RSSRSS

Jahrestag des Joymax.com Exploits

23 Oktober, 2008 | | Kommentare 29 |

Heute ist es ca. ein Jahr her, als die größte „Hackwelle” in der Geschichte von Silkroad Online begann, in dessen Verlauf tausende Accounts gestohlen wurden und Joymax die Spitze seiner Ignoranz zeigte. Ich glaube diese Zeit von Silkroad Online sollte nicht in Vergessenheit geraten, deshalb dieser Artikel.

Alles begann vor ca. einem Jahr, als einige Spieler vom Server Tibet eine Möglichkeit fanden, jeden Account zu hacken dessen ID sie wussten. Es war eine große Sicherheitslücke im gerade erst hinzugefügten „E-Mail Verification Service” von Joymax.com, ein Service der eigentlich dazu gedacht wie die Spieler zu schützen.

Für die Hacker war es ein leichtes Spiel die besten Accounts vom Server Tibet zu rauben oder zu stehlen , sie mussten nur die ID eines Accounts wissen, der den „E-Mail-Verifikations-Service” nutzte. Viele Spieler benutzten ihren Ingame-Nick auch als ID. Aber auch Spieler die nicht den Nick als ID hatten, warren nicht sicher. Für die ID’s mancher Spieler wurden, via Global, mehrere hundert-Millionen Gold geboten, eine Gefahr für jeden der mal mit Anderen seinen Account geteilt hat.

Kurz darauf wurde auch Rev6.com auf die Vorfälle von Tibet aufmerksam und fand heraus wie das Exploit funktionierte. Rev6.com wollte mit einer öffentlichen Stellungnahme, Joymax auf dieses Exploit hinweisen und hat Hinweise (für jeden sichtbar!) zum Exploit veröffentlicht. Zwar konnte man mit diesem „halb-Tutorial” noch von keinem Account Besitz ergreifen, aber der Fehler auf Joymax.com wurde sichtbar. Damit Joymax handelt, hat Rev6 mit der Veröffentlichung von dem ganzen Tutorial gedroht.
Rev6 hat anschließend ein paar Tage gewartet, doch als man bei Rev6 merkte das Joymax nichts gegen dieses Exploit unternimmt, wurde die Drohung von Rev6 in die Tat umgesetzt und Rev6 hat ein Tutorial zum Hacken von Accounts veröffentlicht.

Nun konnte jeder, der das Tutorial verstanden hat, Accounts übernehmen. Alles was man wissen musste war die ID, anschließend musste man nurnoch hoffen das der betreffende Account auch den E-Mail Verifikationsservice nutzt.
Am Tag darauf hat Joymax das Exploit geschlossen doch es war bereits zu spät… innerhalb einer Nacht wurden auf allen Servern tausende Accounts gehackt!

Als wäre das, was am Tag zuvor passierte, nicht schon schlimm genug gewesen, wurde dem Ganzen von Joymax selber noch die Krone aufgesetzt. Ein Statement das ich wohl nie vergessen werde:

Hello. This is Silkroad Online.

Recently, many players have got nervous regarding stolen account problem.
However, there are absolutely no problems with JOYMAX.COM’s account system.
We strongly recommend our users to change their password again who are anxious about their account.
Some harmful sites have spread rumors about stolen account problem but those sites rather threaten your computer’s security.
Therefore, to tighten up your computer’s security,
please restrict yourself from visiting those harmful sites, and run an anti-virus program at least once a week.

Thank you.

However, there are absolutely no problems with JOYMAX.COM’s account system.” ?!
Joymax streitet ab das es jemals ein Exploit gab, dennoch wurde das Account-System von Joymax.com Tage lang offline genommen und überarbeitet. Aber besonders traurig ist das Ganze für die vielen Spieler die ihre Accounts verloren haben, es gab weder ein Rollback noch eine Entschädigung.

Da das Exploit nicht mehr funktioniert will ich euch jetzt auch sagen wie das ganze damals funktioniert hat.
Als erstes benötigte man ein FireFox Webdeveloper Add-On. Anschließend ging man auf Joymax.com und begann die Schritte zum Ändern des eigenen Passworts. Man gab also ID, E-Mail und Geheime Antwort ein, wenn alles stimmte, wurde man zu einer Seite weitergeleitet wo man drauf hingewiesen wird, das man den E-Mail Verifikations Service nutzt, dort musste man auf einen Button klicken damit die Verfikationsemail verschickt wird. Doch bevor man dies tat, ließ man mithilfe des oben genannten FireFox Plugins die Formulardaten anzeigen. Nun sah man auf der Seite die eigene ID, die man nun mit der seines Opfers einfach auswechseln konnte. Hier ein Beispielbild:

Anschließend klickte man auf den Button zum Abschicken der Verifikations-Email. Nun landete die Verfikationsemail des Opfers in eurem Posteingang. Nun klickte man auf den Link in der E-Mail und man landete eingeloggt mit dem Account des Opfers auf Joymax.com. Anschließend änderte man die E-Mail des Accounts und folgte einem bestimmten Link um, ohne nach der geheimen Antwort gefragt zu werden, das Passwort des Accounts zu ändern.

Kategorisiert unter: AnderesCommunityFeaturedHinweiseSilkroadVideos & Screens

Tags:

Über den Autor: Ich glaube meine allgemeine Schreibweise, der Sarkasmus und meine besonders dummen Rechtschreibfehler sagen genug über mich aus. Ich schreibe die Texte auf diesem Blog so menschlich wie ich es selbst bin.

RSSKommentare (29)

Kommentar schreiben | Trackback URL  |  zum Seitenanfang

  1. Iltron sagt:

    ohhh my goood
    krass… da ich früher rev6 nicht kannte
    hab ich davon garnichts mitbekommen..–,–
    naja… was ist ein rollback?

  2. ThE_PaiN sagt:

    Etwas rückgängig machen. Wie eine Systemwiederherstellung.

  3. Ex-Tibet sagt:

    Viele Freunde und Bekannte haben so nicht nur ihren Char, sondern auch Zeit und Geld verloren. Es gab zwei Spieler die damit sehr geprahlt haben mit globals wie ”oww another one^^”. Hoffe nicht das eine Sicherheitslücke in solchen ausmaßen wieder vorkommt.

  4. Kosinus sagt:

    Irgendwelche Quellen/Hinweise/Beweise, dass “Tausende Accounts” gehackt wurden ? – und dass noch auf jedem Server ? man kanns auch übertreiben. Soviele Spieler teilten ihre ID nun auch nicht mit Anderen.

  5. ThE_PaiN sagt:

    Ich habs Live miterlebt ich glaube das mindestens 2000 Spieler diesem Exploit zum Opfer gefallen sind.

  6. Lolill0 sagt:

    Uhm das is Hart.Zum glück hab ich nur kurz auf Tibet angefangen und war lvl 36.Joymax sollte mal mehr auf die Player hören und nicht auf das Rascheln des Geldes =/

  7. grubi sagt:

    In meiner Ex-Gilde hatte es damals auch einen getroffen. Nach mehreren erfolglosen Neuanfängen auf Aege (der Server, wo auch der alte Char war) hat er es aufgegeben und bottet nun auf Redsea…

    Aber ist echt arm von JoyMax, die Schuld immer auf andere zu schieben. Die werden einfach nur schiss gehabt haben, dass es keine neuen “Kunden” mehr gibt, wenn soetwas bekannt wird. Aber gerade durch diese Verläumdung des Exploits haben sie es sich bei vielen Spielern verdorben.
    Aber es passt ja zum Image von JM. Fehler gibt es nicht.. alles sind die User.

  8. Killefuchs sagt:

    R.I.P

    Naja ich habe auch 2 Chars verloren ^^ :)

    Früher war es für mich ein Großer Verlust … Heute geht es

    56 S/S Nuker auf Hercules

    76 Bow Hybrid auf Olympus :(

    Naja Ich finds aber wirklich erbärmlich von Joymax :D ^^

  9. CihanSZ sagt:

    Ich fands auch etwas Scheiße vonR ev6 daas die den Guide veröffentlich haben! Aberhatte zum Glück damlas keine High Chars(Highster 28), aber JoyMax war es mal ne Lehre aber das die des nicht einsehn ist erbärmlich!

  10. Kiwi sagt:

    wenn joymax da schon so egoistisch war , dann wird sich das jetzt wohl nie ändern! bald wird sro auch im monat was kosten , ich warte nur auf diese nachricht .und da joymax eh mit den bot bots zusammen arbeitet , brauchen wir uns auch nicht einbilden , dass sro irgendwann wieder bot frei sein wird.
    good bye silkroad online

  11. Kanesuke sagt:

    sro wird net monatsgebühren machen!!!
    denn die kriegen auch so schon genug geld von item mall
    sollten sie monatsgebühren einführen so verlieren sie um die 50% aller spieler und somit auch viel geld

    ich fands gut von rev6 dass sie den tutorial veröffentlich habn
    damit habn sie ja bewiesen dass joymax nur egoisten sind usw
    zwar schade um die accounts aba naja…

  12. Rcp sagt:

    OH MEIN GOTT!!!!
    Zum Glück ist das aber nur die Vergangenheit…

  13. Stumpe sagt:

    traurig …

    rev6 kenn ich gar net, was machen die sonst?

    am ende, wie schon im anderen thread geschrieben, wird meine zeit bei sro begrenzt sein. sehr schade, das das GRUNSDSYSTEM super ist. aber da isro komplett ignoriert wird von denen die es betreiben, seh ich da keine zukunft.

    interessant wäre vielleicht noch, auf nem korea server anzufangen. hat da einer mal zeit, mir da zu helfen?

  14. D4rk-Sasuke sagt:

    Ich hätte eine cSRO anleitung für dich….
    Also fürs chinesiche sro und ich hab auch da was wie man das ins deutsche übersetzt

  15. Stumpe sagt:

    dir wär topp … wie find ich dich? ^^

  16. Sessoma sagt:

    Es gibt Beweise, dass das stimmt. Nach dieser Nacht gingen auf den Servern die Namen der Opfer ja rund. Etwas später habe ich dann ein video auf youtube entdeckt in dem jemand alle accs aufzählt (mit Screenshots und allem drum und dran), die er sich zu eigen gemacht hat, darunter einige bekannte namen, die ich ja selbst als aktiver Spieler damals gekannt habe. Und zu Joymax… sind wir anderes gewohnt als totale Gleichgültigkeit?

  17. Danzig sagt:

    Ich bin auf tibet und hab schon um meinen account gebangt…zum glück is alles gut gegangen… ;)

  18. Crysalisâ„¢ sagt:

    Omg…

    Joymax ist so arm… Können es nicht zugeben.
    Die könnten ja wenigstens eine Entschädigung für die Spieler machen…

  19. __Ray__ sagt:

    Hab das auch live miterlebt, erst fing alles auf Tibet an und dann verbreitete es sich sehr schnell auf die anderen Server, das war schon echt hart für manche Spieler was da abging. Waren ja viele full-sox chars betroffen wie ich dammals gehört hab.

    Mein Char hatt die Hack-Welle zum glück überlebt war da noch 71 :)

    Und zu joumax sag ich mal jetzt besser nix….

  20. moku sagt:

    uh ihr (größtenteils) lucker, mein lv 73 char zu lv 80 ff war weg u nahtte full sos set samt som spear >.<, na ja wayne auf rome bin ich zurzeit un da is es, nunja türkenversucht aba fast hackfree xD, kack auf joymax mit ihrer gleichgültigkeit ich geb denen ned mehr viel ezit un dann is des game futsch im internationalen bereich….

  21. sebastian sagt:

    also….
    das problem ist es gibt wieder einen bug…der auch auf dem server tibet kommt…
    der spieler heißt aQuatic hat mitlerweile 8 chars gehackt von denen er nur dei id wusste the pain vllt kommt dir der name Toilet ja bekommt vor es besteht die möglichkeit das Toilet weider aktiv ist nur unter falschem namen (aQuatic) denn Toilet kommt aus brasilien dies streitet aQuatic ab aber er kann ebenso spanisch und wie jeder weiß sprechen die in Brasilien auch spanisch also Alex wäre toll wenn du dich mal darum kümmern könntest blog schreiben oder schreiben wenn sich die ,,neue” hackerwellse aufgelößt hat danke

    Regards

  22. Stumpe sagt:

    irgendwie … ich kann mir ainfach KEINEN Grund vorstellen, warum ich ITGENDJEMANDEM meine ID geben sollte … egal wer´s is

  23. olli sagt:

    Rollback oder Backup der Daten von den Accounts.
    Wenn die neu gemacht werden, haben sie den gleiche Spielstand wie vor dem Raub

  24. Dragapit_22 sagt:

    why me char banned. Gm open pls again my char Dragapit_22. me not play free bot . pls again open

  25. Macke sagt:

    nen freund von mir hat dadurch nen komplettes Sun Set + Sun Sword und Shield sich gehackt ^^

  26. Stumpe sagt:

    hab da was gefunden … greetings des CEO von joymax.

    “Dear Players”

    Joymax has continued to grow with your concern and support over the last ten years.
    As the first company to publish a Korean RTS (real time simulation) game in Japan, first title “Final Odyssey” heralded our success in the global market. Numerous titles including 2001 “ATROX” was introduced to 11 countries worldwide, including Great Britain and Germany. With the foundation for a global distribution network, we opened MMORPG “Silkroad Online” in 2005, and now provide countless entertainment to game players in over 200 countries.

    Since then we established our US branch in Silicon Valley in 2006 and are preparing to launch the game portal site JOYMAX.COM, to further ourselves as global publishers of quality game contents.
    To truly succeed as a future oriented global entertainment corporation bringing joy and happiness to all our players in the 21st century, Joymax wishes to go forth with the following visions:

    Joymax aims to provide top quality services and products guided by a customer oriented philosophy that puts our customers first.
    We also seek to become a socially responsible company that continues to work towards making a difference in the community around us.
    I thank you for your continued love, support, and concern for our company and our games, and pledge to always continue our best to maximize your joy and gaming experience.

    Thank you.

    bin mal so frei auch die homepage zu posten. interessamterweise kann man hier offenbar auch mit Jm in kontakt treten. kennen die wieder alle weil ichs net drauf hab oder konnt ich damit jemanden überraschen? ^^

    http://www.joymax.co.kr/eng/

  27. _ImbaGer_ sagt:

    hey an alle die in dieser zeit gehackt wurden ihr tuht mir so leid :( :( wurde bis jetzt 2 ma gehackt konnte aber acc wieder aufbauen weil ja nur items geklaut worden sind aber wenn ein so hoher account auf einmal ganz weg ist o.O ich kann mir so was garnichma vorstellen.

    mfg

  28. Alex sagt:

    hehe Tibet RUleZ eben :D naja zurzeit werden auch grad viele gehackt grad die bekannten deutschen :( unter anderem ich auch naja hoffe joymax hat was drauf gelernt

  29. Schokolinse sagt:

    hm, hatte aber auch was gutes. hab 5 accs wiederbekommen, die mir und nem kumpel gescammt worden waren. naja eigentlich warens nur 2, aber rache ist süß…
    btw, in brasilien wird kein spanisch gesprochen, zumindest nicht als landessprache, sondern portugiesisch.

Kommentar schreiben

Wenn du ein Avatar haben möchtest, geh und hol dir ein Gravatar.