Contas antigas são divulgadas acidentalmente pela CipSoft

No meu caso o ocorrido foi algo até bom, estava utilizando ainda o número antigo que era gerado automaticamente, então minha account name era composta apenas por número (menos segura), agora consegui bolar algo melhor e bem mais seguro de graça.

E caso eu use Account Number até hoje, será que vai dar problema?

Isso é só para jogadores de Candia ou todos os mundos?

A minha é Account Number, não é Account Name eu preciso pedir pra trocar então?

-------------------------------------------------------------------------------
EDIT POST:

Na página da minha conta estava: Mar 21 2014 Account Name Change paid foi só trocar para outro login
sem precisar pagar nada.

Account Successfully Renamed
You have successfully renamed your account to "xxxxxxxxxxxxxxxx".

-------------------------------------------------------------------------------

Não sei se estou correto em relação ao termo mas a CipSoft quis divulgar o que chamam de API para facilitar os criadores de estatisticas e acabou esqueçendo dos ID's, foram muito amadores se realmente foi dessa maneira, no mínimo se checa antes o que se está divulgando.

Contas com ID 01 ou 1 ou 02 ou 2 ou 03 ou 3 devem ser do Guido, Steve, Stephan, claro que o password não deve ser o mesmo da Account Number no caso deles, mas nesse arquivo XML deve conter o nome dos personagens, então se filtra o nome de um deles no arquivo XML e pegam o ID e o nome, depois criam um brute force em qualquer linguagem com uma lista de senhas (passwords) mais comuns (ex: 123 12345 123456 etc..) e podem acabar acertando e ferrando milhares.

Cipsoft cometeu uma falha muito grave.

Citação:

---

Postado originalmente por LuKa$

Isso é só para jogadores de Candia ou todos os mundos?

A minha é Account Number, não é Account Name eu preciso pedir pra trocar então?

-------------------------------------------------------------------------------
EDIT POST:

Na página da minha conta estava: Mar 21 2014 Account Name Change paid foi só trocar para outro login
sem precisar pagar nada.

Account Successfully Renamed
You have successfully renamed your account to "xxxxxxxxxxxxxxxx".

-------------------------------------------------------------------------------

Não sei se estou correto em relação ao termo mas a CipSoft quis divulgar o que chamam de API para facilitar os criadores de estatisticas e acabou esqueçendo dos ID's, foram muito amadores se realmente foi dessa maneira, no mínimo se checa antes o que se está divulgando.

Contas com ID 01 ou 1 ou 02 ou 2 ou 03 ou 3 devem ser do Guido, Steve, Stephan, claro que o password não deve ser o mesmo da Account Number no caso deles, mas nesse arquivo XML deve conter o nome dos personagens, então se filtra o nome de um deles no arquivo XML e pegam o ID e o nome, depois criam um brute force em qualquer linguagem com uma lista de senhas (passwords) mais comuns (ex: 123 12345 123456 etc..) e podem acabar acertando e ferrando milhares.

Cipsoft cometeu uma falha muito grave.

---

A parte final do seu post fala tudo, é bem isso :/

Citação:

---

Postado originalmente por LuKa$

Contas com ID 01 ou 1 ou 02 ou 2 ou 03 ou 3 devem ser do Guido, Steve, Stephan, claro que o password não deve ser o mesmo da Account Number no caso deles, mas nesse arquivo XML deve conter o nome dos personagens, então se filtra o nome de um deles no arquivo XML e pegam o ID e o nome, depois criam um brute force em qualquer linguagem com uma lista de senhas (passwords) mais comuns (ex: 123 12345 123456 etc..) e podem acabar acertando e ferrando milhares.

Cipsoft cometeu uma falha muito grave.

---

Depois de x tentativas a account leva um bloqueio de 30 minutos, então é bem difícil fazer isto, vai ficar bloqueando e não dar resultado.

Citação:

---

Postado originalmente por Skiann Torphyx

Depois de x tentativas a account leva um bloqueio de 30 minutos, então é bem difícil fazer isto, vai ficar bloqueando e não dar resultado.

---

Isso qualquer brute force com uma proxy list por exemplo do HideMyAss ou qualquer outra lista de proxy já burla o bloqueio temporário, na verdade a maioria dos brute force que prestam já vem com uma proxy list gigante. Fora que se pode errar umas 7 - 8 antes de levar bloqueio por IP.

Mas a questão até agora é que esse arquivo XML não está tão "public" assim, eu pelomenos não vi circulando por ai.

E olha que a iniciativa era boa - uma API pros fansites terem acesso facilitado às estatísticas do jogo.

Já foi uma grande falha um fansite admin vazar essa info ao invés de informar a CipSoft: "hey, tem um erro aqui: account IDs!". Eu sei que esse erro grotesco foi da CipSoft, mas espero que isso não abale a confiança deles no programa de fansites. Provavelmente será quase impossível saber quem vazou a informação...

Felizmente o arquivo ficou um fim de semana online e agora já foi removido. Eu fico até com receio de divulgar abertamente a existência da brecha, mas acho que agora é necessário avisar quem ainda permanecia utilizando sua Account ID como Account Name. Lembrando que a API só gerou a lista de personagens que logou entre 14~17 de março.

Essa situação me remonta a 2003 quando rolou um hack no Tibia e todas as senhas foram resetadas (ou algo do gênero - já não me lembro bem)...

Um rapaz de Refugia chamado Zimmie é dono de fansite, e ele compra char e faz outras coisas erradas, tbm já ouvi relatos que ele rouba nos concursos do fansite dele, então desconfio de onde vazou.

Citação:

---

Postado originalmente por Skiann Torphyx

Um rapaz de Refugia chamado Zimmie é dono de fansite, e ele compra char e faz outras coisas erradas, tbm já ouvi relatos que ele rouba nos concursos do fansite dele, então desconfio de onde vazou.

---

HUEHUE.

Como é mesmo o lema da guild do dono do fansite?

Zimmie: "Não aceitamos botters na nossa guild. Se forem pegos, serão excluídos."
Alguém: "Mas vocês compram/vendem char, seus hipócritas. Seu ek quase lvl 500 é comprado e já tentaram revender. Como vc fala isso? Ainda mais dono de fansite."
Zimmie: "Onde foi que eu disse sobre comprar char? Falei de bots."

/\ Já vi o cara falar uma porcaria dessas, pra vcs verem o nível do cidadão dono de fansite.

THERES ROPE acorda, CIPSOFT!

- - - Atualizado - - -

Eu até andei, recentemente, postando uma foto que tirei no Tibia Cast, quando ele anunciava que estava vendendo o EK, que hoje está lvl 498, pq não achou compradores na época.

Citação:

---

Postado originalmente por LuKa$

Isso qualquer brute force com uma proxy list por exemplo do HideMyAss ou qualquer outra lista de proxy já burla o bloqueio temporário, na verdade a maioria dos brute force que prestam já vem com uma proxy list gigante. Fora que se pode errar umas 7 - 8 antes de levar bloqueio por IP.

Mas a questão até agora é que esse arquivo XML não está tão "public" assim, eu pelomenos não vi circulando por ai.

---

O bloqueio é por account name e não por IP. Não tem como burlar.