2017-08

暇つぶし - 2015.07.04 Sat

暇なのでちょっとハックされた事について適当な思考
ハックがされるまでの流れを考える

1,登録してあるメルアドがどこかで流出する

2,公式ページにある『GOM ID/パスワードを忘れた場合はこちら』の『GOM IDを忘れた方』で入手されたメルアドを入れて送信しIDを送らせる

3,届いたIDを確認して今度は『パスワードを忘れた方』にメルアドと届いたIDを入力して送信

4,一時パスが届くのでそれを使ってパスワードの再設定を行う

5,入手したIDと再設定したパスワードを入力してログイン→ゲームスタート→ハック完了\(^o^)/

ここで疑問点を1つ
今回自分はGメールを使用していた訳ですが、Gメールには普段使っているブラウザやIP以外の所からログインされた場合アラートメールが送られてくるようになっています
不思議な事に今回そのアラートメールは届きませんでした
もしも最初からIDとパスワードが知られているのであればこんな手間を掛けず、普通にログインして登録情報変更の所でパスワードを変更するはずです
IDをパスワードを知る為にわざわざやっているはずなので、このメールを見た履歴がないのにIDとパスワードがやられていると言うのはどうにもおかしな話
と言うかメルアドを知っていてもメールのアカウントのパスワードを知っていなければメールを見る事は出来ないか
見る事の出来ないメールになぜ送信していたのか…謎

次の疑問点
なぜ自分はサブパスワードで(多分)助かったのか
そもそもみなさん倉庫やキャラにロックは掛けてなくてもサブパスワードは掛けてますよね
これは公式ページ等で送信させるといった事も出来ませんし、サブパス自体を変更する為には元のサブパスが必要になります
これを知り得るのはユーザー本人と運営のデータだけと考えられる
自分の頭の中を抜かれるなんてアホな話はありえないのでこの場合『運営側のデータが盗まれている』と考えるのが濃厚
でも今回自分が助かっているのは最近ハックが横行しているのでたまたま先日サブパスを変更してたからだと思われる
と言う事は、サブパスはリアルタイムでハッキングされて流出(もしくはマスターキー的な何か?)ではなく事前にサブパスも流出していたと考えられる

この2つから考えられる更に疑問
上記の事から『運営側からどこかのタイミングで大量に情報が漏洩した』と考えるのが一番分りやすい答えなんだけどちょっと疑問
流出したのがメルアドとサブパスだけだったのか?そもそもメルアドとサブパスだけって中途半端な流出するだろうか?って点
サブパスが手元にあってもそれがどのアカウントの物か分らなければ使いようがない(チャンスは3回しかないのに当てずっぽうにしては正解率が高すぎる)
と言う事は相手は最低でもIDとサブパスをセットで入手していたって事になる
メルアド、ID、サブパスまで入手出来ていて、パスワードだけ入手出来ませんでしたって事があるのだろうか?
最初から4つ全てセットで入手していたのであれば、なぜわざわざメールを送っていたのだろうか?

これだけ書いても答えは出るはずもなく、運営に問い合わせたって答えてくれるはずもなく…

結局は自己防衛を出来る限りやるしかないんです
IDもパスもみんな割られてて、唯順番が早いか遅いかってだけって思っていた方が良い位現状は酷い状態だと思います
定期的なメルアドやサブパスの変更もそうですが地味に良いのは『プレイ中は公式ページをログイン状態のまま開いておく事』です
ログイン状態にしておけばパスワード等を変更されていたとしても登録情報ページを弄る事も出来ますし、相手がゲーム内まで行っちゃってたとしてもこちらがゲームスタートさせれば重複で相手を落として時間稼ぎをする事が出来ます(その間にパスワード等を変更しなおす)
それでもやはりイタチゴッコにしかならないでしょうから一番有効だと考えられるのは…
やっぱワンパスいい加減実装だよね

でも使用料とか必要なのかな?(以前アプリダウンロードした時ホントは○○○円だけど無料でダウンロード出来ます的な事書いてあったと思うし)
クリスタルクレストも来月で終わってしまうからあちらでの収入はもう見込めないでしょうし、カバルもハッキング横行で引退、課金するのを躊躇うと言った事も起きてるでしょうから、ワンパスを実装出来てない理由が金銭であるなら実装は厳しいのかもしれません…
ホントもうカバル以前にこの会社自体が潰れてしまうんじゃないかって心配になってしまいますよね(-ω-;)

なんかどんどん脱線していきそうなのでこの辺で≧(´▽`)≦

無事に復活したらまた書きたいと思います
スポンサーサイト

● COMMENT ●

管理人のみ閲覧できます

このコメントは管理人のみ閲覧できます

ヒント①
ガメポからの漏洩

みなさん情報ありがとうございます
思えば自分のアカウントってガメポの時の使いまわしのままだったなーと改めて反省しておりますorz
パスワードの再設定キーも再設定キーの送信は回数制限あってもキーの入力には制限がないから総当りが可能なんですね(疑問が1つ解決)
ハックしている奴が一番悪いのは当然ですがこれだけ大規模なハッキングが多発しているのに『明日は我が身だよねー』って言いつつ何にもしてなかった自分の危機感の無さも反省しないといけませんし後は無事に復活出来るまでおとなしくしてようと思います(´・ω・`)

あと本人のブログでやる事には言うつもりはないんですが、他の方ブログのコメントに書かれる場合ひらがなばかりでは非常に読み辛いので、次回からは漢字に変換していただけたらなと思います

ガメポからの漏洩について

ハック被害についてなのですが、ゲームポットからの漏洩の可能性もありますが、今回のハック被害者の中に、今年1月にアカウントを作り、5月にハック被害に遭っている方が3名ほどいます。新規に現運営でアカウントを作成されている方々なので、ゲームポットからの漏洩と片付けられないように思われます。
ゲームポットからの漏洩だけでなく現運営からも漏洩している可能性も高くなりました。
もう少しハッキングに関して(クラッキングといったほうがよろしいでしょうか…)調べてみたいと思います。
またご連絡させていただきます。

5月のハックと今のハックは同一犯とはいえないのでは?
今のハックは明らかに日本人でカバルのプレイヤーです。
6月から始まったように感じます。


管理者にだけ表示を許可する

トラックバック

http://diabolic21.blog13.fc2.com/tb.php/981-3327317d
この記事にトラックバックする(FC2ブログユーザー)

返事が来たのでご報告だけ «  | BLOG TOP |  » やられた

FC2カウンター

プロフィール

シュベルトクロイツ

Author:シュベルトクロイツ
メイン  : FA
サブ   : WIZ、GL
所属国家 : プロキオン
リンクは基本フリーですのでご自由にどうぞ
カバルオンライン・攻略ブログ

攻略記事一覧

リンク

全記事表示リンク

全ての記事を表示する

カテゴリ

雑記 (517)
攻略 (28)
検証 (21)
wiz思考 (21)
FA思考 (19)
FB思考 (9)
WA思考 (7)
GL思考 (1)
その他思考 (10)
wiz計算機 (19)
その他計算機 (21)
情報 (25)
戦争 (1)
動画 (6)
アップデート情報 (291)
twitter (23)
未分類 (9)
FG思考 (6)

最新コメント

検索フォーム