OFFICIAL NEWS

Bonjour,

Nous venons de découvrir qu’un joueur de Ryzom a exploité une faille de notre système en consultant pendant plusieurs mois l’outil interne réservé au Support. Cela lui a permis de tricher en supprimant récemment tous les items des appartements et de certains mektoubs d’un joueur, sur deux de ses personnages.

Notre système de contrôle nous a permis de le démasquer et tous ses comptes ont été bannis à vie de Ryzom.

 

Comment a-t-il fait ?

Le joueur contribuait à l’amélioration du jeu et pour cela disposait d’un compte sur le serveur de test “Yubo”, avec des privilèges de GM (Game Master). Il y a quelques mois, suite à un court incident technique corrigé quelques heures plus tard, les comptes “Yubo” ont eu accès à Atys. Ce joueur en a profité pour créer un personnage sur son compte “GM” d’Atys. C’est par ce personnage qu’il a pu consulter ces derniers mois les outils du WebIG spécifiques au Support technique, bien que n’ayant plus la possibilité de se connecter au serveur Atys. Il a pu ainsi lire des tickets, des notes internes du Support technique, des inventaires de nombreux personnages et halls de guildes, des statistiques de leurs items, etc. (Il n’a en aucun cas eu accès aux informations personnelles des joueurs, dont l’accès est restreint aux SGM). Après avoir consulté les informations sur les items boostées qu’un joueur (Caellan / Diwlawen) s’apprêtait à “vendre” lors d’un event, il a connecté Caellan et Diwlawen, leur a racheté des appartements et libéré les mektoubs contenant les items de qualité, faisant ainsi passer la disparition des items pour un bug. Nous n’avons à cette heure aucune preuve nous permettant d’affirmer ou d’infirmer un éventuel vol préalable des items, mais nous poursuivons l’enquête.

 

Quelles mesures ont été prises ?

Pour le joueur qui a triché :

Il s’agit là d’un double délit : exploit sur une longue période d’une faille ayant donné un accès à un outil interne + vol de deux comptes dans le but de soustraire du matériel à leur propriétaire. Chacun de ses deux délits est punissable d’un bannissement à vie des serveurs de Ryzom.

Par conséquent, tous les comptes du joueur ayant triché ont été bannis à vie.

Pour le joueur victime de la tricherie :

Les appartements et mektoubs de Caellan et Diwlawen ont été restaurés, le joueur a donc récupéré tous ses items. Un item “yubo en peluche” lui sera offert en guise de dédommagement.

Pour la sécurité :

Ulukyn (Dev) a recodé le système d’accès à Atys et au WebIG pour le remplacer par un système plus simple et mieux sécurisé. Ainsi, même si un compte “Yubo” parvenait à utiliser une faille pour se connecter sur Atys ou au WebIG, il ne pourrait accéder à aucun “pouvoir” ni application critique.

Le système de sécurité vient d’être renforcé et, POUR PLUS DE PRÉCAUTIONS, CHAQUE JOUEUR SE VERRA CONTRAINT DE CHANGER SON MOT DE PASSE “RYZOM” AVANT DE POUVOIR SE RECONNECTER.

D’autre part, l’enquête se poursuit pour déterminer s’il y a eu vol de certains items avant la “destruction” des appartements et mektoubs et dans ce cas, s’il y a eu un ou des complices.

 

Quelle est l’identité du joueur banni ?

Il s’agit de Glorf / Lopyrech. Étant donnée que Lopyrech est chef de guilde, le lead de sa guilde vient d’être confié à l’un de ses officiers supérieurs.

Nous restons à votre disposition pour répondre à vos questions éventuelles. 

Cordialement,

L’Équipe Ryzom

 

Thxs Ryzom Team.

Waaa... En tout cas grand merci pour tout, et d'avoir bosser dessus à fond. Une équipe au top :D

Merci / Thanks / Gracias / Shoukran ;p

Petite discussion que j'ai eu avec lopyrèch, histoire d'avoir sa version.

Pour précision, le compte auquel lopyrèch m'avait donné accès, on me filant ses logs, c'était son compte yubo. Je voulais marcher sur la canopé, alors il m'a dit qu'il avait un accès à yubo (donné par les admins comme précisé au premier poste) et qu'il pouvait me donner ses log et PWD. J'ai dit banco.

c est stupide , une personne connaissant aussi bien ryzom, c est très bien que tous aller etre restaurer ...... donc inutile et je ne vois pas faire ça ...

Bonjour,

Je tiens à préciser que ce partage était formellement interdit, comme tout partage de compte "privilège" attribué à un bénévole ou à un membre de Ryzom Core ou Ryzom Forge sur Yubo.

Bravo pour le lynchage en règle. De mémoire, c’est la première fois que le nom d’un joueur est exposé de la sorte. Et ça fait drôle de voir certains s'en réjouir.

This was reported to me yesterday by another player who was also missing items from their GH