升级盛大通行证出现重大安全漏洞,部分玩家ID不保随时可被抢注信息
本来不想发帖的,实在被这SB公司搞到不行,撇开游戏问题不说,来看看这次升级成通行证的问题,但愿在我们新生成为最SB的试验品后,峡谷、圣域和田园的同学们能提早防范(说真的,要怎么防我也不知道)1:升级成通行证后,但凡知道任何ID的ID和密码,不需要知道任何身份证、邮箱只要登陆商城首次充值,就可以把ID的资料包括邮箱、身份证全部改掉,我的意思是全部,包括秘密问答、手机号码等等全部资料。
意思就是说,也许我知道猫头的号,我可以花1块钱把她的资料全部改掉,也许还能让她度过几年愉快的防沉迷时间,虽然只有一次机会,但是被抢注就非常麻烦。还好新生著名的官方ID“RO系列”有人说上不了了,不然要是能上,这个几乎全服务器人都知道的全转生98级职业大概20来个系列号,可以花个20来块钱全部变成自己的,那多欢乐。
2:关于密码找回,只要知道对方ID的一些基本资料,哪怕是对方的手机或者靠猜对方邮箱等,就可以靠拼凑资料来骗过那所谓0-8天的人工认证,或者知道某个ID曾经使用过的密码(也许你是朋友的,也许你有其他办法知道),列举曾经用过的密码你就能找到现在的密码,更不要说邮箱认证和手机认证了,因为不是电脑判断而是人工按照对比资料准确度来判断,所以也许你靠猜和拼凑资料就能知道人家的ID,我是说也许,但不是叫你这么做。
简单来说SD给了10种找回密码的方式,实际上是给了10种盗号方法。
3:现在修改密码不需要邮箱,只要老密码即可,知道别人的ID可以随便修改密码,就算不能修改原始资料都可以给对方带来极大麻烦,我完全不知道所谓的安全性在哪里。
4:在下面这个地址,可以知道人家的ID后输入就能知道人家的数字帐号,不需要密码,不需要邮箱,不需要身份证,什么都不需要。
[url]http://kf.sdo.com/sdch/QuerySdid/QuerySdid.asp[/url]
其他关于邮箱认证和手机认证所存在的安全隐患我在这里就不说了,总之是惨不忍睹,所有ID已经和半公开化没什么差别了,并且见鬼的是,这SD的技术部门我完全不知道是干什么吃的,比如我要修改好几个ID,先修改了一个ID,右上选择注销,比如把123.ro120注销,换成456.ro120登陆,奇迹出现了:左上显示还是123.ro120,同页面左边菜单却显示456.ro120,而充值处依旧是默认给123.ro120充值,注销你个鬼啊……
也许能修改买来的ID资料是个不错的事情,但是一旦任何属于自己的ID被恶意抢注,后果将是不可想象的,难道看到这里,你们谁还愿意相信SD这鬼公司在注册游戏ID时候提示的“XX资料一旦填写,今后将不可修改”之类的鬼话吗?而现在实际的情况就是也许你只要花1块钱,就可以光明正大把人家的ID填上你自己的资料了,本来真的不想写这个主题,但是在圣域、峡谷和田园合并前写,总比合并后发生被抢注事件后再提醒人要好,反正只要SD有这么低能的捞钱手段,就肯定会一些心术不正的人被利用的。
[[i] 本帖最后由 hirro 于 2009-6-10 12:01 编辑 [/i]] :ph34r:
还好我不出名 -0-~ 真按LZ 所说 那我该扔光装备换游戏了~~~~~~ 暂时能想到的防范措施是:
在升级通行证前把所有ID的密码都改成只有自己知道,然后在升级通行证后第一时间给所有ID充值,然后在以下地址把所谓“唯一”的一次修改资料机会用掉免得被抢注,具体是不是“唯一”的一次机会,大家心里有数就好。
[url]http://pwd.sdo.com/PTInfo/PTInfo/ModifyInfo.aspx[/url] 我看完了,我的帐号危险了(虽然就2个人知道) 为什么不是“唯一”的 说清楚点嘛.. 盛大乱稿。。受不了 刚才我花了若干RMB,以及一个小时上班时间,把我的几个ID和会长ID都修改了资料,仔细想了想,大约是SD嫌我每月给商城贡献近千RMB还不够多,所以想方设法要我多出点,也许不久后的将来只要知道人家ID,就算不知道密码都可以出钱来修改密码了…… 问题很严重啊~ 打包:wacko: 看来要撤了.... 還好只是新生 难道盛大是想放弃RO,故意这样搞? [quote]原帖由 [i]7314[/i] 于 2009-6-10 10:24 发表 [url=http://bbs.rohome.net/redirect.php?goto=findpost&pid=10635659&ptid=975431][img]http://bbs.rohome.net/images/common/back.gif[/img][/url]
還好只是新生 [/quote]
我不觉得其他服务器升级到通行证会避免这个问题…… [quote]原帖由 [i]hirro[/i] 于 2009-6-10 10:10 发表 [url=http://bbs.rohome.net/redirect.php?goto=findpost&pid=10635587&ptid=975431][img]http://bbs.rohome.net/images/common/back.gif[/img][/url]
暂时能想到的防范措施是:
在升级通行证前把所有ID的密码都改成只有自己知道,然后在升级通行证后第一时间给所有ID充值,然后在以下地址把所谓“唯一”的一次修改资料机会用掉免得被抢注,具体是不是“唯一” ... [/quote]
其实就怕ID被人知道的那些号,如果ID没告诉过其他人什么的没什么事的,我用已有的通行证登陆你这网站,显示的是:
对不起,您的通行证注册时间已经超过15天,不能再申请资料修改服务。
为防止通行证资料被恶意修改,我们已把通行证修改资料服务的申请时限限制为通行证成功注册的15天内,您可以点此了解详情。
也就是如果超过这15天后,这个警报基本等于解除了... 還好目前只是新生 不是吧..这么恐怖...
那个..为啥SD改之前想的这么不细心的..
改个密码都漏洞这么多....希望论坛SY的时候已经是改良好勒-0- 新生是小白鼠~不用身份证和邮箱直接修改~MD 比以前还要恶搞~再这样下这 RO人心还存在? :angry: 好多人知道我的帐号的 囧。。。看来咱要练个新号了 OH……也许SD看到了这个帖子,已经在改进了
现在所有资料提交和密码修改均不能进行,官方无公告
期待出个慎密点的方案
而且,对于现在的网络时代,密码10位实在太短了,刚才我用手机认证和邮箱认证功能,中间会要求更改一次密码确认身份,这里可以用10位的,但是在正式的密码修改部分只能改9位,一旦有10位就会无法修改,我觉得怎么都该有个最大15位来保证安全吧…… :ph34r: SD快出点措施吧,这个实在是很难接受 仓密码估计也不能保住…… 没懂...我也显示不能修改啊. [quote]原帖由 [i]爱唱歌的熊[/i] 于 2009-6-10 11:02 发表 [url=http://bbs.rohome.net/redirect.php?goto=findpost&pid=10635831&ptid=975431][img]http://bbs.rohome.net/images/common/back.gif[/img][/url]
没懂...我也显示不能修改啊. [/quote]
是的,你充钱就可以修改了 [otl] 好象很悲剧,希望更改好. 明显是 逼着抢钱..... :( 从一开始强行让把密码改为10位以下,我就极度不满了…… [quote]原帖由 [i]传说中的阿呆[/i] 于 2009-6-10 11:14 发表 [url=http://bbs.rohome.net/redirect.php?goto=findpost&pid=10635877&ptid=975431][img]http://bbs.rohome.net/images/common/back.gif[/img][/url]
:( 从一开始强行让把密码改为10位以下,我就极度不满了…… [/quote]
我没来得及改,但是还是原本14位密码能上,但是现在强制要10位以内了 SD问题真是接连不断,没事就乱搞新花样坑钱,光陷进商城里那点东西已经坑了不知道多少钱了.....真是没完没了,坑钱也就算了,还搞个漏洞“鼓励”下我们}_} 还好,虽然比较SB,但是至少在改
刚现在半小时内的更新就是,窗口改了,最小化回来了,ALT+空格有效了
不过登陆速度还是比原来慢不少,期待能把现在登陆前加的协议改在读条时候的框里,并且不显示登陆成功什么数字帐号的,不然登陆别人ID的同时也会知道人家的数字帐号,一来保密二来加快登陆速度难道不好么……
一人多个ID能给SD带来更多收入,但是多开麻烦的问题实在有点恶劣