Якось дивно хакнули основний акк.

[mirnuj_atom]

Ребят, пароли воруют в момент транспорта между вами и сервисом, куда этот пароль вводите.

 

ага, і https трафік на льоту розпаковують

Про хеші згоден, у всіх адекватних сервісах таки тільки хеш, але один раз якись сайтік (не пам’ятаю вже який) прислав мені мій старий пароль коли я натиснув форгот пассвд.

[Dmitrij]

@mirnuj_atom, не всегда https гарантирует, что трафик именно зашифрован. Столкнулся я с этим, когда нужно было разработать веб сервис, в котором была централизованная информация о бонусах клиентов. аналог фишка в ОККО. Нужно было считывать и списывать и начислять. Так вот, после сделанной работы, проверял трафик и какое было мое удивление, что пароль был просто закодирован BASE64. Сделал простую веб морду, для теста. Авторизация клиента, ввод номер карточки и вывод информации по карте. С виду все красиво, зелененьким https, 443 порт и тд, а на деле вот так

 

Защита при передачи информации между клиентом и сервером, если на пальцах, можно поделить на 3 пункта:

 

1. свой-чужой. Проверка, что сервер и клиент это действительно те, за которых себя выдают.

2. цифровая подпись. Гарантия, что информация при передаче не была изменена. Читать можно без проблем.

3. шифрование. Гарантия, что информация не была прочитана при передачи. 

 

Я к тому, что не все так однозначно просто там. Если был случай, значит где то проскочило.

[mirnuj_atom]

mirnuj_atom, не всегда https гарантирует, что трафик именно зашифрован.

 

Ну це явна криворукість жеж.

В принципі в мене цей пароль досить давно стояв, могли давно злити а вилізло тільки зараз.

Іто добре що якесь скупе мале г**но вибило мене з акка коли я був дома якраз )

 

 

Запитав в сапорта чи забанили мого візаві, написали отаке:

 

 

 

К сожалению, данная информация не может быть предоставлена, так как является конфиденциальной.

 

Ех.

Изменено 10 мая, 2016 пользователем mirnuj_atom (смотреть историю редактирования)

[Sr_psycho]

Начитался ужасов и включил 2х этапную проверку.

[mirnuj_atom]

Начитался ужасов и включил 2х этапную проверку.

 

Правильно зробив, я теж.

Написав в першому пості як отримати свій акк назад, в принципі там все очевидно але хай буде.

[Devillus]

У тебя на этом основном акке есть стоящие игры? не пс+ и не копеечные индюшки. Если ответ Да - то точно угнали. 

Ну как угнали? тебе ничего плохого не будет, просто взяли твой п1, скажем так.

Лично для тебя это беды не принесет никакой)

 

Все что написано выше - все сделал правильно. Лично я, как имевший с этим дело со стороны угонщика так сказать, успокоился бы на моменте смены всех паролей, зачем ребенка обижать который купил себе акк))) (жаль нельзя продавцов наказывать - они наказаны не будут)

хотя если сейчас у тебя через сайт нет кнопки деактивации консоли, то уже позняк метаться) игры все равно забрали.

 

В принципе во избежание и для профилактики, и Демнед когда-то говорил и я говорил - нужно каждые пол года самостоятельно деактевировать свой акк через сайт. Шоб не засматривались угонщики)

[Dmitrij]

@Devillus,никаких П1 у него не угнали. На аккаунте была активирована консоль владельца аккаунта. Её деактивнули через сайт и активировали другую консоль. Как раз 2-ю консоль могут забанить.  

[mirnuj_atom]

Ну как угнали? тебе ничего плохого не будет, просто взяли твой п1, скажем так.

 

Лично для тебя это беды не принесет никакой)

 

Ні, не так, мій акк для мене став П3, а для тих тіпочків П2, тобто моя дівчина, наприклад, не зможе запустити куплені на цей акк ігри в себе.

На ньому якраз сама годнота яку я купував окремо щоб не ділити акк з школотою і не мати потім вил зі зміною паролів і теде.

+ до аккаунта прив’язана моя платіжна картка, на якій завжди є гроші шоб обіжаний рєбєнок купив собі колду мені в акк наприклад )

[Devillus]

@mirnuj_atom,

@Dmitrij, дык а как по-твоему продают акки которые "вы покупаете единоразовую скачку, ни в коем случае не заходите потом на купленный аккаунт и блаблабла"

 

я покупал консоль с такими аккаунтами со старта. Продавцы имеют на руках логин-пароль с базой игр (Атом допустим). Я себе ввожу этот аккаунт и выкачиваю из библиотеки все игры которые мне нужны. Далее прошу чтоб продавец деактивировал аккаунт. После чего активирую у себя. закрываю акк и больше им не пользуюсь. Играю в игры...

 

В этот же момент продавец деактивирует владельца (у Атома зашли на консоль и кнопка деактивации на сайте у Атома не активна). Логины-пароли они не меняют, им это не надо, игры уже у меня.

Чаще всего основные владельцы списывают все на глюк со слетевшей активацией и просто спокойно заново активируют акк на консоли и играют дальше.

Все, никто не пострадал, все играют..

[mirnuj_atom]

В этот же момент продавец деактивирует владельца (у Атома зашли на консоль и кнопка деактивации на сайте у Атома не активна).

 

Неа, кнопка деактивації на сайті не активна якщо нею користувались раз за останні півроку жеж. Тобто мою консоль відкрутили через сайт а не через консоль, так як на сайті була не моя пс4.

 

Все, никто не пострадал, все играют..

 

Ну тут хз, я люблю своїми речами сам користуватись, тепер я не зможу дати викачати ігри комусь зі своїх друзів по тій же схемі наприклад.

+ в мене якраз стирили рюкзак з фотіком і плеєром тому я був занадто злий щоб спускати отак от.

[Devillus]

спускати отак от

та все правильно сделал. я с октября месяца переживаю что кто-то сделал так же) так как при покупке консоли не знал нюансы и не подозревал о существовании троек и их продажи.

[Viktor Chuhra]

mirnuj_atom, не всегда https гарантирует, что трафик именно зашифрован

ти шось путаєш, https завжди гарантує шифрування даних при передачі. в цьому вся суть https - http з ssl/tls шифруванням поверх.
трафік шифрувається public ключем і може бути розшифрований тільки приймаючою стороною за допомогою private ключа. ти можеш перехопити трафік, але тобі це нічого не дасть. base64 encoding немає нічого спільного з шифруванням.
тим не менше є варіант з доступом до даних на льоту, але він вимагає встановлення додаткового self-signed public сертифікату в браузері на твому компютері(що досить малоймовірно в цьому випадку) і перехопленням трафіку.

насправді дуже цікаво як взламали - sony дозволяє необмежену кількість спроб підбору паролю?

[SolShort]

@mirnuj_atom,

>>>прислав мені мій старий пароль коли я натиснув форгот пассвд.

Как бы большинство алгоритмов шифрования предполагают обратимость кеша в пароль, достаточно хранить (знать как генерировать) ключ к расшифровке в другом месте, отличном от базы хешей.

И по запросу пользователя делать дешифровку.

Так что клеймить сервисы, присылающие старый пароль по запросу, я бы не спешил.

[mirnuj_atom]

Как бы большинство алгоритмов шифрования предполагают обратимость кеша в пароль, достаточно хранить (знать как генерировать) ключ к расшифровке в другом месте, отличном от базы хешей.

 

Використання таких алгоритмів в продакшн є один з основних антипатернів розробки сервісів какби, тому став би.

Я теж айтішнік пацани.

[Буран]

Ну как угнали? тебе ничего плохого не будет, просто взяли твой п1, скажем так.

 

Вот так у Вас воруют аккаунты/деактивации, бывшие "честные" спонсоры

 

Кстати, сегодня день дурака что ли?

 

[Devillus]

Вот так у Вас воруют аккаунты

ну тут немного другое. Хоть я так и не понял что за лажа у Хак-стока.

 

Тогда сразу другой вопрос - а разве что-то криминальное в том что у тебя п2 и через пол года ты заново можешь слить с него п1?

Вроде ж имеешь право. Или как? 

Не совсем понял.

Изменено 13 мая, 2016 пользователем Devillus (смотреть историю редактирования)

[Буран]

@Devillus, не имеешь, у тебя П2, вот им и наслаждайся

[Олександр Каюдін]

 Столкнулся с такой же проблемой как автор.Начинаю менять пароли.Не могу сделать сброс и активировать консоль как основную.Беда.

UPD:написал заявку,перезвонил в поддержку-подтвердили *угон*.

В порядку исключения все вернули взад

Большое спасибо.

Изменено 11 января, 2021 пользователем Олександр Каюдін (смотреть историю редактирования)