Bonjour,
J’écris ceci pour une ami qui, n’ayant plus accès à ses comptes GW1/GW2 ne peut pas poster elle même sur ce forum.
Elle a vu son compte GW1 hacké récemment, avec suppression de tous ses personnages.
Malheureusement, les mots de passe GW1 et GW2 étant les mêmes, ça lui a aussi coupé l’accès à GW2 juste avant la sortie de ce dernier !
Elle a soumis un ticket de support, numéro 120824-007432, et ce ticket a reçu assez rapidement une réponse, lui proposant un lien à cliquer pour rétablir ses personnages GW1, ainsi qu’un mot de passe réinitialisé.
Le problème est que la personne qui lui a répondu, probablement à cause de la surcharge actuelle du support, a oublié la question du compte maïtre NCsoft auquel son compte GW1 est lié. Or, il semble que le hacker a obtenu l’accès à ce dernier. Par conséquent, très peu de temps après la réinitialisation du mot de passe, elle a à nouveau perdu l’accès et n’a pas pu se connecter à GW2. Sachant le problème non complètement résolu, elle n’a pas encore cliqué sur le lien de rétablissement des personnages GW1.
À la suite de la première réponse du support, elle a répondu pour expliquer le problème susmentionné, mais il semble qu’une réponse sur un ticket déjà traité ne provoque pas la priorisation correcte de type “hack/accès au compte impossible” qui est mentionnée sur le wiki/game status updates.
La question est donc : pouvez vous regarder à nouveau ce ticket afin de réinitialiser à nouveau son mot de passe, ses accès à son compte ncsoft, ainsi que ses personnages gw1 (en supposant que le lien pour ce dernier point ait expiré ?).
Cordialement,
Eowyn
PS : j’apprécie beaucoup la nouvelle mesure de sécurité GW2 qui demande la validation par mail des accès au jeu à partir d’IP inconnues.
Cependant, je remarque encore deux points de sécurité importants, et je ne sais pas à qui les adresser :
- lors d’une tentative ratée de connexion sur gw1 ou gw2, un message explicite dit soit “email non associé à un compte” soit “mot de passe faux”. Une règle simple de sécurité est de ne pas dissocier ces deux messages. Un hacker potentiel ne doit pas pouvoir savoir si il a trouvé un nom de compte existant et ne doit plus que trouver le mot de passe, ou si le nom de compte est inexistant.
- les mots de passe gw1 et gw2 devraient pouvoir être séparés. En effet, l’un peut être réinitialisé à partir du compte ncsoft et l’autre ici même. Les deux côtés ont une sécurité correcte (en dehors du point ci-dessus), mais la sécurité n’étant pas strictement la même (d’un côté, questions de sécurité, de l’autre email de confirmation de nouvelle IP), ça donne deux angles d’attaques aux hackers pour gagner l’accès aux comptes; qui plus est à la fois au compte gw1 et au compte gw2 de la même personne.