Affaire Seiya / Piratage

mb a écrit:Comme évoqué précédemment, je ne souhaite pas donner trop d'indications, car je ne souhaite pas motiver ou indiquer trop de choses à des gens disposés à faire du piratage de comptes... donc voici une piste possible :
tu peux ne pas avoir besoin du login de la personne (horrible, hein...). Vu que tu bosses dans le réseau, tu dois bien connaître les relations clients-serveurs ^^

Si tu veux parler d'un vol de session, pourquoi pas mais dans ce cas tu ne peux pas changer le mot de passe (vu qu'il te faut l'ancien mdp pour le changer). De plus c'est pas possible à faire, si le pc n'est pas compromis.

dans ton énumération des options, tu as oublié le fishing ^^

C'est pas faux, bien que ca rentre dans le social engeenering. Il est évident que recevoir un mail avec 'le site ogame a été mis à jour, cliquez ici pour mettre a jour vos informations' peut faire des ravages pour les non-initiés.

Serieusement, si y'a des failles facilement exploitables, balance le morceau, comme ca Gameforge va devoir se bouger. Ou met les 50 premiers comptes de chaque univers en mode vacances (comment ca, ca vous plait pas ?! Ha oui vous etes tous dans le top 50 ).

Bonjour, je suis Akryus (je suis pas dans l'uni 28) et je viens de découvrir ce qui c'était passé grace à votre pétition. Premièrement, je veux que vous sachiez que je suis désolé de ce qui est arrivé à St Seya et je n'aimerais pas que ça arrive à d'autres personnes.

Bon, je n'ai pas eu le temps de tout lire mais j'aimerais surtout savoir si vous avez avertis les administrateurs d'Ogame des failles XSS qui sont présentes dans le jeu (image d'alliance par ex) en leur montrant par des exemples concrets prouvant que c'est possible (si on leur dit : il y a une faille, ils n'y croiront pas)

Au debut je ne croyais pas trop à cet faille, mais j'ai personnelement essayé et je pense à présent que des milliers de joueurs qui ont desactivé la protection IP courent un gros risque en ce moment. De plus, cette faille ne serait vraiment pas compliqué à corriger : il suffirait de faire passer l'id de session à travers un cookie.

Je confirme ce que dit Jo De La Guibolle et il n'y a aucune complexité dans Ogame. Il suffit de quelques requètes SQL pour creer n'importe quel compte, avec n'importe quel niveau, n'importe quels batiments. Alors qu'il ne viennent pas nous dire que c'est "compliqué" !

De plus, je ne pense pas qu'ils ont contacté des "experts" de la sécurité, une faille comme celle la est tellement grossière...

Centaure a écrit:Si tu veux parler d'un vol de session, pourquoi pas mais dans ce cas tu ne peux pas changer le mot de passe (vu qu'il te faut l'ancien mdp pour le changer). De plus c'est pas possible à faire, si le pc n'est pas compromis.

si si... pas besoin de compromettre le pc... considère la relation client-serveur au sens le plus large... comment fonctionne une page web et ses différents objets...

et ceci ne serait que la 1ère étape bien évidemment...

Comme je l'ai dit, je ne suis pas hacker, juste développeur... donc surtout ma constatation est la suivante : si certaines choses de base ne sont pas respectées, qu'en est-il des subtilités ... ?

Akryus a écrit:il suffirait de faire passer l'id de session à travers un cookie.

tiens... on va dans la bonne direction ^^ (pour trouver la faille dont je parle) et maintenant je me tais... j'en ai déjà trop dit... :-(
mais passer le session id par cookie ne serait pas suffisant... un cookie n'est pas absolu, et suivant si l'ordi que tu utilises interdit les cookies, le session id continue a être passé en GET et pas en POST... il n'y a pas assez de matching avec les données du joueur... pour l'instant, le travail peut être fait à l'aveugle...

Pour ce qui est de les avertir, je crois savoir qu'ils sont au courant depuis des lustres (même des modos les ont avertis)... mais ils préfèrent nier et dire que ce sont les joueurs les seules sources de failles...

Akyrus a écrit:De plus, je ne pense pas qu'ils ont contacté des "experts" de la sécurité, une faille comme celle la est tellement grossière...

c'est ce que je me tue à dire depuis des heures ^^

voila je suis dans luniver 7 et on ma aussi piratter mon compte et vpoila heureusement pour moi j ai pas perdu grand chose

je flode peux etre mais c est clair je trouve ca trop deguelase

c est trop des con ce qui on fais ca

je suis desoler pour st seiya

ps ;; j ai arrette mon abonement compte commendan suite a son affaire mais comme c est esplique sur le furum d ogame ca change rien que c est nous qui payon ou la pub gameforge resoi la meme tune c est degue

RE PS j ai cherche sur un resaux kazaa des bot pour voir si c est vrai mais j ai rien trouver donc si c est vrai je sais pas j ai ogame stratege ogspy un truk comme ca j ai tout fais de g1 a g7 manuelement la folie alors que d autre on des truk auto lol

Pense tu que l'on risque quelque chose si on les menace de reveler la faille au grand jour ? c'est peut etre le seul moyen...



Sinon je vois pas comment on peut faire pour passer l'ID autrement que par cookie. Il faudrait obliger les joueurs à activer les cookies(pour ne pas passer l'id en get), d'ailleur, je ne comprend même pas pourquoi certains s'amuse à les bloquer : il ne sont pas des sources de failles, il servent juste aux site pour stocker des infos, je vois pas le mal qu'il y a dans cela. Autrement, on ne peut pas passer cet information en POST, sauf si ils mettent des formulaires invisibles partout avec un javascript sur chaque lien mais ça tient plus du bricolage...

Heuresement, cela ne peut se produire que si le hacker à la même adresse IP, ou que le joueur a desactivé cet protection...

mais il FAUT faire quelque chose ! j'ai laissé le test que j'ai fait tout à l'heure et la liste d'ID se remplit à vue d'oeil ! pourtant je ne suis pas un hacker et j'ai du ecrire que 4-5 ligne de programmation pour exploiter cet faille...cette faille est à la porté de n'importe quel internaute newbie, si un idiot decide de la réveler, ce sera la fin de pas mal de compte et le debut d'une mauvaise réputation pour Ogame... Il faut que gameforge réagisse. Ce soir je vais peut etre contacter NRJ (je veux lui montrer vraiment le problème) , peut etre qu'il m'écoutera...

le probleme est qu'en revelant la faille vous allez a coup sur faire des centaines d'adeptes qui n'auraient jamais pensé a ca avant...

Vaut mieux que tu en parles avec NRJ en effet je pense

bien... Ogame se fait payer pour les pubs affichées... c'ets pas bien compliqué d'expliquer rapidement a un tres garnd nombre de joeurs comment bloquer ces pubs...

En même temps si la faille est facilement corrigible, on devrait peut-être la révéler pour que justement ils se bougent pour éviter que tout le monde s'en serve!
C'est pareil pour microsoft : les gens révèlent les failles, donc ils sont obligés de les corriger immédiatement !!!

Et la seule chose qu'on peut reprocher à ceux qui les donnent pour M$ par exemple, c'est que même s'ils publient les patchs, les gens ne les mettent pas forcément.
Mais là, une fois que GF a modifié OGame c'est bon !

Donc on devrait peut-être expliquer à tout le monde...

C'est risqué... En revelant la faille on risque de detruire pas mal de compte a cause de petits c** qui n'auront que ça a foutre de pirater avec les failles que d'autres ont trouvé...


Je vais envoyer un mail expliquant toute l'histoire à NRJ, même si je suis presque sur qu'il est au courant, ça ne fera pas de mal de lui rappeler...

d'ailleurs "facilement corrigible" ne veut pas dire qu'elle sera corrigé

Je crois savoir qu'ils le savent depuis longtemps... mais peut-être qu'en sachant que de plus en plus de monde le savent ils se bougeront enfin...

Mais selon le règlement, quand on trouve une faille ou un bug, on doit prévenir le GA et on ne doit pas révéler publiquement...

Akryus a écrit:pourtant je ne suis pas un hacker et j'ai du ecrire que 4-5 ligne de programmation pour exploiter cet faille

... ça fait du bien de ne plus se sentir seul ^^ c'est pour ça que je parle de faute de noobs... car ni toi ni moi ne connaissons vraiment les techniques pour pirater... donc attention les dégâts... :-(

je t'envoie un message privé avec quelques autres info à donner à NRJ... ok ? merci ^^

Ok si tu veux. J'espère qu'il lira mon message au moins...

J'attend ton MP.

ps: perso je doute que st seya retrouvera son compte mais bon on ne sais jamais...

Akryus a écrit:C'est risqué... En revelant la faille on risque de detruire pas mal de compte a cause de petits c** qui n'auront que ça a foutre de pirater avec les failles que d'autres ont trouvé...

On signale la faille , la game forge s'en tape royalement , on fait réellement savoir qu'on est pas content , la game forge s'en tape toujours
Je pense que la seule solution et de prendre un nouvel univers d'exploiter la faille de faire des dégats et je suis presque sur que là la game forge va se bouger ...
Enfin je vois pas trop ce qu'on peut faire d'autre

mb : Mais selon le règlement, quand on trouve une faille ou un bug, on doit prévenir le GA et on ne doit pas révéler publiquement...

Je pense que sa à déja etai fai en privée maintenant on le dit en publik on va voir ce que la game forge repliquera si c toujours un désolé pour vous en ce cas on leur repondra la meme chose apres avoir exploiter les failles du jeu

vivi... bonne solution pour attirer leur attention... mais n'oublie pas que tu risques aussi d'avoir la visite de leurs avocats...

Euh j'avai un peu oublié sa mais bon tu as une autre solution ...

Je vais parler à NRJ, on verra bien. Le problème à mon avis ne viens pas de lui, mais plutôt de GameForge...

ps : mb, je t'ai mp

le problème ne vient pas de lui... il n'a aucun pouvoir dans celà... mais si gameForge comprends que d'ici 2 semaines tout le monde saura faire le piratage ainsi, ils se bougeront peut-être efin les fesses...

Sinon pour d'autres solutions ? ben s'agenouiller et prier pour que son compte ne soit pas piraté... car ce qui me fait vraiment peur c'est que si moi et toi Akryus, qui 'avons aucune expérience en la matière on voit ça grand comme une enclume, ceux qui ont l'habitude doivent avoir encore plus de possibilités car cette faille est tellement énorme qu'elle doit être symptomatique d'autres problèmes...

ps je t'ai re mpé ^^

Ce n'est en aucun cas la faute du staff ogame.fr je pense , eux ne peuvent dire que dsl et ils sont dans leur droit mais la game forge qui est chargé du bon déroulement du jeux ellle doit eviter ce genre de chose ou au moin les reparer

Je tiens à rappeler que le compte ne sera pas piraté si la case "desactiver la protection ip" est decoché

en effet, car le hacker n'a (normalement) pas la même adresse IP que la victime...

Dsl Je c plus ou jai vu sa mais bon :

V IP-Check non actif
L'opérateur ne s'occupe pas des pertes de comptes avec un IP-check non actif. L'IP-check ne doit être desactivé que lorsque ceci est absolument nécessaire (messages d'erreur au login en cas d'ip check activé rendant la participation au jeu impossible par exemple).

mettre une adresse hotmail c peut etre plus partik mais en revanche les opérateurs ne nous aideront pas en cas de pb
desactiver le chek ip c mieu pour pas se faire voler son compte mais si on est pas prudent et qu'on a un pb impossible de demander de l'aide

2 choses

§ 8 REMBOURSEMENT

Lorsque une erreur de programmation ou d'un membre du Staff d'Ogame.fr crée un désavantage pour un joueur, celui-ci ne peut pas demander un backup. Dans certains cas particuliers et en cas de panne majeure, une remise en arrière de l'univers ou d'un compte à un point précédant ce bug est possible, ceci étant la décision du gameadmin qui est informé par l'opérateur de jeu.

donc un back-up est possible ...

2eme chose

la case "désactiver la protection Ip" est décochée, mais malgré ca, j'arrive a me connecter sur pluisuers pc (chez moi, chez ma copine, chez quelque ami, et a l'ecole) et je n'ai aucun problème

on peut toujours se faire pirater son compte...

mais il faut essayer de rendre la tache la plus difficile possible.

ps: après réflection, je ne vois pas vraiment comment on peut se le faire voler autrement
si tu as decouvert une autre faille peut tu me l'envoyer par mp je l'ajouterai a mon mail pour nrj (je suis en train de l'ecrire)

Abdoule99 a écrit:la case "désactiver la protection Ip" est décochée, mais malgré ca, j'arrive a me connecter sur pluisuers pc (chez moi, chez ma copine, chez quelque ami, et a l'ecole) et je n'ai aucun problème

cette protection n'est valable que pour 1 id de session... dès que tu te reconnecte, l'id de session change donc il n'y a pas de problème

Akryus a écrit:ps: après réflection, je ne vois pas vraiment comment on peut se le faire voler autrement Question
si tu as decouvert une autre faille peut tu me l'envoyer par mp je l'ajouterai a mon mail pour nrj (je suis en train de l'ecrire)

je pense que c'est possible, mais directement comme ça, je ne vois pas... mais ayant une vie irl assez active, je n'y ai pas passé des heures et des heures... ^^ et je ne suis ni pirate ni hacker, donc pas un expert...

Mais je pense que malheureusement il ne s'agit que de la pointe de l'ice berg... :-( (mais ceci n'est qu'un sentiment personnel, et je n'ai pas de preuves, je l'admet, hors mis ce que je t'ai envoyé dans mon dernier mp, qui franchement refroidit pas mal non plus...)

j'ai envoyé un mail à NRJ

j'attend sa réponse

Areté de dire que c\'est dégeulase et n\'employé pas n\'importe quelle mot

c\'est pas un hacker mais un lamerz
, maintenant le lamerz na aucun merite , parce que ca n\'a pas été dur de faire de te le hacker , toutes les ereure vienne de toi , MSN n\'est pas un compte mail a utilisé pour OGame , enfin je ne vais pas vous faire tout un cour dessus , je connait bien ces technique qu\'il a du utilisé , mais je tien a signalé que tout les joeur n\'utilisant pas de compte mail MSn n\'on rien a craindre mtn si je me trompe et que tu n\'utilisé pas un compte MSN le gars a du talent ^^

a moins que ton mot de pass ne soie pas long ^^