Рекламушка :)

Грядущие улучшения безопасности

GGG успешно справились с задачей отладки серверов и теперь всерьез взялись за усовершенствование системы безопасности аккаунтов. Сейчас она отсутствует. Есть только пароли, украв которые злоумышленники без проблем получают доступ к чужим аккаунтам и раздевают персонажей. Судя по официальному форуму кража аккаунтов превратилась в эпидемию. Ответ от Криса внушает уверенность в светлом будущем без каких-либо краж.

Официальная Цитата (ссылка)
Несколько недель назад я разместил на форуме пояснения к наиболее распространенным способам кражи паролей.

Сейчас наблюдается рост активности злоумышленников, которые раздевают персонажей и лишают их ценных вещей. Как только мы разобрались с нестабильной работой серверов, мы начали работать над новыми мерами по защите аккаунтов, которые не позволят укравшим пароли легко получить доступ к аккаунтам.

Хочу сразу пояснить – наша система безопасности не была взломана. Если бы наша база данных была скомпрометирована, то злоумышленники в первую очередь обратили бы внимание на аккаунты богатых игроков, стримеров, разработчиков. Представьте, какие ценные вещи находятся у меня на аккаунте, у Kripparian’а, у людей с первых мест в ладдерах. Эти люди не теряли свои пароли. Попыток получить доступ к аккаунтам разработчиков с неизвестных IP адресов вообще не было. Аккаунты, подвергшиеся атакам злоумышленников, это в основном аккаунты людей играющих не очень много или мало и использовавших хакерские программы. В техподдержку часто приходят письма с жалобами о побочных эффектах мапхаков, а затем и письма о том, что вещи были украдены. Стоит лишний раз упомянуть, что использование мапхаков влечет за собой перманентный бан аккаунта. Мы пока не проводили волну банов, но когда это произойдет, тысячи людей потеряют свои аккаунты, если заранее не прекратят их использовать.

Я провел много времени, просматривая логи с IP адресами и разговаривая с людьми, чьи аккаунты были скомпрометированы. Почти во всех случаях несчастье происходило по тем причинам, которые я описал в своей предыдущей теме. Игроки использовали одинаковые пароли для аккаунта и на непонятных фан-сайтах, запускали вирусные программы, нажимали на фишинговые ссылки и играли с компьютеров уже подключенных к ботнету. Сейчас злоумышленники по всей видимости автоматизировали свою деятельность и раздевают персонажей в разы быстрей, это заметно по увеличившемуся количество обращений в ТП. Мы баним все IP, с которых происходили кражи, но этот способ малоэффективен ввиду использования прокси-серверов.

Я не заявляю, что все люди потерявшие пароли использовали запрещенные программы. Многие использовали одинаковые пароли, использовали незащищенную версию Java, когда просматривали зараженные фан-сайты, случайно нажали на «плохую» ссылку, залогинились на фейковой версии нашего сайта. Очень легко допустить подобную ошибку, если не быть предельно внимательным и аккуратным.

Именно из-за таких мелочей игры имеют систему защиты для предотвращения несанкционированного доступа к чужим аккаунтам. У PoE пока что нет такой системы, но очень скоро она будет. Мы представляем собой небольшую группу разработчиков, и последний месяц тяжело работаем над отладкой серверов (к счастью, сервера уже стабильны) и вопросами, связанными с безопасностью. В течение недели мы представим новую систему защиты, которая не позволит злоумышленникам, даже если они украли пароли, получить доступ к аккаунтам. А первые шаги по ее внедрению вы сможете наблюдать уже через пару дней.

Люди часто спрашивают, почему мы не восстанавливаем вещи, которые были украдены. Если бы мы так делали, то это очень сильно навредило бы игровому процессу. Я понимаю, тяжело наблюдать пустой сундук после того, как он был набит под завязку. Но поймите и вы, какие были бы последствия для экономики, если бы мы восстановили все украденные вещи. Очень легко организовать не настоящую кражу – попросите друга из другой страны зайти на аккаунт и забрать Ваши вещи, а затем обратитесь в ТП.

Если бы мы восстанавливали украденные вещи, это был бы бесплатный дюп. Если бы мы забирали вещи у воров обратно без копирования, то это стало бы общедоступным торговым хаком. В любом случае экономика была бы разрушена.

Сейчас все рабочее время наших сотрудников уходит только лишь на ответы пользователям. Не только из-за тщательного разбора каждого запроса, но и чтобы они нас не обманули. Поэтому восстановления вещей не будет никогда.

Ситуация в целом показывает насколько неадекватной мерой защиты являются пароли. Мне очень и очень жаль, что мы не смогли сразу после начала ОБТ внедрить более продвинутую систему защиты, чтобы сделать украденные пароли бесполезными. К счастью очень скоро надвигаются кардинальные изменения, и в будущем больше не будет такой проблемы. Я буду работать каждый вечер в течение недели, чтобы эти изменения были внедрены настолько быстро, насколько это вообще под силу человеку. Не смотря на то, что люди и впредь будут терять пароли, злоумышленники, я надеюсь, никоим образом не смогут зайти на Ваш аккаунт и раздеть персонажей и поэтому перестанут нас всех беспокоить.

Мы также с ужасом обнаружили, как много игроков запускает зараженное ПО. Хотя у нас большое и активное комьюнити (более миллиона посетителей в месяц), мы видим тысячи и тысячи аккаунтов, с которых запускается зараженное ПО с кейлоггерами. Даже если мы внедрим меры, предотвращающие несанкционированный доступ к аккаунтам, мы все равно вас забаним за попытку читерства.

Если Вы переживаете по поводу возможной кражи своих вещей, и Вы не запускали никакие неизвестные программы, просто измените пароль, не нажимайте на непонятные ссылки и не используйте везде одни и те же пароли. Это то, что я делаю и мой аккаунт еще никто не взломал.

Еще одна вещь достойная упоминания, это то, что злоумышленники могут купить список паролей на сайтах, которые раньше были взломаны.

Правдивая история:
Однажды в прошлом году я играл в Diablo III и меня выкинуло из игры, кто-то зашел на мой аккаунт. Я сразу зашел обратно и поменял пароль, чтобы прервать действия злоумышленника. Я точно знал, что не использовал никакие программы, не нажимал ни на какие ссылки. Проблема оказалась в таком же пароле, который был у меня для биткоин аккаунта на Mtgox. Их сайт был хакнут год назад, и все пароли утекли в неизвестном направлении. Мне удалось найти список украденных паролей, там был и мой тоже. Я поменял все свои пароли и больше не сталкивался с такой проблемой. Уверен, точно такая же ситуация произошла и с тысячами игроков в PoE, которые не запускали программы и не нажимали на ссылки. Внедряемые нами меры по защите аккаунтов предотвратят и такой расклад.


Понравился материал? Расскажи о нем!

Чтобы получать "пати бонусы", выставлять рейтинги и комментировать, регистрируйтесь на Horadric.RU!

Комментарии

Аватар пользователя Askael

Надеюсь,что энтузиазм Криса не скоро иссякнет ) В данный момент его подход к игре вызывает уважение

Аватар пользователя ASteyr

У тебя вызывает уважение тот факт что чувак не сделал ничего чтобы защитить игроков от взлома акков, и теперь пытается оперативно исправить свой же косяк?

Аватар пользователя Immundissime

Как бы логин + пароль - это совсем не защита? И то, что юзеры пользуют неизвестно кем написанные хаки/заразились вирусняком/используют простые словарные пароли - это вина Криса лично?
Да, можно было заранее сочинить более сложную систему защиты, потратить время на ее разработку и внедрение, но у них и без нее и до сих пор работы навалом - игру еще фиксить и фиксить, не забывая про новый контент. А тут хомячки опять накосячили и сочиняй им теперь очередную защиту от дурака.

Аватар пользователя Donfon2

в данный момент, все что делает GGG вызывает уважение...

Аватар пользователя woodlion

Надеюсь учтут, что у некоторых динамический айпи.

Аватар пользователя Saruman

"Я буду работать каждый вечер в течение недели, чтобы эти изменения были внедрены настолько быстро, насколько это вообще под силу человеку."
Вот бы в Близзард хоть пара человек так работали.

Аватар пользователя svarog77

Смешно читать хомячков, которые умиляются той работе, которую требовалось сделать в первую очередь.

Аватар пользователя Immundissime

От глупости защиты не существует

Аватар пользователя Mag1c

Смешно читать хомячков, которые забывают, что проект с несравненно бОльшим ресурсом человекоденег был покусан злоумышленниками!

Аватар пользователя Hugl

Приятно удивлен. И это все написал глава проекта, а не МК.... какой-то, который после своего ответа, его меняет, потому что сказал глупости или еще что-то. разработчик беспокоиться о своем проекте и разрабатывает что-то новое и сам лично общается с людьми. Это не Диабло 3, где после каждой новости у меня появляется отвращение, как с новостью о том, что Д3 писалась под консоль.
Я до сих пор не могу пройти 1 уровень сложности на ХЦ. игра невероятно сложная, имея многолетний опыт игры на хц в Д2, эта игра тяжелая )

Аватар пользователя Vesterlend

Ребятки завязывайте писать бред))) Тысячи акков были вскрыты в Д3 с Ох....нной защитой от Близзов......

Аватар пользователя tarantoga

В эту игру еще играют?

Аватар пользователя xcomcf

Да ) Мне вот нравится, а тем более сегодня открывается 1й сезон гонок, с ладдером, призами, блекджеком и т.д.