M6cejwt 1

Une community manager piratée

Dans la nuit d'hier, Gaile Gray une des plus anciennes community manager de Arenanet a vu son compte Guild Wars 1 piraté. Le studio a depuis repris le contrôle. On vous en dit plus dans ce billet.

Les faits

Des informations contradictoires circulent sur internet (bien entendu). Mike O'Brien a publié il y a quelques heures une réaction officielle à ces évènements. Des personnes se faisant passer pour les hackers en question n'ont pas manqué de contre-réagir sur reddit et tenté de ridiculiser Arenanet.

Réaction de Mike :

Mike O'Brien- Président Anet (source)

Last night a hacker socially engineered one of our CS agents to gain control of Gaile’s account, and accessed GW1 using it. Gaile of course has two-factor auth on her account, and despite the social engineering, the two-factor auth worked and protected her, so the hacker had no access to her forum or GW2 accounts. Only GW1 pre-dates our 2FA/SMS system.

To socially engineer the CS agent, the hacker provided a variety of personal details about Gaile. But we don’t accept personal details as primary proof of account ownership. We require things like verifying billing info, two-factor auth, access to the account’s primary phone number, or access to its primary IP address in cases where IP address ownership is clearly established. When we can’t verify, we decline access, knowing that incorrectly declining is an unfortunate but better outcome than incorrectly granting access. These are all established and documented policies. We have a great team of customer support agents who follow these policies, and the hacker tried a bunch of times and found one agent who didn’t.

We want to protect all accounts as much as we want to protect our own. Some of you were particularly concerned about the impact to the game of hacking a GM account. You should know that we don’t give GM accounts or any accounts the ability to cheat progress, synthesize items, or manipulate the game’s economy. We play the game the same way you play the game. The hacker was able to use Gaile’s GM access to manipulate guild trims, but mostly he handed out Gaile’s personal items that she had collected from years of playing GW1.

We take your account security seriously and will continue to do everything we can to ensure that our support team consistently applies this security policy and prioritizes protecting you from account hackers.

Mo

Traduction :

  • La nuit dernière, un hacker a pu prendre le contrôle du compte GW1 de Gaile Gray en utilisant de l'ingénierie sociale sur un agent du service de support.
  • Bien entendu, Gaile utilise un système d'authentification double pour son compte GW2 et le compte du forum officiel. Le hacker n'a donc pas pu toucher à ces éléments. Seul GW1, antérieur à ces systèmes de sécurité, n'a pas été protégé.
  • Pour ce faire l'intrus a communiqué au support des détails personnels sur Gaile Gray.
  • D'ordinaire le service consommateur n'accepte pas de tels détails en tant que preuve principale de possession de compte. D'ordinaire, les informations de facturation, les infos de double authentification, un numéro de téléphone ou l'adresse IP du détenteur (si celle-ci existe) sont requises.
  • Le service consommateur a pour principe qu'il est préférable de refuser l'accès à tort si les preuves données ne sont pas suffisantes plutôt que de le donner.
  • Malheureusement, un des agents du service consommateur n'a pas suivi les consignes à la lettre et a réinitialisé les accès au profit du pirate.
  • D'après MO, le pirate a tenté d'utiliser plusieurs fois cette technique d'ingénierie sociale d'usurpation d'identité et a fini par trouver un agent peu prudent.

Ce qu'il faut retenir de cette affaire :

  • En informatique, la partie la plus vulnérable c'est l'interface chaise-écran.
  • Si vous ne l'avez pas encore, mettez en place une authentification à double facteur en utilisant votre téléphone.
  • Gardez votre code d'activation GW2 (ou HoT) sous format papier à un endroit où vous saurez le retrouver. Ne conservez pas ce code dans votre messagerie.
  • Utilisez un mot de passe différent entre votre compte GW2 et le mail qui lui est associé.

LBM news GW2 Le Bus Magique Guildwars 2 Guild Wars sécurité hack inginérie sociale

Aucune note. Soyez le premier à attribuer une note !

Commentaires (1)

ReActif

C'est bien de rappeler les règles simple mais on voit que la l'erreur fut chez le service client, malheureusement son interface chaise-écran a eu un bug... j'espère qu'il sera patché ! ^^

Ajouter un commentaire

Vous utilisez un logiciel de type AdBlock, qui bloque le service de captchas publicitaires utilisé sur ce site. Pour pouvoir envoyer votre message, désactivez Adblock.