#149 pues si tio , con el tema de robar en la ah de dinero real y tal ya se la jugarían más, el dinero ahora mismo lo da el oro que roban en las cuentas.
No se, tiene pinta de pasar algo, partiendo de la base de que las pwd tienen que estar cifradas en las bases de datos con algo con sentido, md5 o sha1 probablemente sha1, ( cifrados de un solo camino, que no se pueden dar la vuelta ) y suponiendo que como seria logico por los paquetes enviados no va la pwd en plano, que si no el cliente a la hora de que pulsas log in cifra la pwd y envia eso y la compara con su db, generar tal cantidad de colisiones, o atakes por cumpleaños en tan poco tiempo es inviable ( suponiendo que tengas una pwd segura, rainbow tables says hi ).
Esto significa que nos deja dos opciones a mi parecer, que realmente no hagan login en su propia palabra, es decir metan el usuario y contraseña en el cliente y le den a logear, si no de que alguna manera pillan el guid del personaje a traves de la AH, chat, o lo que sea y con ese guid se las ingenian para inyectar paquetes en el servidor, y decirle del rollo cuando abren su inv, cambia mi guid por este otro.( cuando abres el inventario realmente mandas un paquete al servidor con tu id, para que te devuelva tu inventario, en este momento falsean el paquete y reciben el de la id que quieran tambien en este momento el server activa la flag de tu cuenta ON y a ti te tira si stas on )
Implicaciones de esta opción? si puedes inyectar paquetes, es muy probable que puedas dupear items cosa que seria realmente grave
hace poco vi el dump del sistema de paquetes del d3 en un foro, pero realmente inyectar paquetes normalmente hace saltar todas las alarmas de nuestro amigo warden asi que es bastante improbable.
y la otra opcion. Inyectar codigo en la base de datos, sacar el guid de algun sitio, la ah es lo que mas sentido tiene mas que nada por que puedes trackear items interesantes y altas transacciones de gold, y pedir el churro de sha1 a la db directamente y luego con un buen cluster y unas buenas gpu, tener 24horas rompiendo sha1s en un sotano oscuro koreano.
Si usan esta opcion seguramente solo puedan leer de la db y no escribir, xq si pudieran escribir seria muy gorda xd.
de todas maneras, no creo que sea nada de esto mas que nada por que seria facilmente detectable, y el autentificador seria igual de vulnerable con estos metodos.
Asi que me decanto por que se han dejado la Pass por ahi en algun sitio que no deberian y han hecho una chapuza en lo que a seguridad se refiere, no es los primeros casos, La Ps3 se dejo la root key por ahi suelta, y un sinfin de chapuzas a lo largo de la historia
#152 Navaja de Ockham... seguramente esos robos vengan por inseguridades de contraseña, troyanos en navegadores desactualizados o similares. Dudo que haya que comerse tanto la cabeza, o que alguien haya sido capaz de usar métodos tan avanzados en sólo 2-3 días desde que saliera el juego.
#153 el juego lleva desde el 26 de septiembre del año pasado.
Nadie se acuerda de la sustracción de datos de steam? robaron una barbaridad de contraseñas.
La gente está pensando en que metodo han podido usar, y lo mas seguro es que no hayan y vayan a usar un método, sino varios.
Hackeos de otros foros, y paginas web donde obtener contraseñas.
Phising, troyanos, etc
Y por supuesto que se han mirado y remirado los servidores de blizzard desde septiembre del año pasado, para encontrar cualquier vulnerabilidad posible. ¿Si lo han hecho en los servidores de steam, porque no en blizzard?
¿Esto también es culpa de los usuarios y sus barras en el navegador?
http://www.diablo3-esp.com/foros/cuidado-con-los-enganos-enlaces-de-objetos-falsos-t7916.html
#158 ¿Dónde he dicho que me robaron la cuenta? Lo único que digo es que es evidente que el código del juego es exploiteable.
#158 No tiene nada que ver, él está diciendo que como puedes ver, el juego tiene errores y no es culpa de los usuarios.
PD: A lo que dices más arriba "seguramente esos robos vengan por inseguridades de contraseña, troyanos en navegadores desactualizados o similares." Ya he contado mi experiencia en #1 y he ido dando más detalles a lo largo del hilo. No ha sido por troyanos, insegurirdad en contraseña ni nada, simplemente vendí en la AH y al instante entraron en la cuenta, fin.
#159 El código del juego es exploiteable? Menuda chorrada. En el WoW se han podido linkar items con nombres cambiados durante mucho tiempo y:
1- No te reportaba ningún beneficio.
2- De ninguna manera podías acceder a dicho item.
#160 Lo que me dices es un post hoc ergo propter hoc en toda regla.
¿Qué tendrá que ver con que justo compraras en el AH con que te robaran la cuenta en ese momento?
Y es más, ¿por qué robarte a ti 3 míseros millones cuando hay gente amasando auténticas fortunas?
Yo me preocuparía más por la seguridad de mi PC que por flamear a Blizzard, pero cada uno a su rollo, que para eso somos libres de hacer lo que nos salga del escroto.
#159 ?
Infórmate de como puedes poner el link de esas armas y luego vienes a verter información falsa.
#161 Yo no flameo a Blizzard, no haces más que concatenar error tras error.
Supongo que prefieren robar a gente humilde para que no pidan restaurar la cuenta, cuanto mayor sea el robo más posibilidad de que restauren la cuenta, así lo veo yo. Pero bueno, que no voy a gastar más tiempo en intentar convencer a la gente de que no es cuestión de ordenadores infectados, o whatever.
linkeando un item, puedes crashear clientes, ha sido publicado en ownedcore, por norma general todo lo que se publica en ese foro, suele ser hotfixeado rapidamente si es posible.
las chapuzas pasan, aunque deberian tener el mismo equipo que el wow y tener un seguridad asociada, aunque en el wow existen todo tipo de hacks, desde speed, no collision y demas. pero realmente en el wow no interesa buscar xploits de inyeccion o interaccion cn el server por que esta ampliamente trackeado el combatlog por ejemplo alguien se las apaña para hacer un hithack ( 40 golpes de una Fireball en 1 x ejemplo ) cantaria demasiado en el recount y dupear items no reportaria tanto beneficio como el diablo 3, por el esfuerzo que conlleva un exploit del estilo, items ligados.. Economia basada en Oro Mas que establecida y que los chinos ya controlan, por eso en el diablo 3 es posible que si se hayan mas que esforzado, la economia empieza a funcionar en estos dias y en el D3 presumiblemente el oro se devalue y se empieze con el libre de Objetos x objetos
POR CIERTO : segun tengo entendido, si alguien lo puede confirmar Si pides un Rollback Te limitan el acceso a la AH de dinero real por X tiempo, y si pides 2 No la puedes usar nunca mas. no se la veraz de esta info pero la he leido por foros ultimamente.
#163 El día que me roben la cuenta con mi authenticator, mi firewall y mi antivirus actualizado te daré la razón.
Una pregunta o duda.. Alguno de aquí a tenido que llamar a blizzard para que le restauren su cuenta?? Le ponen alguna pega??
Se podría " fingir " el robo de cuenta?? Es decir.. Si yo le paso todos los items a un amigo.. o mi amigo pone en subasta X items por X dinero.. y yo se los compro.. y llamo a blizad diciendo que me robaron la cuenta.. ellos te lo hacen sin mas?? " En el wow que yo recuerde si. " Y los items/dinero se lo quedaría mi amigo.. o investigan y sacan todo lo perdido??
Comprueban la IP, ven que los items se los diste tú, y no solo os banean a los 2 una temporadita, si no que os quitan el oro y los items.
Si lo haces desde otro PC y conexión, al que banearán y quitarán las cosas es a tu amigo.
A los que habláis de dónde viene el fallo...
Lo que no tenéis en cuenta es que Blizzard no puede asumir, ni lo hará jamás, que el robo de cuentas se debe a un fallo en su propio programa. Admitir eso implica admitir cualquier culpabilidad que pudiera derivarse, y eso abre la puerta a las class-action que tan simpáticas son en USA con las compañías que hacen cagadas de este tipo.
Tened presente que con D3 se podrá hacer pasta... así que admitir culpabilidad cuando hay dinero de por medio podría convertirse en una class-action de las interesantes Porque sí, en España somos tan pringados que estos mecanismos no existen, pero ojito que por allí sí, y no se andan con tonterías, en general.
#170 Si estuviera pasando blizzard tiene que adminitirlo instantaneamente, por que si dicen que no y lo garantizan (como han hecho), y al dia siguiente alguien prueba que ha robado claves entonces si tienen problemas. Pero como nadie va a probarlo por que simplemente no se puede, pues a seguir troleando.
#152 Pero todo esto que comentas deja un rastro, y gordo. Muy difícil ponerse a inyectar paquetes o inyectar código en las DB sin que nadie se de cuenta, pero no digo que sea imposible.
Yo sigo pensando que el juego está petando por algún lado, o tiene una falla de seguridad gordísima, porque no es normal la cantidad de robos que hay y en tan poco tiempo que lleva el diablo a la venta.
Eso, o la gente tiene PCs tóxicos y cancerígenos y van dejando su pass en todas las páginas donde aparece la palabra "Diablo"
#170 eso es una demanda judicial conjunta de mucha gente contra blizzard? o que es la class action?
Todavía sigo esperando las pruebas de los miles y miles de casos de cuentas robadas debido a un agujero de seguridad, lo raro es que nadie me las muestra por tanto dejar de hablar de tantos robos cuando nadie está mostrando nada.
Hahahah venga ya me he sacado la risa del día, vosotros seguid con vuestras buzzwords que no sabéis ni lo que significan para intentar justificar que os han robado la cuenta, que yo me iré preparando las palomitas
#171 Te equivocas de forma completa. Admitir que el fallo es debido a algún descuido de Blizzard supondría una asunción de culpa y eso implica responsabilidades legales. Nuestro sistema legal es muy blandengue en estas situaciones porque no permite hacer denuncias conjunas a gran escala (class-action), y eso supone que cada perjudicado tiene que perder su tiempo y su dinero en abogados sin tener muy claro qué ocurrirá.
En USA, repito, las empresas se cuidan muy mucho de no meter la pata de esta manera, y por eso es normal oir la palabra "recall" cuando aparece algún tipo de defecto porque saben que es mejor cambiar una serie de productos de pies a cabeza (con sus costes astronómicos... y como ejemplo podría poner los Ipods de marras, las placas base con chip P67, y tantas otras cosas) que no dejarlo todo listo para que les caiga una class-action que perderían sin ningún tipo de problemas y que les supondría tener que cambiar todos los productos además de indemnizaciones millonarias.
#173 Las class-action son un modelo de denuncia conjunta por las que tú le cedes tus derechos jurídicos a un tercero (incluyendo cualquier indemnización que se fuera a cobrar, que luego se reparte) y, de esta manera, una sola persona o entidad puede demandar en nombre de millones de personas por lo que simplemente firmas (aportando tus pruebas) y dejas que se haga cargo otro.
Eso significa que sólo se pagan una vez las costas del juicio, y que en caso de indemnización las cifras serán astronómicas dada la gran cantidad de personas que participan en el caso. Además, desde el punto de los abogados estos casos son bombas porque ellos se llevan una comisión bastante gorda de lo que se pueda sacar, por lo que si tienes un caso lo suficientemente grande podrás optar casi cualquier abogado que ellos serán los primeros interesados (suelen llevarse un % altísimo de lo que se gana en indemnización, en muchos casos alrededor del 50%, así que si hablamos de 1.00.000 de denunciantes lo que gana el abogado en relación al perjudicado es una animalada... pero bueno, te ahorras tiempo y dinero).
Es por eso que en España no existen prácticamente los "recalls" y en USA es algo bastante normal. Las baterías suelen acaparar muchas class-action, porque con que se te quemen unas cuantas creas una alarma social tan grande y las posibilidades de tener que pagar daños civiles es tan grande también que no compensa.
Sí, dentro de la basura que es el sistema jurídico americano, las class-action son una figura extraordinaria que aquí no tenemos, y deberíamos, puesto que las denuncias uno a uno dan más trabajo que resultados Que si pudiéramos agrupar todas las denuncias contra las operadoras de teléfono y las energéticas (Que son los sectores que más demandas reciben con diferencia) cambiarán muuuuuuuuuuuuuuuuuuuuuuuuuchas cosas simplemente porque son casos que te dan más por el culo que beneficios, que poca gente se tira meses y meses de abogados para recuperar 50€, cuando todo el mundo aceptaría quedarse con la mitad a cambio de no tener que mover ni un dedo, jejeje.
Toda esa parrafada para decir nada, no han robado a una sola persona con autentificador con lo que todas las teorias son simples falacias.