L'utilisateur sur le compte duquel le problème a été détecté :
maxituss / maximus / angus / yupakeg / Didextri / skyluc2 / orim / _wanheda_ / rick57

Les coordonnées :


Date ou heure de ce problème (selon l'heure du serveur) :


Description : messagerie à plus de 540 message seconde + scripte splémentaire en plus de celui du jeux


Actions requises pour répéter le problème :
subire une attaque d'un bot de mesagerie

Capture d'écran :

Bonsoir, Monsieur l'Empereur de XCraft. Je me permet de vous déranger pour vous parler de plusieurs problèmes survenues sur la base du jeu depuis le mois de Septembre. Nous avons bien entendu utilisé le forum pour communiquer ce problème depuis l'onglet Bug du jeu => https://xcraft.ru/uploads/images/66/45/66454cb3545f4ef7d5bf08fcf0015b05.png cependant ce matin, nous avons eu la surprise en découvrant que notre post sur le forum a été supprimé par @Victoria, un administrateur de ce jeu. En effet, comme prétexte pour le supprimé elle a utilisé le fait que notre post était situé à la suite d'un poste vide que voici => https://xcraft.ru/forum/topic_53160/last#reply . Cependant, le joueur @maximus lui avait prévenu que le joueur en cause s’était trompé de post et lui a donc demandé de le bouger, sans résultat => https://xcraft.net/uploads/images/f7/a8/f7a8ea74df1c17314d4eba92798edced.png . Je vais vous expliquer comment nous avons découvert cette faille mais également comment les hackers font pour pirater la messagerie du joueur en question. Tout d'abord, je vais vous établir une liste des hackers que nous avons détectés @maximus et moi ainsi que les preuves que nous avons contre ceux-ci :

@Defencer, l'un des premiers hackers que nous avons détectés
en effet, nous avons vu un problème dès lors l'apparition d'un tchat inconnu qu'on ne pouvait ni ouvrir ni lire => https://xcraft.ru/uploads/images/36/eb/36eb4d76666712edef6ee73234c7589d.png
De plus, très récemment, j'ai également détecté un problème dans ma propre messagerie qui a montré que celui ci piratais le serveur => https://xcraft.ru/uploads/images/79/0d/790d6b0f5b937293c0da4c01f297ccfe.png
https://xcraft.ru/uploads/images/5d/f0/5df0e0ef6e2ac8844f801f6db5708eaa.png
on peut voir que @defencer est ignoré par mon compte humain mais comme on peut le voir dans la messagerie globale, on ne voit plus le symbole ignorance, alors que l'on peut voir qu'il est ignoré avec la deuxième image.
@ckunugap , le deuxième hacker du groupe à avoir été détecté.
Il y a également plusieurs preuves contre celui-ci directement dans la messagerie :
https://xcraft.ru/uploads/images/79/0d/790d6b0f5b937293c0da4c01f297ccfe.png
https://xcraft.ru/uploads/images/45/c3/45c36b7b7604999e9d9008a8032c9b6f.png
comme preuve supplémentaire par rapport à @defencer => https://xcraft.ru/uploads/images/43/0f/430f2fb716607d0a6dbc585158269fe2.png
on peut voir donc que malgré l'ignorance sur celui-ci, je peux lui ecrire un message, ce qui montre qu'il était en train de pirater ma messagerie à ce moment là.

De plus, on peut voir que les deux joueurs sont toujours présent lorsque la messagerie est saturé
=> https://xcraft.net/uploads/images/f8/70/f8701eb1af277db47ffcf66944b60f4c.png


@dizel_2020 repéré par les même fautes que les joueurs précédent
https://xcraft.ru/uploads/images/21/da/21da792c6be7fb4062cb9f217a7a3b01.png
@Omnadren , repéré hier par les même techniques :
https://xcraft.ru/uploads/images/43/0f/430f5ec275022684b1a439d634c79d0c.png
@-FIKUSOFF- , repéré également hier par les même technique :
https://xcraft.ru/uploads/images/54/8d/548d61b96927c8459a121d1968494ae6.png
@plumbum_ , repéré également hier par les mêmes techniques :
https://xcraft.net/uploads/images/f3/3f/f33f3c1f52be9dbd5d1a350839e4dd19.png
@KAPRAZ , repéré ce soir par les mêmes techniques :
https://xcraft.net/uploads/images/82/47/8247fc192c7f3c96b92b88b6f5b03f3c.png

Pour résumé, les noms de ces joueurs, je les ai récapituler dans un message : https://xcraft.ru/uploads/images/47/ca/47ca5c4ee94a69441777a5ff8edfbe52.png

De plus, nous en avons retrouvé un pirate lors de la rédaction de ce message: le joueur @Kochevnik:
https://xcraft.ru/uploads/images/a3/54/a35480a710a0d0200bd4d8643ab494b1.png
Désormais, je vais vous prouvez que des actions menés par ces joueurs ont été réalisés à la suite de l'utilisation d'un problème de messagerie.

La première conséquence de cela a été le vol et la destruction de SPO. Je vais ici prendre l'exemple de @orim . Celui ci s'est fait pirater son compte le 18 septembre => https://xcraft.net/uploads/images/87/17/8717d4f9c711452738d6e0f8c2a49d77.png
Le lendemain, @orim a perdu sa SPO 1M qui n'était visible que par les amis et alliés par @Defencer et par @ckunugap . de plus il a vérifier ça messagerie et liste d'amis aucune trace des 2 voisin russe
De plus, le fait de hacker la messagerie a permis de trouver des flottes censés être invisible par ces joueurs => https://xcraft.ru/battle/index.php?battle_id=b1a0b0dd3cd04168db30995f43156710 à l'époque, les comètes n'étaient pas encore visibles pour tout le monde mais uniquement pour les amis et les alliés.
De plus, on peut voir dans les rapports de combats, les liens d'amitié entre les joueurs alors qu'ils ne l'etaient pas => https://xcraft.net/uploads/images/48/93/4893a341f16141727974823651654151.png et de plus le message privé suivi avec « l'ami » des tricheurs a bien prouvé qu'ils ne l'était pas => https://xcraft.net/uploads/images/7c/76/7c76edbc3683c71ef2da8f436e7af640.png
Comme preuve que ces joueurs pirates les comptes, on peut également utiliser l'exemple du joueur @rick57 en effet, celui-ci, bien qu'il ne soit ni ami ni allié avec ces tricheurs à vu apparaître en son orbite leur SPO qui tape actuellement sa SPO alors que celle-ci était caché alors que celui ci n'avait pas activer le partage de visibilité depuis sa planète et que son alliance et ses amis n'avaient pas la visibilité dessus, seulement lui l'avait.
=> https://xcraft.ru/uploads/images/06/c5/06c56428693fe90f8b82d8d282e8eafb.png
et on a pu tester la visibilité en directe y a peu avec hesperia qui a vu ça 1M pop sur notre zone et la sans partage a l'alliance de la visibilité de la colonie ou elle étai en orbite pas de visibilité pour les autre csa
https://xczu.com/uploads/images/80/6e/806e5ec884dd7387d24339766f775b58.png ( la visibilité partager sur la spo qui tire sur la pnj na pas sufi a donné la visibilité au allier la falu que soi la colonie qui donne se qui fait que son arriver a vollé les donné de partage amis et forcé l'amitié avec lui pour pouvoir la taper que soi avec station et flotte ( sans visibilité totalement impossible venir avec une flotte et on a u la preuve que flotte défencive de la spo de rick57 actuellement détruite avait u leur visite vu que etai pas nous ou nos allier )
Rien que messagerie inouvrable à plus de 540 message seconde de joueur inconu ils nous a suffit à certaine connaissance douer en informatique dont mon frère qui est annaliste programmeur actuellement en société de servive depuis plus de 20 ans dans des service de banque donc ils prennent que les hautement qualifier et qui a validé le bot en quelque seconde

Pour toute ces pertes, mon alliance, moi et toutes les victimes de ces piratages, demandons un remboursement total des pertes entraînées.

De plus, ce piratage entraîne de grave conséquences sur le serveur du jeu, en effet, il y a une multiplication des traceurs ,scripte et annonces, ce qui entraîne un ralentissement du au flux de donnée saturé de demande de celui-ci. Bien évidemment, nous avons fait des test qui nous le prouve:
Joueurs sans piratage:
https://xcraft.ru/uploads/images/99/db/99db1fc6bcec27bcd4a5bdf10a3b8aec.png
Joueur piratés:
https://xcraft.ru/uploads/images/24/e0/24e04c5657372a8be5dbea6f95901572.png
maximus a eu pas loin de 10 fois le passage du bot: a chaque fois lag tellement important que combat infesable et latence sur les rapport de combat de 10 à 15 minute
On peut donc voir ici que le bot rajoute deux modules supplémentaires par rapport au données normales.
Nous avons également pu identifier, avec l'aide de personnes dignes de confiance, que les modules généraient ainsi 4 scripte supplémentaire par rapport à celui originel du jeu.

Désormais, nous allons voir que, même si @victoria a été mis au courant de ces nombreux piratages, celle-ci n'a rien fait pour l'endiguer et pire encore, a enfreint les règles 4.10 en supprimant toute les preuves que nous avions fournis sur le forum et en faisant disparaître ainsi l'affaire. et semblerai en ai rien a faire des infraction 7.1 et 7.3








Désormais, je vais vous expliquer comment ces joueurs font pour pirater l'affichage de l'amitié et de l'ignorance.
on a connaissance de longue date que faille de sécurité dans la messagerie du code source ogame ou on peu modifier amitier + potentiellement d'autre truc, et semblerai que les développeurs n'aient rien fait de sérieux pour fermer la faille. je connais un ogame ou elle a été fermer de base avec certaine limitation et coupure de lien entre certaine partie du jeux et la messagerie ( ignore liste et amitier indépendante de la messagerie )

Il se trouve que le bot repéré, avec ça vitesse, force certaines modifications du code du jeux de la messagerie : liste d'amis , tentative sur ignore liste et partage visibilité ( il arrive a faire croire au serveur du jeux que s'est l'utilisateur piraté qui demande les modifications ) on a eu la preuve avec le dernier membre csa qui l'a pas vue, mais vu les acte en face, l'a subie : le partage de visibilité de station pirate de 1M associé àsa quête. Alors que même nous, qui somme de son alliance et amis avec lui, on avait pas la visibilité de la station. alors que l'on avait station pirate orbite juste à côté. Aussi tenté de voir en envoyant une flotte en défence. Rien n'a donné la visibilité. on la eu quand j'ai demandé au joueur qu'il mets la visibilité de la colonie en desous a l'alliance. Ils sont donc arrivés à la voir, soit à se faire passer pour le posseseur de la colo, donc notre membre, soit modifier visibilité amitiée de tout son empire, et se faire passer pour un de ses amis ( modification que le joueur voie pas )

https://xcraft.ru/uploads/images/db/7b/db7b5011b576f4ce81b2eb715edcad12.png semblerai que certain de leur membre au vu que les dernier qui l'avais pas perdu le tag l'on perdu en masse ai en plus du bot les pass pour les compte des autre membre de leur ally
petit suplément : https://xcraft.ru/uploads/images/98/c6/98c61bb02be1fe26b867a7bb9280b932.png avec ça il est arriver a espioner à 5 sys de distance sans autre objet dan les 18 sys autour ni flotte orbital

https://xcraft.ru/uploads/images/05/4c/054ca3a3c8bd9d07acb8882cde77d973.png on peu me dire coman il son arriver a la trouver allor que moi son amis proche ma pas dit ou et qu'il partage pas la visibiliter amitier et alliance ? il on rien a moins de 20.000 de distance
et on a verifier rien en flotte orbital ni flotte poser avec colonisateur dan les sys
voila se que j'ai quand je regarde a espio el sys ou il est cause suis amis avec lui donc espionage impossible donc sans objet proche ni amis avec lui ni flotte orbital il on la visibilitre du sys ou elle est .... allor que moi qui suis amis je peu pas espionner
joueur hors ally et hors amis si objet hors visibiliter on peu pas les voir allor coman defencer ckunugap et https://xcraft.ru/user/diZel_2020 arrive a les voire hors de leur zone de visibiliter ?

1520:985:8 et en son a colo de partout en multicoompte la pour palier leur visibiliter mediocre .... spo de fbs etia hors zone on a verif aps de colo station jordan pareil

les moyen pour sécuriser la messagerie et trouver les utilisateur du bot
1 programme de surveillance pour repérer les ip qui génére des demande audela d'un certain seul et vous les fait remonter attention risque d'avoir l'utilisateur et celui qui subie donc faudra étudier
2 limiter le nombre de message consécutif sans réponse et nombre de message fesable a la minute ( limitation sur tout les ogame ou suis passé en presque 20 ans d'ogame )

OK. I quit the game. For month we have identified how a few players could get information through injection of javascript code trhough a bug in the messaging system.

I managed to hide a SPO at more than 30 systems away from the nearest occupied planet to hide. But not only they found me, but could move their own fleet just a couple of systems away from my visibility, and despite an attempt to relocate my SPO again 20 systems away, it only took a couple of hours to locate it again, and seize it.

The game is already very unbalanced to favour old russian players , but that's the game. But blatant cheating is no fun anymore.

I definitely quit the game tonight. And go to hell...

Bonsoir,
Nous avons donc proposé un moyen de passer cela. Il suffirait donc pour bloquer le problème dans la messagerie, d'instaurer une limite de message par secondes, comme beaucoup de jeu de MMO le font. Mais également instaurer une limite de message sans réponse, pour éviter tout flood qui nuirais ainsi à toute bonne communication ou alors restaurer un détecteur de bot dans les messages au bout d'une certaine limite de message envoyé
De plus, vous pouvez également instaurer une surveillance des IP qui fait des demandes amitiés fréquemment, ainsi, vous aurez la liste d'éventuelles utilisations de bot, et donc il ne faudra que vérifier manuellement si cela est bien le cas, ou alors bloqué l'adresse IP emmettrice de bot.

trouvé le codage pour limiter a une seul session de messagerie par utilisateur le bot serai bloquer sans autre modification
et on a refait teste visibiliter avec un de nos membre spo 1M ou on en a perdu 7 bien invisible hors alliance et amis ( et actuellement invisible si vissibilité partager de la planéte ou elle est couper ) donc coman sans triche on t'il fait pour avoir leur position et les avoir en visibilité pour les vidé et detruire ? et les derniere chez rick57 et alph ( compte delet la ) après derniere mise a jour visibilité et on a tester avec spo flote orbital menbre alliance amis et joueur non amis si couper personne sauf un qui tirai deja dessu avant n'avai la visibiliter
vue les info recolter avec un autre joueur le bot est crée en bluesteel votre gestionaire de script du jeux et se fait passé pour le vrais pour modifier les donnée du jeux et aurier du arriver a ces conclusion des la preuve de doubler cession chez moi quand j'ai la messagerie de 540+ message /seconde
on encore detruit une spo 1M pnj ou il devrai pas avoir la visibilité la 8é en environ 4 mois de jeux

bonjour
moi aussi chunugap m'a deja detruit une spo de 1M attacher a moi par la quêtes N°6 qui n'est pas sensé être visible pour les ennemis et maintenant s'est dirigé vers la 500K qui reste pour la capturer puisse qu'elle a une entité dessus pour la déplacer (je ne parle meme pas de la destruction de ma station spaciale et du ripper toss de mon voisin ainsi que d'un dunkleosteus qui été la) mais surtout comment il a pu vois ces 2 spo

pour faire suite a la question d'ulgrit moi même je ne la voit pas voir imprime ecran comment a t'il pu
la voir

je reviens de nouveau pour prouver que chunugap voit bien la spo pnj il lui tire dessus avec le pistolet à gravité les protections planetaire sont descendu de 15 a 12

https://xcraft.ru/uploads/images/47/f0/47f082b03c90a4b272e596370e9c59a1.png et vienne de proposer un echange pour une spo ou on la visu allor que moi qui suis amis et de l'alliance j'ai pas la visibiliter et pas de flotte en orbite de nos voisin russe donc oui on bien la visibiliter de toute nos spo pnj semblerai
https://xcraft.ru/uploads/images/23/7a/237a13a4d5cad6919bdfd50e8c072d01.png et la visu avec mon xerjs avec flotte orbital a coter ...

Le technicien a réglé le problème, qui n'avait rien à voir avec la visibilité de l'objet.