号外!完美时空的游戏帐号容易被盗?
一直以来,国内某公司凭借其自主开发的数款游戏而深受玩家支持,其帐号注册数达到数千万之多。但正是这样一个非常有名,相当成熟,在游戏业界享有崇高地位的公司,却在其帐号安全系统方面做得非常马虎,帐号系统可以说存在相当严重的安全隐患和无数安全漏洞。
玩过该公司游戏的人都知道,该公司游戏盗号现象相当严重,除了因为盗号猖獗外,帐号的安全系统过于薄弱也是导致玩家帐号被盗的主要原因。而笔者正是因为其相当不负责的帐号安全系统,导致帐号被盗,目前连帐号也无法找回。本人对信息安全很不在行,但正是我这个外行都找到很多作为一个大公司不应该犯的错误,可想而知还有多少安全问题没有被发现。下面就让我们看下本人在找回本人帐号过程中遇到的问题:
安全问题1:帐号明文传送
.jpg)
图1:帐号居然明文显示
稍微有安全意识的人都知道,帐号等重要信息如果采用明文传送会带来很大的安全隐患,所以很多公司发送修改密码或者资料的链接地址都不可能采用明文将帐号等重要信息显示出来,但是该公司从数年前就开始就一直采用这种方法明文发送如此重要的东西。
只到最近才意识到该问题的严重性,改为非明文发送。但是很多以前的玩家却因此而帐号泄露。
国内许多公司早在很多年前就已经不会采用明文发送帐号信息了,但是该公司直到最近才修改该隐患,而我正是因为邮箱有一封该公司的这样一个邮件导致我的帐号泄露,而其他公司的游戏帐号却安然无恙。
安全问题2:发送邮件没有验证
.jpg)
修改密码只需要填写用户名
如果按照很多公司的做法,比如大家常用的QQ或者邮箱提供商,如果忘记密码要重置密码,是必须输入密码提示问题,验证用户身份后才能进行下一步操作,从图2图3我们中也很清楚的看到,该公司对外宣称修改帐号密码是需要验证用户身份的才会发送邮件信息的。但实际上呢,修改密码或者重置密码根本不验证用户身份(见上图),而是直接填个用户名就行了。明明说是需要密码提示问题才能修改密码的,可实际上这样偷工减料的行为简直是太可恶了。
而笔者正是因为他们这样不负责的做法导致帐号被盗:本人不慎导致邮箱被盗,但一般邮箱被盗,盗号者并不知道我的游戏帐号是多少,所以他根本无从去盗去本人帐号。但是我邮箱刚刚好有封之前我2007年10月18日的该公司发给我的找回密码的邮件,而该邮件是明文显示我的帐号信息,导致盗号者知晓我的帐号,如果该公司能够仿照其他公司不采用明文传送帐号信息,盗号者根本无法得知本人的帐号,也更加不可能盗取本人帐号。
因为该公司帐号是明文发送,导致盗号者知晓本人帐号,但是如果是其他的公司,就算知道本人帐号,不知道本人的密码提示问题和答案仍然无法重置本人的密码。但是很可笑的是,因为跳过了安全验证,盗号者无须知道密码提示问题和答案,直接发送邮件轻松的得到本人帐号和密码。
(例如腾讯或者163等等公司,如果忘记密码都必须输入一些身份信息验证用户身份,才能进行找回密码的设置)
如果不是该公司的帐号是明文发送,如果重置密码需要验证下身份,满足以上两点任意一点,本人的帐号都不会被盗。可惜,偷工减料的修改密码找回方式方便了盗号者,从而直接导致本人帐号被盗。
如果装备被盗了,本人还可以找回帐号,装备在买就是,可是该公司可笑的安全系统不光导致装备找不回来,连帐号也变成盗号者的了。
安全问题3:安全系统功能不全,邮箱功能过于集中
.jpg)
该公司对外宣传的该公司的安全系统
从上图可以很明白的看到,该公司的安全体系分5个级别:就是身份注册信息,二级密码,邮箱,密码提示问题,登陆密码。如果真是这样,那么他们的安全体系还算是比较安全的。
但实际上呢?玩过该游戏的人都知道:二级密码,密码提示问题其中的2个级别完全没用,无论是修改任何东西,二级密码和密码提示问题都无用武之地。所有东西全部只能靠邮箱来解决,好好的5个安全级别,被削减成3个:身份信息,邮箱和密码。有2/5的功能无法使用,这个如何保护玩家帐号安全?
(原本我想我知道我的二级密码,即便盗号者修改了邮箱我还是可以把邮箱改回来,可是该公司说是有这个功能而实际根本就没提供这个功能)
安全问题4:安全体系混乱不堪
.jpg)
从第2行字可以看出,5个级别是一级修改一级,就是说高级别的信息是可以修改低级别的。
.jpg)
从上图也可以看出,二级密码是可以修改邮箱的,但是事实情况是如何呢?见下图:
.jpg)
修改二级密码居然可以用邮箱来修改,低级安全信息的居然可以改比他高级的安全信息,完全搞反了,这样颠倒黑白,简直是荒谬至极,这样的混乱不堪的行为真是让人笑掉大牙。
而且让人气愤的是,修改这么高级的安全信息,居然也不进行身份验证,只需要发一个邮件就够了。
(出现低级安全信息修改高级安全信息,估计世界上也只有该公司做得出来,真是让人匪夷所思)
安全问题5:必须借助外界资源才能修改信息
该游戏公司偷工减料的将5个安全级别暗地里变成3个后,所有的安全信息除了发传真,都只能靠邮箱来完成,而邮箱是非该游戏公司的产品。也就是说,如果你想进行帐号信息修改,那么对不起,你只能在别的公司产品上完成,该公司自己的东西却没有任何办法修改,就算你想修改密码这么简单的事情,该公司自己都不提供任何一个途径,只能借助其他公司的邮箱解决。
一个公司的信息安全全部要借助外界资源,实在是太可悲了,让人不得不怀疑其在安全性上的诚心。
(自己的产品自己不提供解决问题的途径,只能靠别人的产品解决,不知道是对自己不自信还是对别人过于相信)
安全问题6:修改资料验证性不够
因为该公司自己不提供任何的修改资料的途径,只能借助邮箱完成所有的操作,那么邮箱也就成为信息安全的重中之重了。正是这样一个重要的东西,比他高级的权限的二级密码都修改不了也就算了,可笑的是,修改邮箱也只要发一个邮件就行了。而且如此重要的东西居然也不验证一下,直接填个用户名就行了。
正是因为如此简单容易,盗号者只需要发送一个修改邮箱的邮件,将我绑定的邮箱修改掉,从此我的帐号就成为盗号者的帐号了。
可是该游戏在安全系统上明确说明:安全性较高的操作需要验证二级密码,但是该公司的安全体系验证了吗? 如果验证了二级密码的话,我绑定的邮箱是不会被盗号者修改的。我的帐号也不会现在变成了别人的帐号。
而且邮箱和邮箱是同级别的,凭什么同级别的东西都不需要上一个级别的同意就能够修改同级别的东西呢?帐号保护方式遵循由高到低的安全级别看来只是说得好听而已。
盗号者盗取了我邮箱后,仅仅只是发送一个改邮箱的邮件就把帐号从我手里永久的夺过去了。因为修改帐号密码的唯一方法是邮箱,我现在是无法找回我的帐号了。
(正因为修改如此重要的邮箱什么都不验证所以导致盗号者轻松的改掉本人邮箱,而我的帐号也因此成为别人的了)
让我们继续看下面几个图:
看完这4张图片,大家有没觉得差不多的感觉,没错,这个保护玩家3年多的安全措施,怎么看都像是一个模式,所有修改资料的界面都一模一样,功能也完全一样,可以想象是当时写这些程序的人是为了图省事,而全部copy了几份。但是我很气愤的是:他们的安全级别不一样,居然都用同样的方式来处理。越是高级的信息资料就应该越慎重,应该和低级的区别开来,只是没他们居然如此草率。
所有的修改的信息,无论安全级别高低都不验证用户信息,因为只需要填写个用户名,任何人都可以请求服务器发送找回密码或者修改的邮箱的邮件。比如,我现在在修改邮箱这个界面的用户名上填一个“aaaa“,那么服务器就乖乖的发一封修改邮箱的邮件给aaaa这个用户,
虽然我不知道aaaa这个用户的邮箱,但是当这个aaaa用户看邮箱看到修改密码或者邮箱或者二级密码的邮件的时候,我想他会相当惊恐,会以为自己的帐号出问题。
如果我愿意,我可以发送1万封修改密码的邮件出去,因为完美的服务器根本不验证是谁发送的请求,而全部答应。我想那10000个用户会怎样的心情来看待修改密码的邮件发到邮箱。
(草率而且简单的找回方式给盗号着提供了种种方便,轻松就可以修改用户的所有信息)
安全问题7:身份信息叙述不清楚
.jpg)
从上面第1个图很清楚的看到,注册的时候需要依次填写:帐号,密码,密码提示问题,身份证,姓名,邮箱,超级身份验证码等信息。
而我注册的时候身份证和姓名都是填写的我真实资料,当我填写“超级身份验证码“的时候我并没看后面的说明,因为是他的名字叫超级身份验证码,加上之前我已经填写过了身份证,我想没必要填写2次。于是我在这里填写了一个我记得的数字。(我想和我这样理解的人应该很多,完美可以自己去查下服务器数据就知道有多少人这里填的不是证件号码,虽然的确是我们失误,但是完美也是引导不够,而且这么重要的东西为什么不弹一个对话框确认下?)
我想身份证和姓名都填写了,就算要证明该帐号的所属权,我也能够拿出证件证明。
可是该公司的解释却和我的理解完全不一样,填写的身份证和姓名不算,这个不能证明我的帐号是属于我的。哪个超级身份验证码才是唯一依据。
就算盗号者将我的邮箱改了,我还是可以发传真给完美,将我的身份证复印件给他,找回我的帐号,可是因为我的超级身份验证码是一串数字,虽然我记得,但是该公司却说我无法证实该帐号属于我的。
那我们看上图,可以看出,作为最高级别的身份信息,包括“真实姓名,证件类型,证件号码“。也就是说身份信息是包括姓名,证件类型和号码3个要素,那么我填写的身份证号码还有姓名完全满足所有的要素,但是完美却不算我的个人资料。而超级身份验证码就一个号码根本没有姓名和证件的类型,根本不满足身份信息的所有要素,却是帐号的唯一归属。
安全问题8 论坛出错
.jpg)
因为我帐号被盗,我第一反应是去论坛发帖子,询问我的问题该如何解决,可笑的是他们的论坛也出错了。
我还没注册,他们的系统就把默认为别人的帐号登陆(如上图),不知道这位“wo*******xc”用户看到别人登陆他的帐号该做何感想。虽然我马上退出该帐号并申请了自己的帐号,发了求助帖子,但是我有理由相信,类似这样的问题肯定不是一个两个,他们自己内部安全问题值得他们反省。
安全问题9 找回方式错误
虽然我的帐号被盗,导致不能取回,但是好在完美还有个帐号锁定功能,虽然我取不回来该帐号,但是我知道超级身份验证码。凭借这个我可以锁定改帐号7天,至少这7天盗号者是不能动我的帐号的,等7天过后我继续锁定该帐号,这样盗号者也没有办法用我的号了。如果有一天完美公司能够修改他们这个破烂的安全系统,我可以找回我的帐号。
因为游戏角色的装备肯定在我帐号被盗的第一时间就被拿走了,所以我想那天帐号找回了,装备没有了也是一个很痛苦的事情。于是我申请了装备找回
(我符合装备找回的所有条件)。
但是我错了,他们网站告诉我找回装备的方法不对。
下图是我填写装备找回申请后,系统提示我下载文件的页面:
字比较小,内容是:
8.恢复下载表格在什么可以地方下载?需要下载那些表格?
答:请下载您所对应的游戏的两个表格,例如:武林外传玩家申请恢复,就可以下载:武林外传被盗返还申请书.DOC和武林外传角色虚拟物品易动说明.DOC
很显然,官方除了2个表格外没有提供第3个表格供我下载。同时按照说明也只需要下载2个文件。
下面来看装备找回流程说明页面:
也明确说明只需要填写:被盗返还申请书和角色虚拟物品易动说明这2个文件,于是我信心满满的按照流程来的,将2个表下载下来并填写完整,然后发送传真给完美。但是完美拒绝了我的请求,告知我还少一个传真,无法验证身份归属。我所有的资料都填写完整。
可笑的是我实在找不到最后一个传真在那里。如果有的话为什么不在下载的页面显示出来,并告知需要填写3个文件,而要玩家到处找第3个不晓得在那里的文件?而且流程也没说明需要我填写3个文件。
现在时间已经超过3天,我已经不满足装备找回的条件,如果完美公司将文件说明清楚,我早就能够找回我的装备物品。这样不负责的行为不知道导致多少玩家本来可以减少的损失又失去了。
(完美找回的方法居然告知错误找回方法,这样不负责的行为实在让人很郁闷)
我想完美公司的漏洞或者安全系统肯定不单单上面几个,本人以一个被盗玩家的身份,欲找回我被盗的帐号,却处处碰壁,处处遭到阻挠,我即便记得所有的注册资料,包括自己的姓名,身份证,二级密码,密码提示问题,超级身份验证码等等,我也找不回自己的帐号。而盗号的人就简简单单只发送了一封修改邮箱的邮件,我的帐号就换了主人。盗取别人的号这么容易,而找回自己却这么难。实在佩服该公司的安全系统,完全是为盗号者开辟了一条vip通道,却给找号的人设置重重障碍。
按照目前的方式,我的帐号已经永远找不回来了,我的心真是比现在的天气还要冷,最后我只想对完美公司说一句:你们的安全系统很好很强大,漏洞百出,隐患重重,真是盗号容易,找号无门。同时我也想对盗我号的人说一句:有完美为你们保驾护航,为盗号者提供种种方便,为找号的人设置各种难关,你们今年应该是又多盗了不少号吧。