19 一擊必殺
如果密碼丟失怎麼找回呢?
大家可以回想一下,絕大多數知名網站,APP找回密碼的操作
1-通過手機、身份證、預留問題、郵箱確定身份
2-輸入新密碼,並確認
(系統一般會存下歷次使用的密碼的加密字符串)
3-重置密碼成功
如果有這個步驟說明系統並不知道你的密碼,只知道你密碼的加密字符串,經過確認身份後,允許你重新設定一個密碼。
特別提醒:如果一個軟件或者網站“找回密碼”,結果把你的原來的真密碼發回來了,那說明這地方的密碼非常簡單,連加密都沒有,牢記牢記千萬不要在這種網站用重要密碼。
因爲這個密碼一旦被竊取,壞人就會用這個密碼去試其它重要的如QQ,微信,支付寶,網銀等等。俗稱“撞庫”(用已知的密碼去撞其它網站的賬號)
拿《原始時代》用戶丟失密碼來講,也是這麼回事。當年沒有手機捆綁,郵箱捆綁也用的很少。玩家的密碼被竊取後,盜竊者將其修改成別的密碼,原玩家就不能登陸。
這些修改密碼行爲,在遊戲的服務器上,就是密碼的字符串獲得了更換。當沒有新的密碼,是無法登陸的,除非服務器重置爲簡單密碼。
董康和曾啓的思路便是如此,那位版主竊取了大量玩家密碼後,會不會把每一個被盜走的賬號都改成不同的密碼呢?
不會,絕對不會的。
第一,工作量太大。
第二,一個有職業素養的黑客一定會給自己留下後門,如果隨機起成不同的密碼後,他一旦忘記也不能進入這些賬號。
比如,上次狄穎宇找他要了一個43級的賬號密碼,他能夠找回來,說明他知道密碼改成什麼行駛了。
董康查詢了被改了密碼的一批賬號,發現這些賬號的密碼經過加密後,對應的字符串只有三個,也就是說,這位黑客版主把竊取到的賬號,可能用三組密碼進行修改。
有一組是狄穎宇爲曾啓那個43級賬號要回過密碼的。
還有兩組密碼是什麼?
密碼是沒法逆向出來,這怎麼辦?
現在就輪到一直潛伏的狄穎宇出場了,曾啓坐在網吧裏,讓狄穎宇繼續用轉發賬號密碼信息的郵箱不斷給那位黑客版主轉發賬號密碼。
那位黑客版主例行的收取Diy0DO給他發的郵件,他並不知道這個ID到底是誰,他只知道,這是今天寒假這裏註冊的一個用戶,醉心技術,喜歡研究破解。
在北州。這個Diy0DO製作的木馬不定時都會給他發很多封郵件,郵件裏是超過35級玩家的區服,賬號,密碼信息。
現在自己只需要按照發過來的賬號密碼登陸如遊戲,選擇修改密碼,然後把密碼修改成了自己專門設計的三個密碼即可。(這兩個密碼有字母還有數字混合,誰能猜的出來?在服務器那裏,依然是一個字符串,沒有人能逆向找到密碼。
黑客版主一般處理着郵件,一邊修改密碼,他設計的信息傳送渠道是安全的。北州那位不知名的網友把竊取的信息發到境外的某個郵箱,再用郵箱的自動轉發功能到自己手裏。
就算北州的那位網友被抓住了,無非是查到那位網友的郵件和轉發的郵箱,這兩個郵箱都是境外的,要從郵箱找到自己,那幾乎和沒有引渡條約的國家之間引渡逃犯一樣艱難。
最近幾天北州那邊收穫不小,天天都有高等級的玩家賬號送來,黑客版主改了密碼,猜測這些玩家很快就會哭天喊地,指天罵地,這些賬他們都會算在《原始時代》那邊,和自己無關。他笑着看到論壇私信。私信是北州網友Diy0DO發來的,說自己朋友的兩個賬號也被盜了,請把修改過的密碼發回來。
分別是2服的殺破狼wolf和5服的碧水長流
版主黑客笑了,記得前幾天這位北州的網友要過一個賬號的密碼,說不定是幫人找密碼?無妨,反正追查不到自己,他已經懶得去查具體哪個賬號改成哪組密碼了。
於是回覆了郵件:“
郵件開頭說:“反正就三組密碼,你隨便試吧!”
然後是三組密碼
密碼1 abcdef
密碼2 123456
密碼3 111111
結尾是一句調侃的話:“你說的朋友會不會是你自己吧?”
這封郵件原封不動的又轉發給了董康,董康打開一看,真是送佛送到家。
這三條密碼適配了曾啓丟的那個賬號,還有做誘餌的兩個賬號,經過加密後得到了三組字符串,恰好和所有丟掉密碼的那些賬號的三組字符串相符。
現在整條線索鏈已經齊備了,該幹什麼呢?
曾啓和董康找到黃老闆,大家商量了一整天,最終,北州遊戲史上一場空前的在五一節前舉行了。
曾啓是發佈會的幕後主持,黃老闆宣講,董康技術支持,林瀟然,孟飛,李騰震場面。
邀請了幾乎所有遊戲媒體的人。包括著名的姬編輯,明日科技週刊和曾啓有點頭之交的柏記者,更不用說喜歡湊熱鬧的京城名記於翔,以及大量的遊戲行業人士,甚至曾在北州青年報以《遊戲是瞄準青少年的毒品》一文廣爲人知的費記者也來了。
來的人不亞於一年前互聯網泡沫時的那些燒錢的發佈會,完全相同的地方是有車馬費的紅包還有紀念品。
爲了現場造聲勢和取證,曾啓在網吧通過一些熟悉的老闆,找了一些老闆熟悉的丟掉賬號的玩家,承諾現場幫玩家把賬號密碼找回來。
會議開始,黃老闆先出示了日本SSJ公司給綜藝國際的授權書原件,以證明綜藝國際在大陸地區運營《原始時代》的合理性。
黃老闆又出示了日本SSJ公司給“花意國際”的授權書複印件,說明“花意國際”只有資格在港澳臺地區運營遊戲,即“遠古時代”。
黃老闆繼續出示了《遠古時代》繁體版的幾張主要截圖和在國內運營的《石頭時代》的對應截圖,用來說明《石頭時代》就是《遠古時代》
展示過程,幹調而機械
一個的安排好的記者直接站起來提問:“如果有侵權問題,可以找有關部門申訴,有沒有必要在這裏直接攻擊其他廠商嗎。”
前面看着儒雅平靜的黃老闆突然暴怒:“如果是侵權問題,我們可以法律解決,可是這家公司惡意竊取玩家賬號,讓很多玩家玩不了遊戲,這還有道理嗎?”
董康登場用平淡的語調介紹“遠古時代技術網”,並點開了一個高級會員專區,這裏面就是交流外掛的,瀏覽器慢慢下滑,在坐的媒體也好,玩家也好,都被帖子的條目內容震驚了。
帖子的標題赤裸裸的說,怎麼擴散外掛,怎麼植入木馬,怎麼竊取賬號。
董康點開一個帖子,居然是個交易帖,某個擁有高等級的玩家賬號正在被出售,要價是價值遠古時代的點卡(300元新臺幣購買的點卡)……
董康又點開一個帖子,此版主之前發的,招募北州地區的玩家擴散木馬的帖子。
所有的帖子都指向了“花意國際”,因爲這是花意國際的論壇,並且這裏面所有軟件,外掛,以及回帖看內容都需要《遠古時代》的臺灣點卡密碼。
會場此時已經沸沸揚揚。
黃老闆激動的說:“花意國際,惡意竊取玩家數據,我們已經報案,他們這是危害網絡安全,這是搶奪玩家的賬號,這就是赤裸裸的搶劫!”
董康接着說:“我們基於對玩家負責的精神,想找出製作外掛的幕後黑手,特別製作了一批賬號,分別放在1-16服中,現在這些賬號已經完全被盜了。”
大家看,這是我們放在遊戲裏的賬號的角色名:
1服:“花兒朵朵開”
2服:“情意堅007”
3服:“一個國有玩家”
4服:“飛躍天際線”
5服:“盜亦有道”
6服:“欲取之OHO”
7服:“看看賬本說”
8服:“誰會吹號角”
09服:“喪萌神宅”
10服:“傷心大平洋”
11服:“急性病人”
12服:“東邪西狂”
13服:“人間道969”
14服:“天神降臨”
15服:“共通共玩AA”
16服:“你懂得憤怒”
請大家從上面四行一組,按照每行的1-2-3-4字讀
全場一起讀:“花意國際,盜取賬號,喪心病狂,人神共憤!
全場沸騰了,那些被盜號的玩家簡直已經罵聲成片,國罵家罵混在一起。
黃老闆示意大家安靜一下
董康又指着一個銷售賬號帖子說:“大家看,這個帖子名“3500點賬號只要300點”,打開一看,帖子裏赫然寫着10服:角色名:傷心太平洋,等級37,戰寵敏12,法寵魔11,還有3500點,現在只要300點。充點卡後回覆即可獲得賬號密碼。
董康現場刮開一張300點的臺灣《遠古時代》的點卡,往裏輸入了密碼,就獲得私信的賬號密碼,果然登入了遊戲,裏面和帖子描述的完全一樣,這還有什麼可解釋的?
那些盜號後的玩家豈止是憤怒,現在要是他們知道花意國際在哪裏,他們就會上門打砸起來。本來表現中立和有偏向的媒體紛紛把在場記錄下來。
和遊戲關係不大的費記者更是激動,這麼有趣的新聞,這麼轟動的時間,發新聞,還能寫專欄呢!
以黑止黑?不是合法的,但是還有更好的方法嗎?