Falha grave no sistema de PIN.

[Miguxo Revok]

O sistema de PIN é muito bem-vindo e sou testemunha de que já salvou muitas contas de hackers mal intencionados. Porém, desde sua implementação o sistema sofre de um bug gravíssimo que explico a seguir.

 

No jogo oficial, o CLIENT conta quantas vezes recebeu o código de pin incorreto e na terceira vez kicka o usuário para a tela inicial. Este kick é feito pelo próprio client.

 

Como não é o SERVIDOR que ficou responsável por kickar o usuário, ao usar uma ferramenta externa como um software de rede específico ou clients alternativos, é possível "chutar" o PIN de 0000 até 9999 sem delay e sem reconexão.

 

O que isso significa pro jogador comum:

* o PIN que você digita toda vez que loga só serve para exercitar seus dedinhos;

* existem pessoas disponibilizando este "serviço de recuperação" em troca de kks/reais. Por um lado é muito útil para quem perdeu o PIN e não quer esperar pela demora da LU!G, por outro se um hacker conseguir seu login e senha basta pagar alguém para descobrir o PIN.

 

Soluções:

* block temporário após errar o PIN por 10x;

* delay entre inserções do PIN;

* fechar a conexão do client ao errar 3x;

* todas as opções acima ao mesmo tempo

 

Se eu pudesse bloquear este tipo de uso durante as atualizações semanais com certeza eu o faria, mas infelizmente não está ao meu alcance.

[Dundé]

Você acha que isso tem causado a instabilidade dos servidores?

[Dranker]

Infelizmente tenho visto isso no grupo de vendas no Facebook, vi seu post la Revok, e entendo a sua preocupação, pois pelo que entendi eles usam sua "ferramenta" para isso, então logicamente pode prejudicar seus negócios.

 

Tem pessoas vendendo esse tipo de serviço, de descobrir PIN para usuários, é óbvio que ninguém entregará os dados de sua própria conta para uma pessoa, mas se por acaso a conta não for sua, as pessoas podem entregar sem medo para um cara como esses, descobrir para ter acesso a conta.

 

Que situação chegamos.

Editado Março 28, 2015 por Dranker

[Squirt.]

Você acha que isso tem causado a instabilidade dos servidores?

 

Acho difícil, Dundé. O pacote de dados do PIN deve ser pouco, mesmo spammando uma infinidade de combinações acho muito difícil de causar instabilidade. Seria parecido com DDoS mas como a LU! disse que a instabilidade não era DDoS...

[Acisum]

Eu queria saber se ja aconteceu isso com vocês.

 

Existe algumas vezes que eu vou logar no rag, depois de ja ter logado, as vezes por ter tomado um DC, enfim..

 

E quando eu logo, nao aparece a caixa de pin, ja aparece direto meus personagens para selecionar.

[Taeyeon!]

Eu queria saber se ja aconteceu isso com vocês.

 

Existe algumas vezes que eu vou logar no rag, depois de ja ter logado, as vezes por ter tomado um DC, enfim..

 

E quando eu logo, nao aparece a caixa de pin, ja aparece direto meus personagens para selecionar.

Sim, ja aconteceu comigo de tarde.

[Junji]

Revok provando mais uma vez que não é só um braço fortinho

 

Apoio a implementação das três medidas para o PIN

[Shuraz1n]

O sistema de PIN é muito bem-vindo e sou testemunha de que já salvou muitas contas de hackers mal intencionados. Porém, desde sua implementação o sistema sofre de um bug gravíssimo que explico a seguir.

 

No jogo oficial, o CLIENT conta quantas vezes recebeu o código de pin incorreto e na terceira vez kicka o usuário para a tela inicial. Este kick é feito pelo próprio client.

 

Como não é o SERVIDOR que ficou responsável por kickar o usuário, ao usar uma ferramenta externa como um software de rede específico ou clients alternativos, é possível "chutar" o PIN de 0000 até 9999 sem delay e sem reconexão.

 

O que isso significa pro jogador comum:

* o PIN que você digita toda vez que loga só serve para exercitar seus dedinhos;

* existem pessoas disponibilizando este "serviço de recuperação" em troca de kks/reais. Por um lado é muito útil para quem perdeu o PIN e não quer esperar pela demora da LU!G, por outro se um hacker conseguir seu login e senha basta pagar alguém para descobrir o PIN.

 

Soluções:

* block temporário após errar o PIN por 10x;

* delay entre inserções do PIN;

* fechar a conexão do client ao errar 3x;

* todas as opções acima ao mesmo tempo

 

Se eu pudesse bloquear este tipo de uso durante as atualizações semanais com certeza eu o faria, mas infelizmente não está ao meu alcance.

 

 

Para quem não sabe, o Revok é o DONO do OPENKORE BRASIL (sim, o programa que executa o bot do ragnarok).

 

Pergunto-me qual é a validade da palavra desse ser humano que vem ajudando outras pessoas a infestar o servidor com esse programa ilegal.

 

Imagino que esse post deve ser mais relacionado à motivos pessoais do que "ajudar a LUG".

 

Bom, fiquem de olho. Sou contra qualquer coisa que essezinho ai for a favor.

 

[Dranker]

Para quem não sabe, o Revok é o DONO do OPENKORE BRASIL (sim, o programa que executa o bot do ragnarok).

 

Pergunto-me qual é a validade da palavra desse ser humano que vem ajudando outras pessoas a infestar o servidor com esse programa ilegal.

 

Imagino que esse post deve ser mais relacionado à motivos pessoais do que "ajudar a LUG".

 

Bom, fiquem de olho. Sou contra qualquer coisa que essezinho ai for a favor.

 

 

Pois é, mas veja bem, estão utilizando a "ferramenta" dele para distribuir esse tipo de serviço, de descobrir PIN's.

 

Como eu vi em outros comentários que ele fez na própria postarem do suposto Negociante de PIN's isso vai contra sua índole, pois claramente isso vai ser usado para os "hackers" menos qualificados, que de algum modo conseguem seu usuário e senha, mas não conseguem passar pelo PIN por mais ridículo que isso seja.

 

O propósito dele aqui logicamente foi defender o seu produto, e também chamar a atenção da LUG para esse problema que vem sendo explorado como forma de comércio ilegal.

 

@Edit

 

Em tempo, tem tido um certo interesse também por parte de jogadores como alternativa de burlar a demora do sistema de tickets, e também burlar a burocracia como a exigência de documentos certificados em cartório, que por outro lado funciona como mais uma barreira de segurança para possíveis invasores.

Editado Abril 4, 2015 por Dranker

[Desconhecido...]

Infelizmente tenho visto isso no grupo de vendas no Facebook, vi seu post la Revok, e entendo a sua preocupação, pois pelo que entendi eles usam sua "ferramenta" para isso, então logicamente pode prejudicar seus negócios.Tem pessoas vendendo esse tipo de serviço, de descobrir PIN para usuários, é óbvio que ninguém entregará os dados de sua própria conta para uma pessoa, mas se por acaso a conta não for sua, as pessoas podem entregar sem medo para um cara como esses, descobrir para ter acesso a conta.Que situação chegamos.

 

Incrível que ninguém mais tocou nesse assunto, o cara que mais - mesmo q vc não goste dele - entende do assunto, veio aqui de boa alertar, e ficou silêncio em torno do assunto.

 

Ontem tava na página da lug no face e tinha gente falando sobre isso de vender recuperação de pin, mas a lug nem respondeu.

 

Pior que além do pessoalzinho q em vez de arranjar um trampo na vida real prefere fazer coisa ilegal pra conseguir dinheiro, tem o pessoal que publica no face pra todo mundo baixar os arquivos:

 

"Pra que cobrar sendo que o criador do plugins fez para todos basta baixar salva como pinBreaker.pl e por na pasta plugins do openkore e ir config.txt no lugar do pin por 0000http://migre.me/qc0y4"

 

Aí eu vejo tantos amigos meus levando hacker, outros doidos passando os dados pra desconhecidos "recuperarem" o pin deles, mas deles ou de outros? Porque como o Revok explicou, dá pra descobrir PIN de qualquer um assim.

 

PIN que já não presta contra bot, e agora nem pra evitar hack serve.

 

Tomara q não caia no esquecimento mais esse bug do Rag, que faz um pessoalzinho lucrar e outros perderem tudo.

[Squirt]

Incrível que ninguém mais tocou nesse assunto, o cara que mais - mesmo q vc não goste dele - entende do assunto, veio aqui de boa alertar, e ficou silêncio em torno do assunto.

 

Ontem tava na página da lug no face e tinha gente falando sobre isso de vender recuperação de pin, mas a lug nem respondeu.

 

Pior que além do pessoalzinho q em vez de arranjar um trampo na vida real prefere fazer coisa ilegal pra conseguir dinheiro, tem o pessoal que publica no face pra todo mundo baixar os arquivos:

 

"Pra que cobrar sendo que o criador do plugins fez para todos basta baixar salva como pinBreaker.pl e por na pasta plugins do openkore e ir config.txt no lugar do pin por 0000http://migre.me/qc0y4"

 

Aí eu vejo tantos amigos meus levando hacker, outros doidos passando os dados pra desconhecidos "recuperarem" o pin deles, mas deles ou de outros? Porque como o Revok explicou, dá pra descobrir PIN de qualquer um assim.

 

PIN que já não presta contra bot, e agora nem pra evitar hack serve.

 

Tomara q não caia no esquecimento mais esse bug do Rag, que faz um pessoalzinho lucrar e outros perderem tudo.

 

Se o PIN fosse útil, outros servidores usariam também. Mesma coisa esse cadeado aí. Por mim todo mundo leva hack mesmo e essa m*rda fecha. :rolleyes:

[hdrst]

Uma coisa que poderiam fazer era alternar para o velho sistema de senha:

 

no jRO é utilizado desde 2006 ou 2007 esse sistema, como pode utilizar mais de 4 digitos e pode definir uma quantidade aleatoria de digitos, ajudaria muito para combater isso.

[Fabiano Alves]

Uma coisa que poderiam fazer era alternar para o velho sistema de senha:

 

no jRO é utilizado desde 2006 ou 2007 esse sistema, como pode utilizar mais de 4 digitos e pode definir uma quantidade aleatoria de digitos, ajudaria muito para combater isso.

 

Esse sistema é usado no armazém aqui.

Mas sim, seria interessante ter ele no lugar do pin de 4 digitos.

[Hiro Sutoraiku]

Trancaram o tópico, eu estava corrigindo erros de português ç.ç

[hdrst]

Esse sistema é usado no armazém aqui.

Mas sim, seria interessante ter ele no lugar do pin de 4 digitos.

 

sim eu sei, tanto que tirei a ss quando fui abrir meu armazem =x

só estranhei bastante quando vim jogar no bRO e abriu isso no armazem e não na tela de seleção de personagem lol.

[Zero Dozer]

Olha, não leva a mal, Revok, mas eu tenho que falar, não acha uma estranha ironia (ou cara de pau, você escolhe) você ser o que jogadores limpos de Rag qualificam como criminoso e então vir aqui falar de um bug como se quisesse ajudar?

 

Tirando isso, eu preciso falar: eu definitivamente NÃO SEI porque a LUG me enfiou esse sistema de PIN. Era pra coibir os bots? Bem, certamente não faz isso e ainda pode ser quebrado.

 

É a mesma palhaçada da recente destruição dos drops NOS TRÊS SERVIDORES: Não parou os bots, ferrou TODOS OS JOGADORES JUSTOS do bRO e tornou TUDO ainda mais caro.

 

Realmente, eu estou cada vez mais pensando em ficar no iRO e não voltar mais.

[Miguxo Revok]

Olha, não leva a mal, Revok, mas eu tenho que falar, não acha uma estranha ironia (ou cara de pau, você escolhe) você ser o que jogadores limpos de Rag qualificam como criminoso e então vir aqui falar de um bug como se quisesse ajudar?

O motivo de eu vir postar esse tipo de coisa é porque os tais "jogadores honestos" ou estão se aproveitando desse tipo de bug ou fazendo vista grossa porque os amigos aproveitam.