Wojna z Riot Games

Serwery Riot Games nie są tak bezpieczne, jak może się wydawać graczom. Jason udowodnił, że problemem nie jest złamanie zabezpieczeń sieci i zdobycie wielu kont League of Legends. Przeczytajcie cały artykuł!

W sierpniu 2012 roku, League of Legends był najpopularniejszą grą PC na świecie. Ponad 12 milionów aktywnych osób z Europy oraz Ameryki Północnej grało w grę codziennie. Wkrótce po tym, twórcy gry postanowili rozszerzyć działalność o Azję.

Im gra się bardziej rozrasta, tym wartość konta gracza ciągle wzrasta. Gracze przesiadują godzinami przed monitorami, aby uzbierać pieniędzy na wymarzoną postać lub zakupić potrzebne runy. Dodatkowo wydają prawdziwe pieniądze, aby kupić unikalną walutę – Riot Points, dzięki której mają możliwość kupna skórek i innych rzeczy. To dało wirtualnym kontom prawdziwą wartość i mocno przyciąga potencjalnych sprzedawców i hackerów.

Na początku była to głównie sprawa małych sprzedawców kont w League of Legends. Jednak stało się coś na większą skalę. Hacker przedarł się przez zabezpieczenia amerykańskich serwerów Riot Games, uzyskując dostęp do bazy danych. Firma nigdy nie ujawniła ile kont zostało skradzionych lub dotkniętych przez osoby trzecie. Prezydent Marc Merrill oraz CEO Brandon Beck napisał w oświadczeniu, że zalecają zmianę dotychczasowych haseł kont użytkowników.

Zostaliśmy upokorzeni przez to doświadczenie i wiemy, że nic nie jest w stanie uchronić bezpieczeństwa systemów podłączonych w internecie. Możemy obiecać, że zrobimy co w naszej mocy, aby uchronić nasze dane.

Okazało się, że Riot Games poniósł swoje pierwsze, główne naruszenie bezpieczeństwa przez osoby trzecie.

Niemal dokładnie rok przed, hackerzy zdobyli dostęp do 120,000 rekordów transakcji, które zawierały informacje o koncie, a także dane do kart kredytowych i debetowych. Riot nie ujawnia szczegółów incydentu aż do końca 2013 roku.

Na szczęście ukradzione dane nie zostały do niczego użyte. Ludzie zapomnieli o przypadkach naruszenia bezpieczeństwa. Nikt nie spodziewał się, że oba ataki pochodziły od tej samej grupy, a dokładnie od tej samej osoby.

Jest to opowieść o 21 letnim hackerze z Queensland w Australii, który dokonał dwóch największych ataków hackerskich na Riot Games.

W sierpniu 2013 roku, League of Legends bardzo szybko się rozwijało. Szybko zdobył azjatycki rynek i został najpopularniejszą grą w Południowej Korei. Riot przygotowywał się do zorganizowania Mistrzostw Świata w październiku, gdzie nagrodą był 1 milion dolarów dla zwycięzców.

21 latek, znany pod pseudonimem Jason, wykorzystał luki w bezpieczeństwie w wojnie przeciwko firmie. Objawił się publicznie 12 sierpnia, gdzie na streamie bardzo znanego PhantomL0rda, wyrzucił właściciela z jego konta i uniemożliwił ponowne zalogowanie się. Później jego wszystkie konta zostały przeniesione na serwer brazylijski, gdzie był zmuszony do grania z Brazylijczykami oraz wysokim pingiem. Wieść o tym bardzo szybko “rozlała” się na portalu reddit.

PhantomL0rd mógł jednak spodziewać się niespodzianki. Mimo tego, że nigdy nie udostępniał nigdzie swoich danych, wszystkie potrzebne informacje były na jego starym koncie z 2012 roku. Jednak Jason dopiero zaczynał swoją przygodę.

Wystarczyło kilka dni, aby wiele kont profesjonalnych graczy, zostało przeniesionych na serwer brazylijski. Następnie, konto o nazwie “Devil”, które było nieaktywne od 4 lat, dołączyło do czatu publicznego i cały czas groziło o udostępnieniu danych dostępowych do kont innych graczy na forum. Każda wiadomość była podpisana Jason.

Jason zdobył także uprawnienia administratora na forum, co umożliwiło mu pełną kontrolę nad postami innych użytkowników. Setki ludzi zaczęło pisać o skradzionych kontach. GOPGangster opisał to dokładnie.

20 sierpnia, Jason napisał do niego i zagroził kradzieżą konta. Właściciel myślał że został wkręcony i jego przyjaciel zapytał, dlaczego opuścił on drużynę rankingową. Wkrótce wyświetliła się wiadomość “I am God, Jason” i jego konto znalazło się na serwerze Oceania. GOPGangster wspomniał także o tym, że jego hasło jest bardzo długie i składa się z przypadkowych rzeczy. Najgorsze, że na swoim koncie miał zapisane dane swoich kart kredytowych.

13 sierpnia personel Riotu odpowiedział na krytyki. Odrzucił ataki skomplikowanego “trolla”, stwierdził że żadnego naruszenia bezpieczeństwa nie było i poprosił o “odłożenie wideł”.

Dwaj pracownicy firmy zagłębili się w sprawie i spróbowali zbadać wszystkie osoby zamieszane w sprawę. Riot Games stwierdził, że dwie osoby, które zgłosiły kradzież konta, pracowały razem. Jason potwierdził, że pracował kompletnie sam.

Hacker miał wiele zabawy z ataków na ogromną firmę. Przysparzało mu to też wiele pieniędzy. Jason zaczął sprzedaż rzadkich skórek, które mimo tego, że zmieniały wygląd wizualny bohatera, to kosztowały majątek! Wtedy twórcy gry napisali na swoim blogu o incydencie w 2011 roku i poprosili wszystkich użytkowników o zmianę swoich dotychczasowych haseł. Obiecali także poprawę zabezpieczeń…

Spółka nigdy nie ujawniła, ile tak naprawdę kont zostało skradzionych. Jason powiedział Doily Dot, że miał dostęp do 24,5 mln rachunków, jednak liczba ta pozostała niezweryfikowana. Riot Games nigdy nie odpowiedział na prośbę udzielenia komentarza na temat tej sprawy.

Rachunki Jasona gromadziły się niemiłosiernie, dlatego zaczekał z wykorzystaniem wszystkich informacji 2 lata. Baza danych zawierająca personalia kilku tysięcy ludzi, była warta na czarnym rynki kilka tysięcy, a niektóre nawet kilka milionów! Plan był prosty. Sprzedaż wszystkiego dopóki będzie anonimowy.

Chciał zakończyć także sprzedaż skórek. Być może z nudów, samozwańczy “Bóg” zaczął szukać innych potencjalnych celów na ataki hakerskie. Nie spodobało mu się oświadczenie mówiące o włamaniach, wydane przez Riot Games w 2011 roku. Jason zwrócił uwagę na pracowników firmy.

W październiku 2013 roku, oficjalny Twitter prezydenta Marca Merilla, przybrał całkowicie inny ton. Jason zaczął zdobywać informacje z wcześniejszych ataków. Dowiedział się o projekcie, nad którym spółka cały czas pracowała. Jest to Supermacy. Projekt był podobny do gry karcianej od firmy Blizzard. Riot Games zarejestrował znak towarowy dla nowej gry już rok wcześniej. Wszystkie zdjęcia z karcianki, wrzucił na portal reddit, gdzie każdy mógł swobodnie oglądać wszystkie zrzuty. Wspomniał, że gra została już dawno ukończona, ale firma nie chce, aby ktoś w nią grał. Zagroził także upublicznieniem wszystkich szablonów kart z Supermacy, chyba że Marc Merill skontaktuje się z nim bezpośrednio. W ciągu godziny, konto na portalu wróciło do swojego właściciela. Merill pozostał w bardzo niezręcznej sytuacji i wyjaśnił, że gra była tylko eksperymentem i nigdy nie miała prawa ujrzeć światła dziennego. Po raz kolejny, wizerunek firmy został mocno podniszczony.

Tej samej nocy, 13 października, powstały 2 wezwania przeciwko Google i Yahoo za założenie kont e-mail Jking oraz Jasonking999. Oba były podlinkowane do strony, na której odbywała się sprzedaż kont.

W listopadzie, policja wydała nakaz przeszukania na Shane Duffy, 21 latka z zespołem Aspergera, który uczył się w domu odkąd skończył 9 lat, ponieważ szkoła nie spełniała wymagań edukacyjnych. W marcu, australijski oddział cyberprzestępczości, zrobił nalot na mały dom w miasteczku rolniczym Kingaroy i zabrał sprzęt Shane’a.

Okazało się, że Shane Duffy to Jason! Riot wreszcie poznał personalia hakera.

Według policji, Jason nie działał sam. Posiadał małą, zorganizowaną grupę hakerską, której członkowie nie są znani do dziś. Byli także uczestnikami ataku na stronę NeoPets. Był także zawiązany kompromis z kilkoma e-sportowymi stronami tj. Curse czy TeamSoloMid.

Duffy wydawał się nieco zakłopotany tą sprawą, kiedy rozmawiał z nim portal Daily Dot. Jason został zwolniony za kaucją. Śmiał się i twierdził, że złamanie zabezpieczeń amerykańskich serwerów to pestka. Stwierdził że to nie był hacking. Tłumaczy, jak odbywały się ataki;

Podczas ataku metodą “Bruteforce” w 2012 roku, grupa Duffy zebrała dane dostępowe starszego członka personelu Riot Games. Dzięki temu, miała przez bardzo długi czas, dostęp do serwerów. Firma nie wykryła tego, dopóki jeden z kolegów nie dostał “niechlujstwa”. Tym sposobem zdobyli 24,5 mln kont.

Biorąc pod uwagę zamiłowanie Daffyego do niszczenia wizerunku spółki, nie wiadomo czy mówi prawdę. Zamiast czas poświęcać nauce, cały czas dążył do uprzykrzania życia firmie. Stworzył także stronę internetową, która była poświęcona sianiu spustoszenia w grze. Nazywała się LoLIP-OP i była używana do zdobywania numeru IP sojuszników oraz przeciwników. Za drobną opłatą, klient mógł wpisać nick wybranej osoby i sprawdzić czy jest w bazie 24,5 mln kont. Jeżeli tak, otrzymywał on jego numer IP. Inną sekcją strony był Stresser, który generował spore obciążenia na wskazany numer. Był to po prostu DoS. Skutkowało to tym, że ofiara była niezdatna do gry i miała problemy z siecią. Duffy zdobywał na tym około 1000$ dziennie. Wkrótce po tym incydencie, Duffy pomagał w indywidualnych atakach na portalu reddit. To ponownie skłoniło policję do aresztowania hakera. Jego sprzęt został zarekwirowany, wraz z 110.000 $ wirtualnej waluty BitCoin.

Matka cały czas broniła swojego syna samozwańczego “Bogiem” i wmawiała, że nie jest on genialnym przestępcą.

Duffy pojawił się w sądzie 23 kwietnia, gdzie sędzia zabronił mu aktywności internetowej przed, jak i podczas procesu. Grozi mu dziewięć zarzutów dotyczących włamania na serwery Riot Games, w tym 5 zarzutów oszustwa.

24 lipca, wielka, trzyletnia wojna zakończyła się w sądzie znajdującym się w Queensland. Wojna Duffyego dobiegła końca, ale na pewno nie jest on jedyną osobą z takimi planami.

Źródło – Click!

Tłumaczenie; destroy