技术贴分析近期大量盗号原因
修改于04/041187 浏览综合
接上贴,事发原因是玩了800多小时的账号中的近200金钥匙和其他可能有点价值的物品莫名消失,事发假期就当给盗号的过节了。但想来想去觉得作为一个勉强的安全领域从业者,盗号这事发生在自己头上总觉得受到羞辱,于是觉得有必要分析一下。
可能性分析:
1、内部员工窃取玩家道具获利
2、游戏存在致命漏洞导致玩家账号可以被异常获取
不讨论可能性1这种非技术问题,那就是从漏洞方面找原因。因为本人账号是自己玩,没有云手机没有辅助没有代练没有账号交易,日常使用习惯良好,所以我排除因为钓鱼、病毒等原因导致的账号外泄(另外游戏使用手机号登录,本身是一种安全度比较高的双因素机制了,也不要存在账号泄露的太大可能),那仅剩的可能就是游戏的致命漏洞了,因为账号异常期间我手机始终在手里,没有任何登录短信验证码等提醒,且我从未对外提供过我的手机号。
由于我自认为没有外泄过任何敏感信息,因此先从数据角度分析,目前可定位我账号的唯一可外部过去的数据是游戏id,因为目前的换卡等行为都需要提供账号id进行查找。
接着分析游戏id,看起来是一长串uuid,随机性比较大且不连续,猜解难度大,基本不太可能通过包里猜解进行扫号,因此大概率是通过在游戏中埋伏踩盘,选择可能的高价值账号查看id后进行物品盗取。
最后就是从游戏id怎么上账号的问题。上文说过,正常登录的手机双因素是一种安全的方案,那如何以游戏id这种单因素登录账号?有一种可能是游戏后台运营功能外泄,小偷拿到了后台管理(比如37内部安全机制问题、社工等),但是因为理论上服务器以及后台管理都应该在内部网络,对外不可访问。因此顺着这个可能分析的话,应该是游戏公司内部被攻克,或者因为安全管理问题导致VPN外泄让小偷可以访问内网管理后台。最差是完全没有网络隔离且环境地址账号外泄,那只能说是真的草台班子。
另一个可能,是账号认证机制的绕过,比如原本登录后的逻辑里返回了用户id,然后再使用id开始登录,这就存在一个逻辑断点,可以通过抓包等动作拦截和替换用户id,实现登录任意账号的目的。
