■掲示板に戻る■ 1- 最新10

ガンホーへのメールを自分から晒すスレ

[204:(^ー^*)ノ〜さん (03/04/19 14:09 ID:A9eY5P/D)]
>>203
基本的にゲーム内で狙われないようにすることだな

β1なら
1.レアアイテム(サンタ帽等)装備してる人発見
2.パケットを見てアカウントID確認
3.web上でパスワードを見る(穴があった)
4.サンタ帽を別アカウントに移動
9.本人がログインしてレアアイテムが無い!!
となってた

穴があるならパスワードを毎日変えても無駄
ソーシャルアタックなら毎日パスワード変更で対抗できる

これで終わり


[205:(^ー^*)ノ〜さん (03/04/19 14:28 ID:laTLzXP+)]
> 何だか私の発言がきっかけで話題がスレ違いの方向に行ったみたいで申し訳ありません。
スレ立ててくれればいくらでも。
> 結局、個人で出来る対策はパスワードを頻繁に変える。という事なんですね。
個人情報から推測されにくいパスワードを使うべし。IDと同じとか誕生日とかは論外。
辞書に載っている単語を使うのも良くないが、
1とlとかoと0とかを置き換えるとか、わざとスペルミスするとか小細工すればいい。
あんまりしょっちゅう変更して自分で忘れてもつまらないからね。

あと、万一クレジット番号が漏れても、身に覚えのない引き落としに気が付けば、
大抵の場合クレジット会社が対応してくれると思う。
その手の被害には敏感だし、対応も慣れてるからね。
お客様の管理責任です、とか言って突っぱねる初台の禿会社とは違う。
クレジット利用者は引き落としをちゃんとチェックしとこう。

早くバイオメトリクス認証が一般化しないかなぁ(寝言)


[206:173 (03/04/19 15:05 ID:qXts+Fyl)]
「【右往】サポートの回答を晒すスレ4【左往】 」を読んだら何だか大事になっているみたいです。
http://www25.big.or.jp/~wolfy/test/read.cgi/ragnarok/1046422989/675,676,680,681,686,724,731,732,744

>勘が当たっていれば恐らくどんなにパス変えても無駄です
>多分ユーザ情報データベースから直接IDとパスを引っこ抜いていると思われます。


[207:(^ー^*)ノ〜さん (03/04/19 20:24 ID:A9eY5P/D)]
>>206
>>204

1つ考えられる穴がアカウント鯖
キャラクター削除の時にメールアドレスが必要だが
キャラクター鯖はアカウントDBに直接繋いでない
アカウント鯖経由でやってる

重力社特有のパケットで
アカウント鯖からキャラクター鯖へID・パスワード・メールアドレスを送ってる
*このパケットはβ2最終日のログインできない時間帯に確認されてる

アカウント鯖へキャラクター削除時のパケットを送りつければ
ID・パスワード・メールアドレスが返って来るであろう


[208:W9o4+MLC (03/04/22 19:14 ID:abhb+GE1)]
>>207
206で紹介されてる文章を書いた者です
私が予測したのは
FWを突破されたかログイン鯖とSQLNETを連動で動かしていたか2k鯖なのでODBCアクセス
のどれかだと思うのですが理由はガンホーIDを抜いてパスワードを変更してから
アクセスしているということ、アトラクションIDのパスが分からなかったので
変更したのかなあと予想しました
ちょっと前に台湾で個人情報流出騒ぎがあったのを思い出してみると
DB鯖をハックしているような気がしてならない


[209:(^ー^*)ノ〜さん (03/04/22 19:58 ID:YG8sLP4C)]
>>208
ガンホーIDとアトラクションIDは別のパスワード設定で
ガンホーIDのパスワードだけ変更されてたのか・・・

SQL鯖には直接続不可能だけど
このスレ読んでみな


[210:W9o4+MLC (03/04/22 20:08 ID:abhb+GE1)]
ガンホーIDのパスワードは変更されてなかったのですが
ガンホーIDでログインしてアトラクションIDのパスワードを変更して
ゲーム内に入っているということです、ちょっと分かりにくいかな


[211:(^ー^*)ノ〜さん (03/04/22 21:13 ID:YG8sLP4C)]
>>210
>ガンホーIDでログインしてアトラクションIDのパスワードを変更

”ガンホーIDでログインした”と考えない方がいいかも

・β1の時はログインしなくてもweb上からパスワード変更可能(だった)
・(GM専用webページの)GMツールでパスワード変更可能
の2つある


[212:(^ー^*)ノ〜さん (03/04/23 03:32 ID:4rdopSl1)]
疑うわけじゃないが、ソーシャルハッキングで抜かれたんじゃないの?
推測しやすいパスワードを使ってたとかさ。
経験上、パス抜かれた!という人のほとんどはソーシャルで抜かれてる。
FW突破とか言うけど、そう簡単にできることじゃないし、手が後ろに回る覚悟が必要だよ。
ゲームのアイテムごときでそこまでするとは思えんのだが…

>>211
そのGMツール、専用webページとやらの話は確証あるの?
推測なのか実際見たことあるのか知りたい。マジデ
そのwebページが十分に守られていないとすれば、セキュリティホールに成り得る。


[213:(^ー^*)ノ〜さん (03/04/23 03:37 ID:4rdopSl1)]
ああごめん、ソーシャルハッキングってのは、電子的「以外」の方法でパスワードを
盗む行為ね。
例えば管理者を装って電話で聞く、机に張り付けてあるメモを見る、ゴミ箱を漁る、
誕生日や名前、IDと同じ等のヌルいパスワードを推測で見破る、さらには入力中の
肩の動きから読み取るテクなんてのもあるそうな。
実際、β1の時に抜かれた知人がいたが、その人はIDと同じパスワードを使っていた。
100人くらい試せば一人くらいいそうだよな…


次10 前10 最新10
NAME:MAIL:

read.cgi ver5.26 + n2 (02/10/01)