Jahrestag des Joymax.com Exploits

Heute ist es ca. ein Jahr her, als die größte „Hackwelle” in der Geschichte von Silkroad Online begann, in dessen Verlauf tausende Accounts gestohlen wurden und Joymax die Spitze seiner Ignoranz zeigte. Ich glaube diese Zeit von Silkroad Online sollte nicht in Vergessenheit geraten, deshalb dieser Artikel.

Alles begann vor ca. einem Jahr, als einige Spieler vom Server Tibet eine Möglichkeit fanden, jeden Account zu hacken dessen ID sie wussten. Es war eine große Sicherheitslücke im gerade erst hinzugefügten „E-Mail Verification Service” von Joymax.com, ein Service der eigentlich dazu gedacht wie die Spieler zu schützen.

Für die Hacker war es ein leichtes Spiel die besten Accounts vom Server Tibet zu rauben oder zu stehlen , sie mussten nur die ID eines Accounts wissen, der den „E-Mail-Verifikations-Service” nutzte. Viele Spieler benutzten ihren Ingame-Nick auch als ID. Aber auch Spieler die nicht den Nick als ID hatten, warren nicht sicher. Für die ID’s mancher Spieler wurden, via Global, mehrere hundert-Millionen Gold geboten, eine Gefahr für jeden der mal mit Anderen seinen Account geteilt hat.

Kurz darauf wurde auch Rev6.com auf die Vorfälle von Tibet aufmerksam und fand heraus wie das Exploit funktionierte. Rev6.com wollte mit einer öffentlichen Stellungnahme, Joymax auf dieses Exploit hinweisen und hat Hinweise (für jeden sichtbar!) zum Exploit veröffentlicht. Zwar konnte man mit diesem „halb-Tutorial” noch von keinem Account Besitz ergreifen, aber der Fehler auf Joymax.com wurde sichtbar. Damit Joymax handelt, hat Rev6 mit der Veröffentlichung von dem ganzen Tutorial gedroht.
Rev6 hat anschließend ein paar Tage gewartet, doch als man bei Rev6 merkte das Joymax nichts gegen dieses Exploit unternimmt, wurde die Drohung von Rev6 in die Tat umgesetzt und Rev6 hat ein Tutorial zum Hacken von Accounts veröffentlicht.

Nun konnte jeder, der das Tutorial verstanden hat, Accounts übernehmen. Alles was man wissen musste war die ID, anschließend musste man nurnoch hoffen das der betreffende Account auch den E-Mail Verifikationsservice nutzt.
Am Tag darauf hat Joymax das Exploit geschlossen doch es war bereits zu spät… innerhalb einer Nacht wurden auf allen Servern tausende Accounts gehackt!

Als wäre das, was am Tag zuvor passierte, nicht schon schlimm genug gewesen, wurde dem Ganzen von Joymax selber noch die Krone aufgesetzt. Ein Statement das ich wohl nie vergessen werde:

Hello. This is Silkroad Online.

Recently, many players have got nervous regarding stolen account problem.
However, there are absolutely no problems with JOYMAX.COM’s account system.
We strongly recommend our users to change their password again who are anxious about their account.
Some harmful sites have spread rumors about stolen account problem but those sites rather threaten your computer’s security.
Therefore, to tighten up your computer’s security,
please restrict yourself from visiting those harmful sites, and run an anti-virus program at least once a week.

Thank you.

„However, there are absolutely no problems with JOYMAX.COM’s account system.” ?!
Joymax streitet ab das es jemals ein Exploit gab, dennoch wurde das Account-System von Joymax.com Tage lang offline genommen und überarbeitet. Aber besonders traurig ist das Ganze für die vielen Spieler die ihre Accounts verloren haben, es gab weder ein Rollback noch eine Entschädigung.

Da das Exploit nicht mehr funktioniert will ich euch jetzt auch sagen wie das ganze damals funktioniert hat.
Als erstes benötigte man ein FireFox Webdeveloper Add-On. Anschließend ging man auf Joymax.com und begann die Schritte zum Ändern des eigenen Passworts. Man gab also ID, E-Mail und Geheime Antwort ein, wenn alles stimmte, wurde man zu einer Seite weitergeleitet wo man drauf hingewiesen wird, das man den E-Mail Verifikations Service nutzt, dort musste man auf einen Button klicken damit die Verfikationsemail verschickt wird. Doch bevor man dies tat, ließ man mithilfe des oben genannten FireFox Plugins die Formulardaten anzeigen. Nun sah man auf der Seite die eigene ID, die man nun mit der seines Opfers einfach auswechseln konnte. Hier ein Beispielbild:

Anschließend klickte man auf den Button zum Abschicken der Verifikations-Email. Nun landete die Verfikationsemail des Opfers in eurem Posteingang. Nun klickte man auf den Link in der E-Mail und man landete eingeloggt mit dem Account des Opfers auf Joymax.com. Anschließend änderte man die E-Mail des Accounts und folgte einem bestimmten Link um, ohne nach der geheimen Antwort gefragt zu werden, das Passwort des Accounts zu ändern.