Vykradený účet

[Nekronaut]

To bylo jasné, že hned po zprovoznění profilů se hodně lepších účtů bez ochrany podrobí slídění téhle chamradě. Hodně štěstí...

[Xkryspin]

Prosím vysvětli mi jak souvisejí profily s útokama...

[Nekronaut]

Prosím vysvětli mi jak souvisejí profily s útokama...

Že ví na koho útočit protože se to vyplatí?

[Xkryspin]

A ehm... a jak si představuješ propojení profilu s loginem? (Případně s čímkoliv jiným - zranitelným?)

[Alfajk]

To v dnesnej dobe hra este niekto bez autentifikatoru ?

kazdej,kdo neni paranoidni...

ucet ti obnovej i s equipem,staci napsat na support,ale chvili to trva,kamos to s wowkem resil celej mesic

[Alfajk]

A ehm... a jak si představuješ propojení profilu s loginem? (Případně s čímkoliv jiným - zranitelným?)

ty si myslis,ze je potreba nejaky propojeni ? v D3 se tocej relativne velky penize a vubec bych se nedivil,kdyby byla organizovana skupina hackeru,ktery by zdimaly prave equip v diablu a RMAH...jim staci cil videt,maj svoje metody,jak login,mail a password vystourat

doted nebyl "cil"videt,ale s prichodem profilu se jim doslova otevreli dvere dokoran

[Xkryspin]

Koukám, že nechápeš, tak ti to vysvětlím:
Jseš útočník - vidíš perfektní postavu. Super cíl... Jenže jediné co víš je jméno postavy a možná battle tag.

Aby ses mi dostal na účet potřebuješ znát alespoň jedno z:
- přihlašovací email a heslo. Ani jedno z profilu nezjistíš.
- počítač ze kterého hraješ, abych ti tam mohl nasáčkovat nějaké svinstvo - to taky z profilu nezjistíš
- kontaktovat toho člověka jinak než ingame, abys mu podsunul nějakou návnadu na login + heslo ... jenže z profilu žádný takový údaj nezjistíš...

Tak co si vlastně zjistil? Že je někde super postava? To si věděl i předtím. Jenže nevíš kde je, kdo ji má ... ani jak se k ní dostat.. .Takže seš stejně v pytli jako na začátku. Z téhle strany prostě nebezpečí nevede...

[Nekronaut]

A ehm... a jak si představuješ propojení profilu s loginem? (Případně s čímkoliv jiným - zranitelným?)

Tak předně si vyhlídne dobře prodejné equipy a potom prostě asi hledá spojitosti. Např. nickname projede na googlu a pokračuje dokud na něco nenarazí atd., stěžejní bude dostat se do mailu atd.

Co se technických otázek a možností týče bys mě mohl poučit ty, jako SW a HW znalý člověk

[Alfajk]

....

staci ze ses treba nekdy v minulosti registroval na mail z bnetu na urcity jiny strance a uz ses v nebezpeci...me treba na mail,kterej pouzivam jen k registracim na pochybny stranky porad chodej kraviny "jakoby od blizzardu" ze je ucet ohrozenej,ze mam kliknout na to a to,ze musim napsat heslo jinak dostanu ban atd atd...a hodne lidi se na tohle nachyta

[Xkryspin]

Kromě toho co sem psal výše:
Teoreticky by cesta vedla přes skutečně detektivní práci... jenže to postrádá praktický smysl:
1) Nejde to zautomatizovat - potřebuješ člověka, aby to provedl...
2) Je to časově náročné
3) Příliš vysoké riziko neúspěchu - při vcelku normální opatrnosti majitele účtu se přihlašovacím údajům nedobereš (a pokud není blb tak ti na phish mail neskočí - a jinou cesotu ho nemáš jak navnadit) navíc hrozí vysoké riziko, že narazíš na authenticator...
4) Daleko efektivnější je vybílit snadno dostupné účty, které nalovíš jinde, než sy vybrat jeden super účet a pokoušet se ho vybrat...

[Xkryspin]

....

staci ze ses treba nekdy v minulosti registroval na mail z bnetu na urcity jiny strance a uz ses v nebezpeci...me treba na mail,kterej pouzivam jen k registracim na pochybny stranky porad chodej kraviny "jakoby od blizzardu" ze je ucet ohrozenej,ze mam kliknout na to a to,ze musim napsat heslo jinak dostanu ban atd atd...a hodne lidi se na tohle nachyta

Ale jo - jenže to s profilama vůbec nesouvisí. Z profilu nezískáš email ... z emailu nezískáš profil... A o tom je to co píšu výše - nepropojíš profil z účtem.

[Reve]

To v dnesnej dobe hra este niekto bez autentifikatoru ?

kazdej,kdo neni paranoidni...

ucet ti obnovej i s equipem,staci napsat na support,ale chvili to trva,kamos to s wowkem resil celej mesic

nj vetsinou se poucis az se ti to stane...ja si ho dal az me ve wowku vycistili acc a aji nasi guild banku:)...ale vratili me to hned..to netrvalo snad ani den.

[Alfajk]

Ale jo - jenže to s profilama vůbec nesouvisí. Z profilu nezískáš email ... z emailu nezískáš profil... A o tom je to co píšu výše - nepropojíš profil z účtem.

existujou cely databaze nasbiranejch mailu,nicku,jinejch profilu,dokonce i passwordu...a kdyz ten robot bude zkouset dost dlouho po urcity dobe proste mail s acc sparuje

[Nekronaut]

Spousta lidí má taky stejné heslo úplně na všechno a tím vše zloději zjednoduší. Taky může někdo prodávat loginy po balících=korupce u poskytovatele, blizzu, emailu, tady...

[Xkryspin]

Ale jo - jenže to s profilama vůbec nesouvisí. Z profilu nezískáš email ... z emailu nezískáš profil... A o tom je to co píšu výše - nepropojíš profil z účtem.

existujou cely databaze nasbiranejch mailu,nicku,jinejch profilu,dokonce i passwordu...a kdyz ten robot bude zkouset dost dlouho po urcity dobe proste mail s acc sparuje

Achjo ... tak znovu.
Ano od loginu a hesla se dostaneš k profilu - jenže k čemu ti je to spárování v tuhle chvíli - když už seš vevnitř a můžeš to vybrat (takže profily ti vůbec v ničem z bezpečnostního hlediska nepomohly v útoku).

Obráceně to nefunguje. Takže profilama se bezpečnostní riziko nijak nezvýšilo...

[Alfajk]

Obráceně to nefunguje. Takže profilama se bezpečnostní riziko nijak nezvýšilo...

to si myslis ty,ze neexistuje zadna cesta mezi profilem a mailem...vis co to jsou cookies? tak treba pres ne je ta cesta mezi bnetem a mailem uplne jako dalnice,a ty nemas sanci zjistit,jestli uz treba tvuj mail davno nemaj nekde zjistenej

[Xkryspin]

Představ si, že i s cookies sem počítal.

O to více mě teď zajímá, jak si představuješ, že pomocí cookies, přiřadíš profil k emailu. (Bez předpokladu compromised machine).

[Alfajk]

mel jsem adresu na takovej web,kterej te identifikoval pouze na zaklade normalne pristupnejch informaci z tvyho prohlizece,sice nemel nic konkretniho,ale ten web poznal,ze "jsem to ja",byla tam takova statistika ze celkem bylo na webu asi 5 000 000 navstevniku,z toho bylo "me podobnejch pouze cca 300" a z toho totozy pouze 2 lidi(porovnavalo se tam treba nastaveni pisma,rozliseni obrazovky,verze windows a dalsi normalne pristupny veci s urcitou toleranci odlisnosti)
a to byl web,kterej o sobe rovnou rikal,ze takhle sleduje lidi...vis kolik webu to muze delat,aniz bys o tom vedel ? a najednou kdykoliv se nekde ukazes,kde jiz budou mit "tvuj otisk",tak budou vedet ze to ses prave ty,staci abys jen 1x zadal na podobny strance mail a maj ho navzdy,vysledovat potom cestu az k bnetu neni pro "profesionaly" zadnej problem

[Nekronaut]

Nemluvě o sociálních sítích, bankách a tel. operátorech, ti o nás vědí víc než my sami

[Alfajk]

Nemluvě o sociálních sítích, bankách a tel. operátorech, ti o nás vědí víc než my sami

vzdyt facebook se tim taky chlubi,ze zobrazuje reklamy na zaklade infomraci vytazenejch z tvejch cookies - staci kliknout na to "info o reklame" co tam maj