FR EN DE ES IT PT
Naviguer dans les forums 
Trackers Ankama

Améliorer la sécurité des comptes

Par isosel - ABONNÉ - 16 Septembre 2019 - 11:19:55

Bonjour !

Un ami s'est fait hack récemment.Le hackeur avait uniquement le mot de passe et le nom de compte.Avec ces 2 informations, il a pu malgré tout changer la réponse secrète... Alors que pour faire cela, il faut obligatoirement utiliser un code à 6 chiffres reçu par SMS. Comment le hackeur a pu donc avoir accès au code alors que le téléphone du propriétaire du compte était éteint ?

Le code à 6 chiffres est selon moi trop court. Il n'y a pas de moyen anti-bot pour tester autant de combinaison possible. Il est donc très facile, par bruteforce, d'envoyer autant de requêtes possibles à vos serveurs jusqu'à obtenir la bonne combinaison...

Pour moi c'est la seule explication.

Suite à ce changement de réponse secrète, le hackeur a pu changer tout ce qu'il voulait, mot de passe et adresse mail. Le compte n'était donc plus accessible.

Pour pouvoir avoir de nouveau accès à son compte, il faut demander une "récupération par SMS"... chose faite par le hackeur 3 fois d'affilés après avoir modifié le mot de passe... Rendant le compte inaccessible par le propriétaire pendant 1 heure complète car le nombre maximal de demande par SMS a été atteint (3 demandes max).

Après avoir attendu 1 heure, le propriétaire a pu de nouveau changer le mot de passe. Mais une fois ceci-fait, le hackeur a immédiatement changé le mot de passe et de nouveau, fait 2 demandes de récupération de mot de passe.

Mais cette fois-ci, le compte fut inaccessible pendant 1 mois car le nombre maximal de demande de récupération est limité à 5 demandes. Le propriétaire, pendant 48h avant l'intervention du support, était donc tout simplement IMPUISSANT.

Comment cela est-il possible en 2019 de la part d'une entreprise comme Ankama ?

Je trouve cela personnellement aberrant.

Aberrant car il n'y a aucun moyen pour le propriétaire de bloquer son compte en attendant l'intervention du support… Aberrant car mon ami a perdu environ 150 millions de kamas d'item et d'ogrines… Aberrant car même si la faille de sécurité vient de chez vous, qu'on ne puisse même pas être remboursé… Aberrant de voir nos items en vente dans l'HDV sans pouvoir rien faire… Aberrant de demander l'aide d'un modérateur dans le canal communautaire et de n'avoir aucune réponse.

A ce sujet, les "modérateurs" les soit disant "modérateurs" qui sont présent 1h par jours à 4h du mat en train de faire les beaux gosses au zaap… Ils sont tout simplement INNEXISTANT. Je ne comprends pas pourquoi, sur le serveur monocompte, un serveur bien peuplé, qu'il n'y ait aucune modération…

Il n'y a aucun moyen de contacter le support en cas d'urgence, aucun moyen de contacter le siège social, non, il faut payer 2 euros hehe…

C'est encore plus aberrant d'entendre de la part du support, qu'il faille encore attendre 1 mois avant de pouvoir avoir de nouveau accès à son compte volé et de changer toues les informations car la demande max de SMS a été faite 3 fois… Ouai, je vous jure, le support n'a même pas reset les demandes de récupération… Le propriétaire a donc du recréer un nouveau compte…

Après, je ne veux même pas entendre de "Ouai bah il avait qu'à utiliser l'authentificator"… non… ta g***** L'ankamashield, devrait être suffisant, pour les personnes qui n'ont pas la possibilité de se payer un smartphone récent. Un code de confirmation devrait être suffisant, je suis désolé… ou même un code envoyé par mail… ah ouai mais… On peut changer le mail juste avec la réponse secrète… donc ça ne sert à rien XDDD

Même avec l'authentificator, bande d'ignares que vous êtes, on peut pirater quelqu'un. Il suffit d'avoir juste le mot de passe et le nom de compte et de spammer les tentatives de connexions h24 avec un bot jusqu'à ce que la personne valide la connexion avec son application.

Donc, moi-même, utilisant l'authentificator, je me sens vulnérable et pas en sécurité, je me dis qu'un jour il y a la possibilité que je ne puisse plus me connecter sur mon compte et que j'ai dépensé autant de temps et d'investissement dans un jeu pour me retrouver du jour au lendemain à poil…

Les personnes qui se sont fait hack… Ils n'ont plus la possibilité de refaire les succès… Donc ils ne peuvent plus jouer sur leur compte actuel… Il faudrait pouvoir, sur un serveur, supprimer TOUT, la banque, les personnages mais également remettre à zéro les succès. Ça devrait être possible pour éviter aux joueurs hackés de recréer un compte.

Je termine par un extrait des CGU:

"4.3.2 Responsabilité

4.3.2.1 La sécurité de votre Compte est de votre seule responsabilité et Ankama ne pourra pas être tenue pour responsable des dommages que pourrait subir votre Compte ou votre ordinateur suite à la perte ou au partage des identifiants de votre Compte.

4.3.2.2 Ankama ne pourra en aucune manière être reconnue responsable en cas de vol de Compte ou de toute altération que pourra subir votre Compte."

Donc concrètement, même si ankama viennent de se faire pirater leur base de données… bah… peu importe, on est responsable. Oui.Bref là-dessus pas de soucis, mon ami n'a plus que ses yeux pour pleurer mais ce n'est pas important. Tout le monde s'en fou.Le plus important ici, c'est surtout le fait qu'on aimerait bien que de tels agissements ne puissent plus jamais se reproduire. Et pour le moment, c'est mal parti à en juger par votre système de sécurité de MERDE, défaillant à tous les niveaux.

Bien cordialement, ISOSEL (Ilyzaelle).

2 -2
Réactions 13
Score : 5643

Moi, ce que je trouve aberrant, c'est qu'il y a encore du monde en 2019 qui se font avoir par du phishing...

1 -1
Score : 99

C'est même arrivé à Zerator. Je n'ai jamais dit qu'il a été victime de phishing. Il a été sur le site officiel pour s'abonner puis il a été déco 1h après. Je en sais pas si il a été victime de phishing, d'après lui non car il s'était déjà fait hack ya longtemps par abus de confiance, donc je le crois. Depuis il est resté vraiment vigilent. Phishing ou pas, ça ne devrait pas être possible de se faire hacker sans pouvoir réagir. Jte souhaite pas la même chose smile
 

0 0
Score : 1180

"L'ankamashield, devrait être suffisant"

Ankama l'ont dit et le répètent : le shield est vulnérable et est très facilement contournable.

Là où je suis d'accord, c'est qu'ils ne font rien (du moins visiblement) pour tenter de réparer les brèches qui existent. 
Cela fait des années que le shield est "useles". (Je me suis déjà fait hack 2 fois en 2014 en 1 mois alors qu'il était actif)

Le seul moyen d'éviter de se faire hack, c'est d'être vigilent et de se renseigner un minium. 
Il y a des dizaines de postes par semaine expliquant les arnaques du moment.

Si ton pote a accès à Dofus, il a logiquement accès au site, et donc il ne lui coûte rien de plus de vérifier 2 minutes par semaine si un nouveau type d'arnaque existe.

Pour en revenir au début de ton message, que ça soit 6 ou 32 chiffres, quelqu'un qui veut accéder à ton compte, s'il a un logiciel de Bruteforce, y arrivera.

Concernant l'Authentificator, la seule technique que je connaisse pour avoir accès à ton compte c'est qu'un mec ait tes identifiants, voit que tu te connectes, te DDOS et pendant le petit laps se connecte au site pour tout changer. (Donc autant dire que c'est casi-improbable)

En bref, il faut rester vigilent tout le temps.

1 0
Score : 99

6 c'est court oui mais si on ajoutais des lettres et des symboles, brute force ou non, il faudrait plusieurs jours pour trouver la combinaison. à moins de possèder une machine a 10k euros... sérieusement, ça coute quoi à ankama de mettre un captcha
 

0 0
Score : 833

Il lui a fallu une grosse luck si il a réussi a bruteforce le code à 6 chiffres mdr , 10^6 ça fait beaucoup quand même, même pour un bruteforce , et il y a un anti-spam sur la réponse au code donc ça devait pas être évident à faire sur le coup (sauf si le voleur à eu accès au compte de ton ami depuis assez longtemps). La seul théorie possible est l'existence possible d'une faille permettant de validé le code reçu par SMS et je pense que c'est ce qui est malheuresement arrivé à ton ami, parce que ça fait longtemps que beaucoup de personne se plaignent d'une faille permettant de valider les code reçu par sms/mail ( pour delock le shield et l'authenticator )  , mais Ankama ils font pas grand chose et préfèrent vous voir perdre vos sous pour en remettre dans la seconde d'après. 

Après je comprend pas comment ton pote se fait hack en 2019 , mais peut-être qu'il a du essayer de vendre des ressources crokuzko mdr

0 0
Score : 11

Effectivement cela n'est pas possible grâce à la sécurité antispam, mais tu te trompes sur un point, 6 chiffres pour de la brute force c'est instantané. Un site permet de compter en secondes le temps pour quelqu'un qui utilise la brute force a besoin pour trouver votre mot de passe cf howsecureismypassword.net, si tu mets 6 chiffres, tu verras que c'est (très) rapide !

Ps: ne mettez pas votre mot de passe sur ce site on ne sait jamais smile

0 0
Score : 99

Ah d'accord, donc ya bien une faille à ce niveau... bah lui me dit que non, qu'il a été prudent mais je le soupconne d'être de mauvaise foi
 

0 0
Score : 4045

De base il a été sur un site de Pishing ou bien il a donné son compte à quelqu'un, il est en tord dans les 2 cas c'est bien beau de cité les CGU mais cite la partie aussi qui dit qu'on doit donner son compte à personne.

1 -1
Score : 99

 

roxas-lol|16/09/2019 - 14:16:14
De base il a été sur un site de Pishing ou bien il a donné son compte à quelqu'un, il est en tord dans les 2 cas c'est bien beau de cité les CGU mais cite la partie aussi qui dit qu'on doit donner son compte à personne.

Mais non justement smile arrêtez de venir commenter comme des débiles pour uniquementpour me dire "uhuhuh yuyutu il cé fé piraté sur un citte 2 fishing gneu gneu" ou encore "gneu gneu coman on faie piur sfair hzck en 2019 gneugneu".... c'est lourd. 

Ankama connait les failles, maintenant il serait temps d'agir. Ça commence à bien faire. 
0 -1
Score : 833

J'veux juste ajouter que ça fait 3 ans qu'Ankama connait les failles.

0 0
Réagir à ce sujet