警醒与反思

我是h5.1海外服的一名玩家，玩暴走2年了。一直以来都是看帖偶尔回复，从未发过帖子，但是今天我觉得有必要写这一篇引起XF以及广大玩家的注意。

首先说明一下，海外服的玩家来自世界各地，同时包括香港和台湾地区的同胞。近期以来，我服出现一位猖狂的盗号贼。最新（几日前）的3位受害者均为台湾地区的学生。我便以捕快的身份公布一下这位盗号贼的犯罪画像：

犯罪人ID：曾以“霜似雪”这个名承认犯罪事实，在众人声讨中上吊改名为“一叶知秋（繁体版）”，接着又以“玄冥”这个ID作为“一叶知秋”的妹妹出现，自称10岁。

犯罪人性别：猜测为男。知法犯法，不知廉耻，以盗号为乐，说是小女生我是不会信的。

犯罪人性格：颇为自负，充满恶趣味（花人金条，解除师徒关系，吃撑饱和度），喜欢装人。

犯罪人坐标：猜测为台湾地区。理由是此人登录了别人的号进行一番“操作”后得意洋洋得来了一句：“又是一个美好的下午”。当时本人时间晚上8点多，与国内差4小时，由此推测贼人在亚洲地区，又因为他打字为繁体，称软件为软体，对台湾学校名字以及学生电子邮箱组成方式熟悉种种来看，此人在台湾。

犯罪手法：据此人自供，他是先得到了第一位受害者的账号，然后用软件，也就是他所说得软体不停地测试密码，最后登录，这也就是所谓的暴力破解法，在得知别的人账号情况下成功率大大提高。破坏了第一个账户后，他又从这位受害者的邮箱（gmail）找到另外2个好友，这两人便是后面2为受害者。他们3人都是通过邮箱注册游戏，账号便是邮箱地址，于是乎，3人账号就这样毁于此人之手。破坏账号后贼人还把3人账号密码全部公布与众。

讲到这里，问题来了，首先他是如何得知受害人的账号？我问了3位受害者，他们均表示都是自己玩，从未给别人账号。这3人在一所学校，平时也相互认识，退一步假设他们的同学或朋友泄露了第一位受害者账号，那么接下来这个暴力破解密码才是我们要关注和反思的重点！

在知道账号的情况下破解密码（特别是简单的那种）很快，就像贼人说的，无论你改什么密码他也能黑进去，因为软件不断试错，如果密码的服务器方没有相关的保护机制的话，估计也就几分钟之内的事情。关键就在于这个保护机制，比如说在陌生位置登录，不同设备等因素，就会触发拦截登陆。 然后手机短信会发验证码核实，这样就算破解了也没法登录，相信大家玩别的游戏都碰到过这种机制。

这也恰恰说明了海外服并没有这个保护机制（我不了解国服，不做评论），而这个贼人就利用了这个漏洞，一而再再而三地盗号毁号吊号，其中还装女生出来说喜欢这个游戏请求受害者原谅，被谅解后又开始不安分，到处骗号，装小女生博好感，被拆穿后立刻露出本性，再次黑入其中一个受害者的号爆料别人私聊。

本人细思后感到脊背一阵发凉，莫非之前服里的盗号事件都是此人所为？这种事情绝不能姑息，越是放任他就越猖狂！我虽只算小氪，但若有一天账号被泄露，密码被破解，自己付出2年多的号被乱搞定会心痛万分。

由此，我希望通过这件事给广大玩家一个警醒，千万别随便给人账号，注意仅仅是账号也不可以！因为可能存在上述的漏洞。也希望XF及时和程序员反馈，添加安全机制，确保玩家账户安全！

PS：我当时没进行截图，如果需要可以征询其他玩家看看有没有截图为证。