Stanowisko MA na temat ostatnich włamań na konta

ateush

Frank na EntropiaForum wypowiedział się w temacie
licznych ostatnio włamań na konta graczy EntropiaUniverse.

W skrócie:
- Gold Member Card to podstawa ! To najprostszy sposób aby chronić swoje konto,
- Karta ta będzie (już jest) bardziej promowana w samej grze jak i na stronach www,
- MindArk zachęca do zgłaszania wszelkich włamań odpowiednim władzą (policji). Wówczas udzielają im wszelkiego wsparcia, logów itp. Sami nie są w stanie ocenić, czy rzeczywiście doszło do włamania czy tylko nieuczciwy gracz próbuje ich naciągnąć,
- MindArk śledzi na bieżąco nowości w dziedzinie bezpieczeństwa internetowego i jeśli tylko coś zwiększające bezpieczeństwo będzie możliwe do wprowadzenia w grze - zostanie wprowadzone,
- Możliwe, że w przyszłości zostaną wprowadzone inne zabezpieczenia sugerowane przez graczy takie jak: blokada po adresie MAC lub IP, opcjonalne hasła na Inventory, możliwość zablokowania swojego konta w przypadku podejrzenia włamania,
- Bezpieczeństwo twojego konta w Entropia Universe zależy przede wszystkim od ciebie !

Poniżej orginalna wypowiedź.

Frank|MindArk napisał(a):

Response
When the ‘hacked account’ issue arose on the forum recently, I immediately felt it was an important issue. In fact, I was so provoked by the topic that I innocently promised a response in a time frame that took no account of the other work I had for VU 8.9. My apologies for that.

I had envisioned a response not just for one specific participant, but for all Entropia participants. I specifically wanted to go beyond a cut-and-paste response and produce a commitment to the future - something that would inspire me as a customer to continue putting my faith, and investment, in MindArk and the Entropia Universe.

I initially arrived at the same conclusion as everybody else in the original thread: the Gold Card. On a par with current internet banking security, the Gold Card system is readily available, inexpensive and secure. Used properly, it’s a great system that can protect your Entropia Universe account. Regrettably, it doesn’t protect your entire PC and MindArk cannot reasonably be expected to accept that responsibility. Also, a little disheartening for us optimists is the difficulty in verifying the legitimacy of these cases. Unfortunately people do set up elaborate scams to cheat MindArk and that’s why we’ve always recommended reporting such cases to law enforcement authorities who will then receive our fullest cooperation. Ok, but we know all that already – what more can we do?

We’ve increased the visibility of the Gold Card system on our website and In-World. We’ve added general security tips to the Gold Card & Security FAQ about how to protect your PC. We will send out an email to newly created accounts that have achieve a value of 1000 PEDs encouraging them to use the Gold Card system. We will follow developments in the digital security industry and see if any future innovations can be applied to the Entropia Universe.

We also plan to look at other suggestions like optional IP or MAC address locking, optional passwords on Inventories, even an option for a participant to lock their own account if they suspect it is being hacked. However, the security of your account does greatly depend on your own actions and how you protect your own computer while surfing the net. This cannot be stressed enough.

My aim with this post has been to reassure participants in the Entropia Universe that we will remain active in the area of account security, that it’s important. I’m open to feedback and if anybody would like to make security suggestions please PM me here.

So, thanks for your time and I look forward to your feedback.

Źródło.

James diGriz

Ja tam nie wierze w te wlamania na konta.
Blokoada ip pff przeciez przykladowo neostrada ma dynamicznie przypisywane ip wiec mozesz sobie zmienic i tyle. Musieliby caly zakres banowac co jest bez sensu. Blokada po adresie MAC hahah idziesz kupujesz za grosze nowa sieciowke i masz nowy adres MAC z tego co sie orientuje

Moze sie myle nie wiem.

CvX!

IMO raczej chodziło o możliwość przypisania danemu kontu określone IP (jak masz stałe) lu adres MAC. W ten sposób tylko z twojego kompa da się wejść.

Logic

A jak ci padnie sieciówka, albo zmieniesz siec, to musisz pisać podanie do MA o zmianę wraz z aktem urodzenia i skanem karty kredytowej

sexy69

Klijent PU wusyła wszystkie dane do MA co siedzi w naszym kompie IP MAC głupi pomysł bo morze sie nie sprawdzić ale Nr. karty graficznej , procka.
Wyglądało by to tak Logujesz sie na stronie wchodzisz do odpowiedniego działu i wpisujesz dane sprzetu z jakiego morzna sie tylko logować do PU i po sprawie.
Wypowiedzcie sie czy dobry pomysł

misko

sexy69 napisał(a):

Klijent PU wusyła wszystkie dane do MA co siedzi w naszym kompie IP MAC głupi pomysł bo morze sie nie sprawdzić ale Nr. karty graficznej , procka.
Wyglądało by to tak Logujesz sie na stronie wchodzisz do odpowiedniego działu i wpisujesz dane sprzetu z jakiego morzna sie tylko logować do PU i po sprawie.
Wypowiedzcie sie czy dobry pomysł

Pomysł zły, ponieważ:
- jeśli złodziej będzie mieć hasło, to będzie w stanie ustawić na stronie własne dane,
- zawsze istnieje możliwość oszukania programu co do numerów urządzeń,
- będzie to dużym utrudnieniem dla ludzi którzy grają na różnych kompach,

Btw. Przytaczacie tu adres MAC jako sposób identyfikacji maszyny, mam nadzieję, że wiecie iż ten adres jest niewidoczny w Intenecie, a dokładniej poza siecią lokalną dla danego urządzenia sieciowego. Oczywiście można go wysyłać explicite jako numer identyfikacyjny, ale wtedy to nie różni się od innych numerów id urządzeń w kompie. Ponadto komputer nie musi posiadać karty sieciowej, żeby mieć dostęp do internetu, a wiele urządzeń dostępowych(np modemy) MACa nie posiada.

Okta

Są w bankowych zabezpieczeniach tokeny i karty kodów jednorazowych a nawet ostatnio SMS-kod to jest logiczne, że ktoś kto chce się chronić kożysta z jednego z tych zabezpieczeń a jak ktos to "zlewa w kanał" to jego sprawa.
Są antyviry, antyspareware, firewalle, hasła można przechowywać w pliku i je wklejać a nie wpisywać (niekoniecznie całe hasła ale poszczególne literki lub składanki liter tak aby nimozliwe było odczytanie hasła nawet posiadając plik).
Ja jeszcze nie mam zabezpieczenia gold card ale jak miałbym równowartość całej swojej pensji na koncie w PE to wolałbym jednak coś takiego posiadać.
Także co kto woli ale nawet jak kogos nie stać albo nie chce mieć gold karty to nie zaszkodzi trochę ostrożności.

pozdro

JAXPE

Co do przeklejania, to najlatwiej jest zlapac zawartosc schowka systemowego, i kazdy
keyloger i inne syfy to bez problemu obsluguje nawet te najbardiej proste.

HduchC

i po co tyle zabezpieczeń jeśli użytkownik jest "idiotą" ??

jak jest ułomkiem i nie zdaje sobie sprawy z zagrożeń to żadne zabezpieczenie mu nie pomoże

trzeba ludzi uświadamiać i edukować a nie bajerować z nowymi zabezpieczeniami...

typowym szczytem debilizmu jest stosowanie takich samych loginów/haseł/kont pocztowych dla samej GRY jak i stron www (serwisy o tematyce gry itp)

aha dodam jeszcze że w ciągu 2 lat na mojego mejla używanego do naszego forum jak i forum EF dostałem aż DWA RAZY mejla o tematyce gry z dołączonym KEYLOGGEREM (trojanem)
to chyba samo mówi za siebie
:evil:

Nuadu · **Wysłany:** 07 Mar 2007, 04:13

Sprawdzanie IP jest kiepskim pomysłem. Ja mam Neostradę i w związku z tym zmienne IP. Jeśli idzie o MAC adres, to czasami gram z innego komputera. Nie wnikam już, czy w internecie MAC adres jest widoczny, nie zmieni to faktu, że są przynajmniej dwa komputery z których się loguję. Zazwyczaj z jednego, ale... ID procesora... Też nie wiem, czy to może być widoczne z internetu. Ja mogę nawet w biosie włączyć, co mi tam. Procesora w najbliższym czasie zmieniac też nie będę. Ale pomysł kiepski, bo są ludzie, którzy częściej niż ja zmieniają sprzęt. Co do zabezpieczeń w postaci karty Gold, to jakoś też nie wierzę. Jeśli to prawda, że komuś się włamali, to znaczy, że ktoś zabezpieczenia już istniejące (a takie na pewno są) złamał. Może się trochę napracuje, ale i zabezpieczenia tej karty też w końcu złamie. Ja rozumiem, że zachęcanie do wydania nawet niewielkich pieniędzy leży w interesie MA, ale jak dotychczas karta nie była mi potrzebna. Wydaje mi się, że najlepszym sposobem zabezpieczenia się jest regularne i częste sprawdzanie komputera antywirem. Niestety, zmiana hasła raz na jakiś czas przy jednoczesnym stosowaniu bezpiecznych, niesłownikowych haseł chyba nie jest możliwa, w każdym razie takiej opcji w seksji My Account nie widzę, a wielka szkoda, bo to byłoby lepsze od każdej karty Gold czy czego tam jeszcze nie wymyślą. Ja mam to szczęscie, że hasło akurat mam dosyć silne. Gorzej mają osoby, które ustawiły sobie proste hasło, szczególnie, jeśli używają go do wszystkiego...

Okta · **Wysłany:** 08 Mar 2007, 11:05

JAXPE napisał(a):

Co do przeklejania, to najlatwiej jest zlapac zawartosc schowka systemowego, i kazdy
keyloger i inne syfy to bez problemu obsluguje nawet te najbardiej proste.

A tego nie wiedziałem!

To pytanie do "znających się": Jak się zabezpieczyć przed keyloaderem lub czymś takim jak kopiowanie schowka? Czy antyvir, antyspare, WWDC i firewall są wystarczające czy możę istnieją jeszcze jakieś "sposoby" na sprawdzenie lub "metody"? Fakt, że używam darmówek ze strony polskiej o "dobrych" "programach"

pozdro

Thomasso · **Wysłany:** 08 Mar 2007, 11:58

Okta napisał(a):

To pytanie do "znających się": Jak się zabezpieczyć przed keyloaderem lub czymś takim jak kopiowanie schowka? Czy antyvir, antyspare, WWDC i firewall są wystarczające czy możę istnieją jeszcze jakieś "sposoby" na sprawdzenie lub "metody"? Fakt, że używam darmówek ze strony polskiej o "dobrych" "programach"

pozdro

Po pierwsze. Keyloger to program, wiec skads sie musi w twoim systemie wziac i jakos uruchomic. Samo sie nic nie dzieje. Nawet z minimalna ochrona firewalem i jakims marnym antyvirem u ŚWIADOMEGO uzytkownika komputera zadne keylogery nie maja prawa bytu. W koncu to Ty powinienes wiedziec najlepiej jakie aplikacje Ci sie z winda uruchamiaja i skad sie wziely. To podstawa. Jak sie instaluje i probuje rozne trefne i nie do konca pewne programy,to tak, jakby samemu sobie grob kopac. Po prostu trzeba uwazac i byc swiadomym tego co w systemie siedzi. Zdrowego rozsadku i minimum znajomosci nie zastapia nawet najbardziej wyszukane antyviry i inne takie

Pozdrawiam

Posse · **Wysłany:** 09 Mar 2007, 17:24

Kiedys dawno temu ktos na polskim Ircu podał strone (chyba to byl Garth), w kazdym badz razie, wchodzac na ta strone mozna bylo dowiedziec sie calkiem ciekawych rzeczy o swoich kompie\ustawieniach - ktore tak naprawde powinny pozostac tylko dla nas (dokladnie juz nie pamietam co tam bylo

).

Pamietam za to ze jedna z linijek mowila o schowku, a scislej mowiac pojawiła sie treść jaką mialem w schowku. Wiec jak widzicie bardzo łatwo jest wydobyć nasz schowek, nawet wchodzac na jakas strone.

misko · **Wysłany:** 10 Mar 2007, 02:29

Posse napisał(a):

Kiedys dawno temu ktos na polskim Ircu podał strone (chyba to byl Garth), w kazdym badz razie, wchodzac na ta strone mozna bylo dowiedziec sie calkiem ciekawych rzeczy o swoich kompie\ustawieniach - ktore tak naprawde powinny pozostac tylko dla nas (dokladnie juz nie pamietam co tam bylo

).

Pamietam za to ze jedna z linijek mowila o schowku, a scislej mowiac pojawiła sie treść jaką mialem w schowku. Wiec jak widzicie bardzo łatwo jest wydobyć nasz schowek, nawet wchodzac na jakas strone.

Oj, nie wyciągaj wniosków na temat obecnego poziomu bezpieczeństwa na podstawie 'dawno temu'!!!
Zresztą pewnie plus minus wtedy pojawiło się 'przysłowie' "Internet Explorer to program do oglądanie Internetu z twojego komputera i odwrotnie"

Inna sprawa, że praktycznie dalej IE jest mniej bezpieczny od Firefoxa, czy Opery.

Posse · **Wysłany:** 10 Mar 2007, 23:54

Ok uhm, ale ja od bardzo dawno temu korzystam z Opery

a nie z IE, i na bank istnieje taka strona, zreszta zaraz moze cos zgoogluje.

misko · **Wysłany:** 11 Mar 2007, 02:37

Az mnie zaciekawiło jak dokładnie z tym jest:
http://www.w3compiler.com/200ok/examples/showclip.html

W IE6 pokazuje
W FF2 nie pokazuje
Opery nie mam
EDIT: W IE7 podobno pyta czy zezwolić na odczyt schowka.

Mortifer · **Wysłany:** 11 Mar 2007, 09:21

W operze mówi zeby otworzyc IE.

Ale ja za nic IE nie otworze

łodejdz czorcie

Okta · **Wysłany:** 12 Mar 2007, 12:18

F...
świeża tam wszedłem i już schowek poleciał ... brrr

To IE jest tak niebezpieczny?..

pozdro

sorcan

niestety nie moge napisac w czarnej liscie ale mnie tez dopadla proba wlamania sie ma moje konto na szczescie mam gold card wiec teraz tylko czekam na odp MA

mam pewne podejrzenia co do dzialania wlamywaczy
w 100% kolo jest z forum i najprawdopodobniej atakuje osoby (99%wg mnie), ktore handluja pedami
i zwracam sie do nich czy nie dostali na pm pytania czy moga podac temu komus mail lub gg a najlepiej to i to w celu wiarygodnosci bo kolo chce kupic X k pedow
ja dostalem takei pytanko podalem to i niestety :/ przerwa w graniu
tak jak pozostalym pokzywdzonym mialem wlam na e-mail (starszy) ale na szczescie nie kozystalem w eu z neigo tylko z innego na ktory mialem nie udany atak i pozmienialem jzu passy

ps na tym forum maila podalem tylko 2 userom

de`Beliar

Co do postu socrana :

Mnie też zapytano o adres meilowy. Jednk ten dostepny na forum nie jest tym samym adresem co podałem w grze. Jednak też jest mły problem - bo ktosłamując się na konto forum, moze komuś popsuc reputacje.

Dlatego też z góry uprzedzam na zwracanie uwagi na podejrzane pw, czy tez posty, zwłaszcza jeśli sa od znanych ludzi.

pozdrawiam

Star Rider

Heh... bycie idiotą czy nie, stosowanie wymyślnych zabezpieczeń czy nie to tak naprawdę może tylko zmienić poziom bezpieczeństwa a nie dawać je w pełni. Prawda jest taka że nie ma idealnego zabezpieczenia i nawet "superyntelygentnemu" można przejąć konto. I instalacje tony niepotrzebnego oprogramowania plus paranoidalne zachowania tak naprawdę tu niekoniecznie mogą pomóc, zwłaszcza jak z "drugiej strony" niewiele się robi aby to bezpieczeństwo podnieść :/
Moim zdaniem przy tej ilości realnej kasy która w tej grze siedzi powinny być zabezpieczenia równe z bankowymi, czyli to co napisał Okta, ale też firma powinna ubezpieczyć wszystkie konta od kradzieży tak jak to jest przy transakcją kartą w bankach, np. do 10-20k ped, powyżej tej kwoty można by wykupić dodatkowe ubezpieczenie, czyli to samo co w przeciętnym banku. Z innej strony patrząc to zamiast włazić w nowy engine graficzny to zajęli by się chociaż ekranem logowania, wygląda że chodzi pod silnikiem IE, hasło i login przy wpisywaniu nie są szyfrowane, a już w ogóle była by beka jak by się okazało że przesyłane też nie są w żaden sposób szyfrowane :/ Do tego mogli by wreszcie napisać klienta na jakiś bezpieczniejszy system, chodźby linuksa, Second Life ma i znośnie działa, więc chyba nie jest to taki problem, a poziom bezpieczeństwa od razu by się podniósł, a od tego już tylko krok do małej dystrybucji razem z grą na płycie... ściagają się patche, od razu tworzy się obraz iso płytki z linuchem i zapatchowaną grą wypalamy i odpalamy system z grą z płyty, i wtedy nie straszne nam spyware, keylogery i inne

Cez

wyajsnione. wec wpis nie ma sensu

Level

(TRESC USUNIETA PRZEZ AUTORA)

Marciol

Panowie bardzo prawdopodobne, że to ta sama osoba. Mnie rownierz zapytano o mail po zakończonej transakcji.

Mam jego adres domowy - jeżeli to masowe włamania jednego typa to można się umówić na wyjaśnianie sprawy

Jak robiliscie jakis interes z tym typem co sie pytal o mail to na pw wyslijcie mi adres (z konta bankowego) na pw

sorcan

wszystko wrocilo na razie do normy
mam nadzieje ze juz na zawsze

ps kupujcie gold card !! warto !!

de`Beliar

A ja proponuje być ostroznym zawsze. Nie dajmy nikomu uspić naszej czujności.
Takie incydenty powinny być świetna motywacja aby zwiekszyc bezpieczeństwo na swoim komputerze.

I pamietajcie, że "Ograniczone zaufanie lepiej się sprawdza niz ograniczona wyobraźnia".

pozdrawiam

Stanowisko MA na temat ostatnich włamań na konta

Planet Calypso