆弱性があった場合は危険だが、
それはGMアナウンスを乗っ取るのとは全く次元の違う話。
ゲームの運営が杜撰であることと、顧客情報の保護は無関係だが会社の体質としては
関係あるかも、という程度の危機感を持ってれば十分かと。

まぁ、仮にも顧客情報のDBに侵入したりしたらリアル人生BANされるけどね。
そうそうあることじゃないかと。(だからと言って杜撰でもいいわけじゃないが)


[190:(^ー^*)ノ〜さん (03/04/17 16:50 ID:JngxgHgy)]
>> adminパスワードってWindowsサーバーの大元のパスワードですよね? 管理者権限という
>> 奴だと思うのですが。
>> つまり「Windowsのadminパスワードが外部から見えてはいけない場所に載っていた為に、
>> プログラムが流出」?
>あくまで想像に過ぎない。
>個人的には、流出はソーシャルハッキングだと思う。つまり、内部から流した奴がいる。

ん〜と後期に出たセット(Server.rar)のCharacter\passwd.txtの日付が他のファイルと同じって事は
鯖パッチ鯖から落とせたと言うことになる

このファイルが同じ日付のCharacter.exeで使われてないから
OS自体のパスワードと考えて間違いないと思う(ポート塞がれて実際に出来ないけどね)

鯖パッチ自体も差分ではなく(マップデータ以外の)フルセットで当てる時がある
*(日本ではないが)実際にzone鯖にマップデータ以外のフルセットが当たってる

インターネットに繋がってる以上完璧は無いよ
パスワードも2日間に1回は変更した方がいい


[191:(^ー^*)ノ〜さん (03/04/17 17:18 ID:JngxgHgy)]
>>173
>ユーザー様の個人情報を管理させて頂いているサーバーは、ゲームシステムとは別のシステムとなっており、クラッカーによる攻撃を許しておらず、ご安心頂ける状況となっております。
もしラグナロクのゲームDBパスワードが流出しても
ガンホーアカウントを管理してるDBはパスワードが別だから安全と言ってるらしい

ラグナロクのゲームDBのパスワードは流出済み(5文字ですた)
中国・台湾は3文字
日本は5文字
韓国は空白文字入りの12文字
完全になめられてます

〜exe内にDBパスワード入れるのやめれ
と重力社にメール出した方がいいかも


次10 前10 最新10
NAME:MAIL:

read.cgi ver5.26 + n2 (02/10/01)