Заранее предупреждаю, всё нижесказанное - моё личное мнение, факты, способные подтвердить правоту моих выводов, мне неизвестны.
Предисловие:
Итак, жил да был один игрок на реалме х5, и имел он на сервере аккаунт с ~2012го года. И вот, не далее как месяц назад, этот игрок заходит на свой аккаунт и обнаруживает своих персонажей в окрестностях почтовых ящиков. С них слита голда круглыми суммами(предположительно через выкуп с аука хлама с накрученной ценой) и лёд в количестве, кратном цене дс(максимальный остаток составлял 21 баджик). При этом баджики триумфа, коих было тоже весьма приличное количество - на месте, БоЕ из банка, мешки ледяных сокровищ - нетронуты. В общем, похоже на то, что аккаунт оббирал относительно простой бот, и дело "поставлено на поток".
Размышления:
Оба человека, заходивших на аккаунты, обучены скиллу "Не заходить на плохо сделанные копии старого дизайна личного кабинета за тысячей бонусов" и достаточно компьютерно грамотны. Все 3 компа, с которых осуществлялся вход, защищены актуальным антивирусом от одной известной лаборатории.
Собрал я некоторую статистическую информацию. Погуглил актуальные методы ускорения брутфорса. Прикинул. Да, бывший пароль аккаунта, 16 символов латиницы и цифр не менялся долгое время. Словарной атаке он бы не поддался. Считаем количество комбинаций для общего случая, считая длину пароля известной(16) и мощность алфавита за 36(латиница+цифры). Итак, 16^36. Насчёт попыток входа в лк не уверен, нейросети, конечно, совершенствуются, но капчу проходят весьма неэффективно. Логин сервер: учитывая явно не стопроцентный аптайм сервера и автобан после 5 неправильных вводов, такой брут был бы ограничен 20-ю попытками в час, что отправляет бедный кликер в работу на долгие миллионы лет. Но ныне, когда для подобных операций с помощью CUDA заряжаются графические чипы, такое число - вовсе не проблема, при определённых условиях.
Поминая участившиеся в последнее время случаи краж персонажей и аккаунтов, спамящих с них в пм голдселлеров, делаю свой безграмотный вывод: достигнуть эффективной скорости подбора можно было только получив в свои цепкие пальцы хэш бд аккаунтов. Было бы интересно прочитать мнение администрации на эту тему, хотя, скорее всего, его не дождусь и буду клеймлён паникёром и безграмотным ламером. Закончу давно озвученной рекомендацией: регулярно меняйте пароли.
