[历史] 升级盛大通行证出现重大安全漏洞，部分玩家ID不保随时可被抢注信息

hirro

本来不想发帖的，实在被这SB公司搞到不行，撇开游戏问题不说，来看看这次升级成通行证的问题，但愿在我们新生成为最SB的试验品后，峡谷、圣域和田园的同学们能提早防范（说真的，要怎么防我也不知道）

1：升级成通行证后，但凡知道任何ID的ID和密码，不需要知道任何身份证、邮箱只要登陆商城首次充值，就可以把ID的资料包括邮箱、身份证全部改掉，我的意思是全部，包括秘密问答、手机号码等等全部资料。

意思就是说，也许我知道猫头的号，我可以花1块钱把她的资料全部改掉，也许还能让她度过几年愉快的防沉迷时间，虽然只有一次机会，但是被抢注就非常麻烦。还好新生著名的官方ID“RO系列”有人说上不了了，不然要是能上，这个几乎全服务器人都知道的全转生98级职业大概20来个系列号，可以花个20来块钱全部变成自己的，那多欢乐。

2：关于密码找回，只要知道对方ID的一些基本资料，哪怕是对方的手机或者靠猜对方邮箱等，就可以靠拼凑资料来骗过那所谓0-8天的人工认证，或者知道某个ID曾经使用过的密码（也许你是朋友的，也许你有其他办法知道），列举曾经用过的密码你就能找到现在的密码，更不要说邮箱认证和手机认证了，因为不是电脑判断而是人工按照对比资料准确度来判断，所以也许你靠猜和拼凑资料就能知道人家的ID，我是说也许，但不是叫你这么做。

简单来说SD给了10种找回密码的方式，实际上是给了10种盗号方法。

3：现在修改密码不需要邮箱，只要老密码即可，知道别人的ID可以随便修改密码，就算不能修改原始资料都可以给对方带来极大麻烦，我完全不知道所谓的安全性在哪里。

4：在下面这个地址，可以知道人家的ID后输入就能知道人家的数字帐号，不需要密码，不需要邮箱，不需要身份证，什么都不需要。
http://kf.sdo.com/sdch/QuerySdid/QuerySdid.asp


其他关于邮箱认证和手机认证所存在的安全隐患我在这里就不说了，总之是惨不忍睹，所有ID已经和半公开化没什么差别了，并且见鬼的是，这SD的技术部门我完全不知道是干什么吃的，比如我要修改好几个ID，先修改了一个ID，右上选择注销，比如把123.ro120注销，换成456.ro120登陆，奇迹出现了：左上显示还是123.ro120，同页面左边菜单却显示456.ro120，而充值处依旧是默认给123.ro120充值，注销你个鬼啊……

也许能修改买来的ID资料是个不错的事情，但是一旦任何属于自己的ID被恶意抢注，后果将是不可想象的，难道看到这里，你们谁还愿意相信SD这鬼公司在注册游戏ID时候提示的“XX资料一旦填写，今后将不可修改”之类的鬼话吗？而现在实际的情况就是也许你只要花1块钱，就可以光明正大把人家的ID填上你自己的资料了，本来真的不想写这个主题，但是在圣域、峡谷和田园合并前写，总比合并后发生被抢注事件后再提醒人要好，反正只要SD有这么低能的捞钱手段，就肯定会一些心术不正的人被利用的。

[ 本帖最后由 hirro 于 2009-6-10 12:01 编辑 ]

hirro

暂时能想到的防范措施是：

在升级通行证前把所有ID的密码都改成只有自己知道，然后在升级通行证后第一时间给所有ID充值，然后在以下地址把所谓“唯一”的一次修改资料机会用掉免得被抢注，具体是不是“唯一”的一次机会，大家心里有数就好。

http://pwd.sdo.com/PTInfo/PTInfo/ModifyInfo.aspx

hirro

刚才我花了若干RMB，以及一个小时上班时间，把我的几个ID和会长ID都修改了资料，仔细想了想，大约是SD嫌我每月给商城贡献近千RMB还不够多，所以想方设法要我多出点，也许不久后的将来只要知道人家ID，就算不知道密码都可以出钱来修改密码了……

hirro

原帖由 7314 于 2009-6-10 10:24 发表
還好只是新生

我不觉得其他服务器升级到通行证会避免这个问题……

hirro

OH……也许SD看到了这个帖子，已经在改进了
现在所有资料提交和密码修改均不能进行，官方无公告
期待出个慎密点的方案

而且，对于现在的网络时代，密码10位实在太短了，刚才我用手机认证和邮箱认证功能，中间会要求更改一次密码确认身份，这里可以用10位的，但是在正式的密码修改部分只能改9位，一旦有10位就会无法修改，我觉得怎么都该有个最大15位来保证安全吧……

hirro

原帖由 爱唱歌的熊 于 2009-6-10 11:02 发表
没懂...我也显示不能修改啊.

是的，你充钱就可以修改了

hirro

原帖由 传说中的阿呆 于 2009-6-10 11:14 发表
从一开始强行让把密码改为10位以下，我就极度不满了……

我没来得及改，但是还是原本14位密码能上，但是现在强制要10位以内了

hirro

还好，虽然比较SB，但是至少在改
刚现在半小时内的更新就是，窗口改了，最小化回来了，ALT+空格有效了

不过登陆速度还是比原来慢不少，期待能把现在登陆前加的协议改在读条时候的框里，并且不显示登陆成功什么数字帐号的，不然登陆别人ID的同时也会知道人家的数字帐号，一来保密二来加快登陆速度难道不好么……

一人多个ID能给SD带来更多收入，但是多开麻烦的问题实在有点恶劣

hirro

原帖由 传说中的阿呆 于 2009-6-10 11:36 发表

我用游戏账号加密码登陆盛大在线，自动就有一个.RO121后缀的通行证和数字账号，我还用我的游戏账号查询了对应的数字账号，返回结果一致。但是这个通行证的密码我不知道……认证邮箱和认证手机都不是我的

一直是这样，上个月开始充值我就自动加了RO120，我每次都把这个手动去掉，那时候新生也没有升级
你的是正常现象，只要在你所在的服务器升级通行证后你第一时间去改就可以了，没有问题

hirro

原帖由 传说中的阿呆 于 2009-6-10 11:39 发表

是这样啊？唉，hirro回答的比客服NB多了…………

其实客服的回答我能背出来，就是你想听不想听的问题……

hirro

原帖由 tcqwzs 于 2009-6-10 11:52 发表
我试了下  一进去 说的我账号超过15天了  无法修改资料  认证的都是也是别人的  不过我试了下几个账号除了XXX看不到的外 其他的号码数值一样的
我想因该是系统乱搞的吧。。。你看看你手机最后边数值是不是0219

要升级到盛大通行证后充值才有效
其他服务器还没升级呢，暂时大部分问题出现在新生，除非是以前就给ID搞了通行证的ID

hirro

其实类似问题当时在防沉迷信息补填时候就出现过，但是还没这么严重和赤裸裸以及大面积化，现在是不解决不行了，不然那些买号的都白买了，熟人盗号也稻得更彻底了，装备还可以回收，把整个号都挖了那才叫悲剧……

hirro

原帖由 finalkiss 于 2009-6-10 12:01 发表
呵呵，放开点吧，别太沉迷了。反正我淡出很久了，装备基本都卖了，还留了个号无聊逛逛。新的盛大通行证过了15天好象就不能修改了，号很多人知道的话可能会被人抢注，印象中以前PKF移民也没要邮箱，也有不少人丢 ...

银行卡只有3次错误机会
网络密码你可以拿个穷举器挂在那里，只要位数短早晚拿到密码……
难道我说的不是事实嘛……

hirro

原帖由 koboshi 于 2009-6-10 14:21 发表



这个…………浏览器缓存吧= =……一般这种情况，刷新一下页面，一定要是框架内的单页就会恢复。
只有部分吃资源的浏览器会出现这个问题。
简单说你别在网吧干修改资料这种事，毕竟填写的文字都会在浏览 ...

关于数字帐号，实际是绝对不可以泄漏的，如果你的ID是白金或者钻石这种高级的，可以只报数字帐号就可以打贵宾专线或者总监专线，然后……明白了吧

hirro

考虑盗号我也不会发这帖子了，就是因为暂时只有新生过了通行证，其他服务器的才可以了解情况来防范，具体怎么做我在第一页已经写明白了