W sierpniu 2012 roku League of Legends było najbardziej popularną grą PC na świecie. Więcej niż 12 milionów ludzi rozgrywało codziennie po przynajmniej jednym meczyku. W tym czasie Riot Games postanowiło rozszerzyć obszary swoich wpływów na Azję.

Wraz ze wzrostem wartości gry, rosną również wartości pojedynczych kont graczy. Osoby spędzają godziny na odblokowywaniu nowych ulepszeń dla swojego konta. Możliwość wydawania pieniędzy na dodatkowe upiększenia nadaje Riot Games ich prawdziwą wartość, a co za tym idzie, więcej hackerów skupia się na atakowaniu naszych kont.

Do niedawna ataki hackerów nie były zbyt znaczące i zazwyczaj zostawały szybko zgaszone, a szkody wyrządzone na kontach nie były duże. Ostatnio natomiast wydarzyło się coś na znacznie większa skalę. W jakiś sposób hackerom udało się dostać do amerykańskich serwerów Riot Games. Do teraz nie wiadomo jak wiele kont zostało przez ten incydent zmienionych.

Prawie dokładnie rok temu grupa zapalonych informatyków wkradła się na europejskie konta i uzyskała dostęp do 120000 zapisów z transakcji, które zawierały takie informacje jak numery kont, numery kart kredytowych wraz z ich datą ważności i zabezpieczeniami.

Najważniejsze w całej sprawie jest to, że nie podjęto żadnych kroków aby zapobiec podobnemu wypadkowi w przyszłości. Ludzie zapomnieli o całym incydencie i nikt nie spodziewał się faktu, iż za obydwoma atakami stoi ta sama osoba.

Jest to historia 21 letniego hackera z Queensland. Udało mu się dwa razy wkraść na serwery największej internetowej gry komputerowej. Jego bardzo dokładnie opisane zapiski z akcji, jeżeli są prawdziwe, ukazują parę faktów z oficjalnych kont Riotowców oraz skalę niebezpieczeństwa w jakiej znajdować mogą się gracze.

Do sierpnia 2013 roku League of Legends nie przestawało rozrastać się i zdobywać coraz to większej liczby graczy. W ekspresowym tempie podbiło azjatycki rynek i zostało z dnia na dzień najbardziej popularną grą w Korei – Mekce Esportów. Za miesiąc mają odbyć się mistrzostwa świata w Staples Center z milionowymi nagrodami.

W przeciwieństwie do całej fali sukcesów, hacker znany wtedy pod pseudonimem Jason, użył swoich informacji o bezpieczeństwie (i jego dziurach) Riot Games aby wystrzelić pierwsze działo przeciwko firmie.

Po raz pierwszy słyszeliśmy o nim w sierpniu 2012 kiedy to na streamie Phantom Lorda (PL) zaczęły dziać się niecodzienne rzeczy. Wszystkie informacje dotyczące konta PL zostały przeniesione na brazylijski serwer. James Varga (PL) nie był wstanie wyjaśnić tego, co właśnie się stało – zawsze był bardzo ostrożny w sprawach dotyczących jego danych personalnych. Informacje na temat incydentu szybko przeniosły się na najpopularniejsze forum dyskusyjne dotyczące League of Legends – reddit.

Okazało się, że Phantom Lord miał powód do bycia zaskoczonym. Faktycznie, nigdy nikomu nieznanemu nie podawał swoich danych. Był on po prostu pierwszą ofiarą Jasona.

https://www.youtube.com/watch?v=JsLoefuIWH4

W ciągu kilku dni, konta innych znanych graczy znajdowały się nagle na serwerach w Brazylii. Nieaktywne od ponad 4 lat konto “Devil” zaczęło udzielać się na chatroomach w grze i groziło ujawnieniem danych personalnych graczy.

Jason w jakiś sposób uzyskał dostęp do praw administratora na oficjalnym forum Riotu i edytował posty losowych użytkowników. Jeden z graczy, GOPGanster, opisał dokładnie co stało się z jego kontem.

Hacker skontaktował się z nim, pisząc groźby na temat ujawnienia jego danych personalnych. “Nie wierzyłem w to tak długo, jak długo konto pozostało pod moją kontrolą. Kiedy takową straciłem, wiedziałem że mam problem.” opisuje całą sytuację. Kiedy przyjaciel GOPGanstera napisał do niego dlaczego wyszedł z ich ranked teamu, Jason odpisał tylko “I am God, Jason” i przeniósł konto na serwery OCE.

Hasło do konta było podobno długie i zawierało wiele losowych rzeczy, trudnych do logicznego połączenia. Najgorszym jest fakt, że wszystkie dane kart kredytowych były zapisane na koncie.

Sytuacja opisana powyżej na pewno budzi niepokój w oczach wielu graczy, wiele z nich oskarża w tym czasie Riot o niedbalstwo w sprawach dotyczących bezpieczeństwa kont. W tym samym miesiącu 2013 roku, jeden z Rioterów nazywa te ataki “niegroźnymi” “trollowatymi” i nawołuje do przestania “siania fermentu”.

Inny z pracowników Riot Games dodaje, że “Jason” jest przedmiotem wielu śledztw i nie zostanie pozostawiony bez kary.

“Jedyne co na razie wiemy, to metoda działania Jasona. Bruteforcuje (sprawdza wszystkie możliwe kombinacje w szybkim tempie) on hasła tak długo, aż znajdzie poprawne. Nie ma możliwości, aby jakiekolwiek dane zostały skradzione”.

Okazuje się jednak, że ani jedna z podanych wyżej informacji nie wyszła z ust, a raczej klawiatury Riotera. Jasonowi udało się nawet wejść na konta pracowników Riotu.

Jason z pewnością miał sporo zabawy przy hackowaniu. Różne włamania przynosiły również spore zyski – za niedostępne już skiny Jason kasował od 200 do 800 dolarów.

Po tym incydencie, Riot wprowadził obowiązkową zmianę haseł. Jason twierdzi, że miał dostęp do 24,5 miliona z nich.

Jason twierdzi, że sam ogrom liczby skradzionych kont zmusił go do dwuletniego opóźnienia w wykorzystaniu informacji. Zapisy paru tysięcy personalnych informacji użytkowników są warte miliony na czarnym rynku. Jason planował sprzedać ich jak najwięcej przed ujawnieniem się.

Prawdę mówiąc, Jason mógł po prostu sprzedawać skiny i utrzymywać się z tego. Riot Games został zmuszony do polepszenia swoich zabezpieczeń i przyznania się do błędu przez jeden nudny dzień Jasona.

W październiku 2013, właściciel firmy Riot Games, Marc Merril, został ofiarą kradzieży swojego konta na Twitterze. Zaczęły z niego wypływać informacje dotyczące wcześniejszych ataków Jasona oraz o projekcie nad którym Riot już nie pracuje.

Projekt nazwany League of Legends: Supremacy miał być karcianą grą internetową. Trademark zarejestrowany został rok wcześniej.

“Wydaje mi się, że jest to idealny czas aby zaprezentować nowy TCG od Riot Games. Kto chce zobaczyć obrazki? 50-retweetów i udostępnię parę screeshotów” – można było przeczytać na Twitterze Marca Merrila. Wszystkie twitty podpisane zostały “Jason (God)”

“Czy wspomniałem już, że gra była w pełni gotowa ale nigdy nie została ujawniona? Riot nie chce abyście w to grali.” – Jason napisał wraz ze screenshotami z ekranu ładowania.

Po niedługim czasie na Imgurze pojawiła się cała galeria obrazków z LoL:S. Ponad 200MB artworków było w obiegu publicznym dopóki Marc Merril nie skontaktował się z Jasonem.

W godzinę od twittów, Jason oddał kontrolę nad kontem Marcowi. Konkretny układ nigdy nie został ujawniony. Merril wyjaśniał potem jakoby gra miała być tylko eksperymentem i nigdy nie miała zostać oficjalnie wydana.

Tego samego dnia, 13 października, dwa wezwania sądowe przeciwko emailowi Jking oraz Jasonking999 zostały wypełnione. Jason jednak nadal bawił się w hackowanie i niszczenie kont graczy oraz znanych streamerów – oczywiście nie wiedział, że jest ścigany.

W Listopadzie, policja z Queensland otrzymała nakaz przeszukania Shane’a Duffy’ego. 21latek z zespołem Aspergera, przebywał i uczył się w domu od kiedy miał 9 lat.

W marcu następnego roku, wydział cybeprzemocy wtargnął do domu Duffiego w małym miasteczku Kingaroy i zabezpieczył jego komputer. Policja ujawnia, że to właśnie Duffy jest Jasonem.

Zgodnie z zeznaniami policji League of Legends nie było jedynym celem ataków Jasona. Jego grupa, której znacząca większość jest wciąż anonimowa, hackowała też strony takie jak Neopets. Źródła związane z grupą podają również, że Jason hackował takie strony jak Curse czy Solomid.

Duffy wygląda na niewzruszonego całą sprawą. Warunkowo zwolniony oczekuje na dalsze śledztwo. Śmieje się z bezpieczeństwa Riot Games i mówi, że całej tej akcji nie można nawet nazwać hackowaniem. Kiedy faktycznie potrzebował jakiejś wiedzy, było to w 2012 roku, ataki z 2013 są tylko i wyłącznie zaniedbaniami Riot Games.

Wersja wydarzeń wg. Jasona jest następująca: Podczas pierwszego bruteforcingu haseł w 2012 roku, grupa Duffiego otrzymała dane logowanie dla kont ważnych pracowników Riot Games. Świadomi tego szefowie RG nakazali zmianę haseł, jednak jeden z pracowników nie wykonał polecenia. Przez to konto, grupa dostała się na serwery NA i “backdoorować” całe oprogramowanie. Jason twierdzi, że cała sprawa nie wyszłaby na jaw gdyby nie zaniedbania jego znajomego.

Do tego czasu, grupa posiadała dostęp do pierwszych 24,5 miliona kont, chronologicznie od daty utworzenia.

Biorąc pod uwagę fakt, iż celem Jasona było oczernienie Riot Games, nie jest pewny czy to co mówi jest prawdą. Pewnym jest natomiast, że Riot nie wyciągnął nic z lekcji, co pozwoliło na wznowienie ataków.

Jason utworzył stronę internetową lolip-op.com. Opis strony sugerował, że służy jako skrytka IP dla League of Legends, co umożliwia ddosy. Klienci płacili, Jason ddsował – o ile przeciwnik znajdował się w pierwszej 24,5mln grupie użytkowników.

Kolejną opcją strony była “testerka wytrzymałości”, której prawdziwym celem było ddsowanie. Wystarczyło wpisać nr. IP. Kiedy przeciwnik został ddsowany, łatwiej było wygrać klientowi Jasona.

W ciągu miesiąca posty na Reddicie i stronach dotyczących e-sportu zainteresowały się tymi usługami. Odkryto, że Jason otrzymywał 880 transakcji miesięcznie (około 1000$ na dzień).

Nie mogąc się powstrzymać, Duffy odpowiadał na pytania ludzi z Reddita oraz niszczył konta tych, którzy krytycznie opowiadali o nim. Narzędzia do DDoSu od Jasona stały się obiektem kontrowersji w community Lola. Nie jest więc zaskoczeniem fakt, iż policja zaaresztowała go niedługo później.

W oficjalnej walucie Bitcoin, komputer Jasona wraz z jego narzędziem do DDoSu warty był 110000$.

Od czasu pojmania, człowiek który nazywał się bogiem i królem nie widział nic, poza swoją matką, która broni go w sądzie. Powiedziała ona w “The Australian”, że jej syn nie jest kryminalistą, niezależnie od jego publicznego wyglądu.

Swoją opinię opiera na fakcie, iż Shane udostępniał wszystkie informacje publicznie, pomimo tego, że mógł zatrzymać je dla siebie i zarobić więcej.

Duffy pojawił się w sądzie 23 kwietnia, gdzie sąd zabronił mu używania internetu do czasu zakończenia rozprawy. Musi on poradzić sobie z 9 zarzutami (z czego 5 jest o oszustwo).

24 lipca, trzyletnia wojna Duffiego i Riot Games zakończyła się w sali rozpraw w Queensland. League of Legends dalej rozrasta się w szybkim tempie. Wywiady z osobami powiązanymi z Riot Games oraz znanymi personami Esportu nadawane są na takich stacjach jak ABC czy HBO. Około 30 milionów ludzi gra w Ligę przynajmniej raz dziennie. Wojna Duffiego skończyła się, ale na pewno nie jest on ostatnim “Jasonem”.

źródło: http://www.dailydot.com/esports/jason-shane-duffy-league-of-legends-hacks