入侵資料庫,目的為何
資料庫入侵之後,不一定是直接要盜玩家帳密資料,很多人都以為盜資料庫就是要偷這東西,通常這是列在最後考量的。最先者對方會試著去看看能否修改金錢或物品的欄位,無中生有的直接竄改資料最快,再來是測試有無辦法複製金錢物品,最後才是偷取玩家的帳密資料。而通常盜取了資料,都是會拿去轉售,不見得會自己下來開帳號偷東西。
進資料庫去改其他東西?
如果取得權限,並且找到表單的位置,金錢、經驗、道具數量等,什麼都可以修改。而如果取得這樣權限的人,通常也不用去偷玩家帳密,CRACKER可以經過幾次入侵測試就知道遊戲公司在這方面有無監控管理好。會不會發現資料被修改,就得看遊戲公司投入的防護等級和心力,以及有無隨時監控的人員,或有沒有相關人員發現異常,換句話說,有些可能永遠都不知道遊戲已經被下了符咒。
偷改沒人會知道嗎?
資料庫遭到修改系統是可以做警告的,只差有沒有做和有沒做對地方,一般刪除、修改這兩個權限都不應該是一般人可以接觸的,如果有被更動到,會做出警告訊息。遊戲公司要修改玩家某些資料,例如虛寶的返還,都要經過層層簽核,然後才會被擁有權限的人更動,所以假設是被入侵並且修改數值,對方不講、自己的防護警報又沒做,就很難被察覺,或是只能被動發現,甚至可能幹壞事的人,就是那個有權限的人。
到底是怎麼入侵的?
資安工作的投入夠不夠,在遊戲公司的防護中可能有疏失,有時候只是突然開個外網,就被入侵了,或者是某些管理者大意,出事不報,甚至電腦防護常識不足,造成電腦被植入後門或被駭,因而擴大災情,筆者說過了,在上位者諸如經理或是什麼的,電腦知識不見得比較強,所以災禍不見得都是小人物引起的。
而GM使用玩家回報的外掛程式當場執行起來,造成被入侵,這些事情在業界也都發生過。資訊安全的教育,是不分職位的,遊戲公司這點絕對要記勞。
資料庫被入侵,玩家帳號危險嗎?
如果會去盜取玩家資料,最重要的是表單內帳號和密碼這兩欄。對遊戲公司來說,玩家表單上的帳號不能加密,但是密碼則必須加密(以目前網路環境安全性來講),資料庫被入侵後,整張表單會被拷貝走,CRACKER偷了沒加密的密碼,玩家就等著一個一個預備受害了。而有加密的密碼如果無法破解,取得的資料幾乎是無效的,大概也只能從帳號組合規則或是其他例如生日等欄位,去猜玩家的密碼。
萬國通用帳密,不用偷密碼你也會遭殃
建立字典型的盜帳號法,成功率大概2%-4%,因為筆者曾經看過未加密的帳密資料欄,一萬筆資料大概有200-400筆是帳號密碼一樣的,這種哪需要偷密碼,一萬個帳號慢慢複製貼上也可以盜走一堆偷懶的人,另外還有3%是很陽春的密碼,或是和帳號之間有規則可循,不然就是萬用帳密,一百個遊戲從沒換過,甚至巴哈姆特的帳號也和遊戲帳號一樣。恩,細節我就不講太直接了……以免有人做壞事XD。
加密的密碼可以反解嗎?
基本上是較難的,或是你能找到公式,不然你要解出諸如此類「y7QoY6FgDdauIO04B7dT78RrqE」加密過的亂碼,大概只能從設計者手上拿到公式,因此資料庫被駭,不見得玩家帳號就會被出事,除了要看對方目的之外,表單內的密碼做好了保護,安全性還算是高的。
資料庫資料的黑市交易
許多大陸討論區都會發現有人在徵數據庫,不過賣這東西假貨也不少,有些不肖的商人會將一筆資料賣給四五個人,也有人利用這種上論壇詐騙,例如一開始先給你幾筆真的資料讓你過個癮,付錢後拿到的卻是過期的舊資料。
玩家其他資料能賣錢嗎?
除了玩家帳號密碼以外,其他文字型的資料幾乎都是垃圾訊息,很多玩家把自己的住址、電話等資料當成寶,但整體而言這些價值性是很低的。在網路遍及後,普遍的大家都被灌輸「不要在網站上留下正確的資料」這類的觀念,於是筆者在打開資料庫查詢資料時,列表內有些文字掰到會讓你笑到噴飯,例如這類的住址『台北市柏油路機車待轉區非洲巷18弄號地下七樓』、『木星外環第二顆衛星像不巷我很愛號林小樓之8』;名字的部分,舉凡你知道的歌星或知名人物,全部都可以在會員欄位查到,而這些類似港星的名字九成九都是掰的,當然其他只要是需要你自己key in文字的欄位,有一半以上都是假的,這些資料是一點價值也沒有。
大家都怕資料外洩,都喜歡留下亂七八糟的文字,這些卻是攸關自己的權益問題,你投入假資料,以後要是帳號出事情絕對擾你老半天,到最後你只能放棄掉相關的虛擬資產。甚至我相信有很多人玩到很高等了,帳號被盜或虛擬物品出問題要追,才發現自己是用身分證產生器,這些玩家絕不在少數。
所以乖乖留下正確的資料,其實是不會有什麼問題的,如果人家要盜遊戲資料庫,多半不是對你個人身家資料有興趣,最大的防備,你可以用學校公司的住址或電話,至少你身分證字號不能造假,所有出問題後要確認都必須經過身分證字號,你可以用你家人的,但是你自己要記的起來。
客服查得到你的密碼,危險!
如果有玩家忘了遊戲的密碼,打電話去客服盧半天要對方幫你查,這時候要注意,客服沒有辦法取得你的密碼,這是正常的,千萬不要大聲嚷嚷,如果客服可以幫你查到密碼並且當場唸給你,那這種表示資料庫的密碼欄位沒有加密,這是一件很危險的事情,而且這也不是正確的處理流程,客服是不應該把密碼唸給玩家知道的。
像我常提那的款3Q可愛遊戲,以前我就曾經打電話去要過密碼,客服還唸給我聽,後來發生資料庫被入侵,大量盜帳號風波時,那簡直是一發不可收拾。
玩家忘記密碼,最正確的步驟是:
1、去電或mail或傳真確認身份
2、若干時間後,客服會寄一組由程式亂數產生的密碼到你指定的信箱
3、寄出後客服來電告知,玩家去收取密碼再上官網變更
4、變更以前不能用該組密碼上線
不過通常只到第三個步驟,追加第四個步驟是針對不肖客服設計的防護。
過濾機制與帳號防護
所以這邊遊戲公司可以做一些事情,可以減少客服被轟炸。
1、防止玩家帳號和密碼是相同的,在網頁端申請的時候就要擋下來,用警告訊息告訴玩家帳號密碼不可以一樣。
2、另外如果一家遊戲公司有多個遊戲,也可以在玩家申請會員或帳密時,去檢索玩家是否在本公司平台內其他遊戲申請過相同的帳號,替玩家過濾掉,從網頁申請就可以開始幫玩家做一些事情,以後客服端會少很多麻煩。
3、在遊戲登入視窗內,玩家如果輸入密碼錯幾次,或輸入不一樣的帳號幾次,就強制關閉遊戲,你必須重開,這雖不能擋什麼,但是可以增加試圖以收集名單嘗試猜貼玩家密碼的人工作上的麻煩。
4、密碼加密、密碼加密、密碼加密,應該不用多提了,如果是代理別人的遊戲,也要確實要求對方做到這個部分。
資料庫的防備已經越來越重要
講了這麼多,遊戲公司最重要的除了玩家密碼欄位的加密之外,資料庫的保護工作已經刻不容緩,而有時候為了省成本把所有遊戲資料庫丟在同一個地方,出事情也都是連鎖的,最近玩家應該有發現有一些大遊戲已經在公告玩家趕快改密碼了。
網路科技進步神速,網路犯罪也跟著暴增,在虛擬資產逐漸被建立起價值的這年頭,希望遊戲公司能好好的下工夫保護遊戲的資料庫,現在這些已經成了黑客下手的首要目標了,尤其是喜愛躍上遊戲網站前幾名的熱門排行,當你們把遊戲灌上前十大,也可能代表麻煩才剛要來臨而已。
年假九天,我也要休息一陣子,回家好好享受個清閒,這兩篇粗淺的文章陪大家過過年,放假記得好好的出去玩個過癮,梅添涼我在這裡祝你們大家新年愉快 : )。
星期五, 二月 16, 2007
線上遊戲-遊戲資料庫(下) 資料庫被駭,玩家會倒楣嗎?
延續上一篇文章繼續談,因為文字比較多,所以我把他分成兩篇。

由 涼 發表於 2:50 PM | 文章分類: 線上遊戲非法防治系列








由 涼 發表於 2:50 PM | 文章分類: 線上遊戲非法防治系列
迴響留言
呵!是啊!!是在某部份上可以防止因玩家不慎
造成的帳號被盜的情況發生
只是~遊戲產業在資料庫端做的努力一樣是少得可憐
附帶一提!久未接觸線上遊戲(工作/休閒都是)
現在遊戲公司對網頁傳輸加密(SSL)到底是.....有做沒做啊
造成的帳號被盜的情況發生
只是~遊戲產業在資料庫端做的努力一樣是少得可憐
附帶一提!久未接觸線上遊戲(工作/休閒都是)
現在遊戲公司對網頁傳輸加密(SSL)到底是.....有做沒做啊
其實 .... 再怎麼加密也都是會被破解的。
目前業界常用的幾種加密編碼其實都已經有破解的演算技術出來了,
只不過,實際去跑這些演算法去盜帳號不太值得,
因此大多數的破解盜帳號者還是用傳統的“字典法”在進行 .....
目前業界常用的幾種加密編碼其實都已經有破解的演算技術出來了,
只不過,實際去跑這些演算法去盜帳號不太值得,
因此大多數的破解盜帳號者還是用傳統的“字典法”在進行 .....
對了,有空可以用 Google 搜尋一下 wowglider 這個字,
就會看到一個有趣的程式 ..... (P.S.魔獸不是無敵的)
當然,目前聽說 Blizzard 正和這個程式的作者在打官司 ^_^
就會看到一個有趣的程式 ..... (P.S.魔獸不是無敵的)
當然,目前聽說 Blizzard 正和這個程式的作者在打官司 ^_^
哎呀呀,盜帳號除非是拿到資料庫資料,才需要有破解的動作....
所謂 MD5破解指的是MD5結果資料庫(已經算好的資料),還是可反推出某種符合結果的 key資料呢?
MD5不行還有 SHA、SHA256也很方便呢....
重點是,把 key加長等等做些簡單處理,要破解應該也近乎不可能吧....
所謂 MD5破解指的是MD5結果資料庫(已經算好的資料),還是可反推出某種符合結果的 key資料呢?
MD5不行還有 SHA、SHA256也很方便呢....
重點是,把 key加長等等做些簡單處理,要破解應該也近乎不可能吧....
這兩篇是在講遊戲的資料庫安全...小弟插個話,提一個ISP資料庫的新聞
大陸駭客入侵 So-net上千客戶資料外洩[Yahoo新聞]
http://tw.news.yahoo.com/article/url/d/a/070223/2/asqy.html
大家要注意喔!
ISP的大牌-HX-net也是有被入侵過的!
大陸駭客入侵 So-net上千客戶資料外洩[Yahoo新聞]
http://tw.news.yahoo.com/article/url/d/a/070223/2/asqy.html
大家要注意喔!
ISP的大牌-HX-net也是有被入侵過的!
涼大,各位遊戲界的前輩們,小弟在這裡給你們拜個晚年。
涼大,你們討論的事情還真是深奧,我真的一點 都聽不懂。
上次去了電玩展,覺得還是很老套,花大錢請辣妹來造勢。
不然就是狂送贈品,或是請人上來比賽,不然就是辣妹陪練功。
真希望能夠多跟玩家互動,聊聊玩家的心聲跟對遊戲的建議。
祝各位前輩及涼大,豬事大吉,心想事成,新春如意,身體健康,步步高陞,平步青雲,恭喜發財。
再接下去可能連 萬獸之王,我見猶憐,胖得可愛這些怪詞都跑出來了。
涼大,你們討論的事情還真是深奧,我真的一點 都聽不懂。
上次去了電玩展,覺得還是很老套,花大錢請辣妹來造勢。
不然就是狂送贈品,或是請人上來比賽,不然就是辣妹陪練功。
真希望能夠多跟玩家互動,聊聊玩家的心聲跟對遊戲的建議。
祝各位前輩及涼大,豬事大吉,心想事成,新春如意,身體健康,步步高陞,平步青雲,恭喜發財。
再接下去可能連 萬獸之王,我見猶憐,胖得可愛這些怪詞都跑出來了。
如果是這樣..那醫生不就要失業了...
那我就不能去醫院看美麗的護士小姐了
涼大,我最近也看開了,不想碰線上遊戲了。
很多大大說的對,現在的遊戲都只是練功,升級,打怪,解任務。
不斷的輪迴著,而且也不知道是官方不抓掛機,還是擋不住。
很多公司都只是開空頭支票,所以我決定不玩洛汗了。
一點成就感都沒有。看到網咖一堆人開著電腦掛著聊天。
搞不懂他們來網咖做啥的??如果硬說有什麼成就感的話,
那就是我都喜歡越等打怪吧?而且我玩法師又容易趴。
真的是種考驗。還有殺比我高等的掛機,每次去殺都要想好戰略。
因為對方裝備等級都比我高,還會反擊呢。
而且都要抓好角度(因為怕怪忽然生出來在我旁邊。。)
時間也要抓得剛剛好,才有機會一舉擊殺。
剛開始殺得很開心。後來就麻木了。再怎麼殺他還是照出現不誤。
提供官方ID,也只是做做樣子。所以不想受氣了。
花錢玩一個永遠都不能公平的遊戲。(騙鬼去玩吧)
那我就不能去醫院看美麗的護士小姐了
涼大,我最近也看開了,不想碰線上遊戲了。
很多大大說的對,現在的遊戲都只是練功,升級,打怪,解任務。
不斷的輪迴著,而且也不知道是官方不抓掛機,還是擋不住。
很多公司都只是開空頭支票,所以我決定不玩洛汗了。
一點成就感都沒有。看到網咖一堆人開著電腦掛著聊天。
搞不懂他們來網咖做啥的??如果硬說有什麼成就感的話,
那就是我都喜歡越等打怪吧?而且我玩法師又容易趴。
真的是種考驗。還有殺比我高等的掛機,每次去殺都要想好戰略。
因為對方裝備等級都比我高,還會反擊呢。
而且都要抓好角度(因為怕怪忽然生出來在我旁邊。。)
時間也要抓得剛剛好,才有機會一舉擊殺。
剛開始殺得很開心。後來就麻木了。再怎麼殺他還是照出現不誤。
提供官方ID,也只是做做樣子。所以不想受氣了。
花錢玩一個永遠都不能公平的遊戲。(騙鬼去玩吧)
涼大..我們老師要我們寫產業分析報告
(目前小弟是白天上班,晚上念書拉)
多虧你的資料,讓我成為班上遊戲組最搶手的人物。
真是太感謝您了。我一定會很認真的努力把你的想法
加進我的報告裡的。
祝你感冒早點好起來!!
(文章摘錄~~瑞克梅添涼,班上的人還以為我是去找國外的資料。哈)
(目前小弟是白天上班,晚上念書拉)
多虧你的資料,讓我成為班上遊戲組最搶手的人物。
真是太感謝您了。我一定會很認真的努力把你的想法
加進我的報告裡的。
祝你感冒早點好起來!!
(文章摘錄~~瑞克梅添涼,班上的人還以為我是去找國外的資料。哈)
洛汗online(http://www.rohan.com.tw)在收費前數天開始出現玩家被盜帳號的問題
大多玩家儲值完隔天立即被盜、有些被盜數次、有些什至被盜號者把人物放在官方設立的交易平台拍賣..
巴哈及官方的討論版已經被玩家的罵聲覆蓋,卻不見官方有任何反應...
而已在收費後,一些申請歷程的服務仍沒開啟...這家由韓國來台設立的子公司實在讓人落汗...
看完涼大這兩篇文章,再看洛汗這次的事件,可說是資料保護不足的問題?
大多玩家儲值完隔天立即被盜、有些被盜數次、有些什至被盜號者把人物放在官方設立的交易平台拍賣..
巴哈及官方的討論版已經被玩家的罵聲覆蓋,卻不見官方有任何反應...
而已在收費後,一些申請歷程的服務仍沒開啟...這家由韓國來台設立的子公司實在讓人落汗...
看完涼大這兩篇文章,再看洛汗這次的事件,可說是資料保護不足的問題?
大大妳好
小弟剛才看了一下
要說線上遊戲 有好有壞
小弟也是玩過多款的線上的 電玩
不過 玩到最後 我發現 線上遊戲 還真的是一條不歸路
在國外的線上遊戲的處理 外掛 我也是真的見看它們的 本事了
我就玩過 海外的遊戲也是 不過我是發現 在那邊的處理態度 跟台灣 真的是
"天地~遠井" 話說 回來 台灣可以說 每一家的代理商都是 換湯不換藥的
可以是說 都是一句話 態度可是讓 小小老百姓感覺很不滿
現在的我都看到線上的遊戲 不管它內容在那麼 豐富 人物在多麼 華麗
只要市台灣代理 一下來
唉...........................................
台灣 何時才能見到一線微弱的 署光
還是一直 迷爛的 黑暗的世界
小弟剛才看了一下
要說線上遊戲 有好有壞
小弟也是玩過多款的線上的 電玩
不過 玩到最後 我發現 線上遊戲 還真的是一條不歸路
在國外的線上遊戲的處理 外掛 我也是真的見看它們的 本事了
我就玩過 海外的遊戲也是 不過我是發現 在那邊的處理態度 跟台灣 真的是
"天地~遠井" 話說 回來 台灣可以說 每一家的代理商都是 換湯不換藥的
可以是說 都是一句話 態度可是讓 小小老百姓感覺很不滿
現在的我都看到線上的遊戲 不管它內容在那麼 豐富 人物在多麼 華麗
只要市台灣代理 一下來
唉...........................................
台灣 何時才能見到一線微弱的 署光
還是一直 迷爛的 黑暗的世界
張貼迴響:
引用列表
本篇文章引用網址: http://yblog.org/api/trackback/?id=6969
沒有引用
本篇文章引用網址: http://yblog.org/api/trackback/?id=6969
沒有引用
訪客來源網址(僅列最多的10個外部來源):
- https://www.google.com.tw/ (31)
- https://www.google.com/ (14)
- http://yblog.org (4)
- http://www.google.com/search (2)
- http://tw.search.yahoo....ei=utf-8&v=0 (2)
- https://tw.search.yahoo.com/ (2)
- http://tw.search.yahoo....ei=utf-8&v=0 (1)
- http://tw.search.yahoo....top&fr=yfp-s (1)
- http://tw.search.yahoo....&type_param= (1)
- http://www.bing.com/sea...09&form=pere (1)
- http://r.search.yahoo.c...xf2qlgdno1wb9bk- (1)
- http://r.search.yahoo.c...xbpp9_hgm.dnkfi- (1)
- http://tw.search.yahoo....mec2fvaze-?p=%e8 (1)
- http://www.google.com/s...84%e6%94%b9& (1)
- http://www.delta-search...trl&tsp=4936 (1)
對現在遊戲產業常發生的資料庫被入侵的幫助很小
甚至可以說幾乎沒有
219.87.131.* | 標記為廣告 | 回應此篇迴響