Hallo Piloten, es scheint sich ja mal wenigstens ein wenig zu bewegen. Nachdem zuletzt wieder massiv Spieler durch Cheating / Exploit-Using aufgefallen waren (Nuke-Spamming, Dauer-Rep etc.) scheint es jetzt gelungen zu sein den Betrügern und deren Methoden auf die Schliche gekommen zu sein. Offensichtlich waren es zwei ehrenamtliche „Mitarbeiter“ aus dem englischen Supportteam (SonOfCaprica und Forseti) mit Hilfe einiger hilfbereiter Spieler, die entdecken konnten wie der Betrug durchgeführt wurde. Im englischen Forum hat „SonOfCaprica“ nun kurz berichtet, was passiert war und was mit den Ertappten passiert ist. Nachfolgend der Original-Text in Englisch mit meiner Übersetzung zwischen den Absätzen. Aufgrund des Umfanges übersetze ich einige Abschnitte nicht Wort für Wort sondern nur sinngemäß zusammengefasst.
Von „SonOfCaprica“ am 14.02.2018, 12:51 Uhr, Quelle: BSGO-EN-Forum
I think its about time for me to chime in on the issue, but first a little background. Forseti and I do not work for BigPoint. We are volunteers who also happen to handle EN and US support. Forseti is my right hand man. In my Real Life job, I am an IT Director for a Tribal Government and a security specialist. Since we are volunteers who act outside the confines of BigPoint, we only get VERY limited tools to see what is going on n the game, such as our MK1 eyeballs and some limited logging. This made it very hard to PROVE what was going on so that action could be taken. In the real world, one cannot simply take action because they SUSPECT a player is doing something illegal. There MUST be some form of PROOF due to the legal requirements, especially in a game that crosses into so many countries, each with their own set of laws.
Depending on the business sector and the risk/reward of a piece of software, there is an average of 25-50 people trying to break the code for each programmer trying to secure the code. This is a simple fact of life in the times we live in. Look at the recent headlines… Target.. The elections… Other big breaches… The bigger the payday (either personal data or money) the more hackers will try to crack it.Übersetzung „sinngemäß“ zusammengefasst von Bloodjinn:
SonOfCaprica (SOC) stellt sich und Forseti kurz vor und erläutert, dass sie keine Angestellten von BP sind und ihrer Tätigkeit hier ehrenamtlich nachgehen. Weshalb sie auch nur begrenzten Zugriff auf BP-Ressourcen / Hilfsmittel haben, was die Suche nach Beweisen schwierig machte.So lets get back to the problem at hand…
We had received generic reports of players able to spam seemingly endless nukes. We initially looked at their accounts and saw that some had 100-1000 nukes, which COULD have been purchased prior to the time they were removed from the shop or could have been earned from the map missions. Since we were unsure what to look for in the logs (each player has millions of log entries to look through), we put them in a watch list and snapshotted some logs. Since there was no proof at that time, we could take no action other than to watch them.Übersetzung „sinngemäß“ zusammengefasst von Bloodjinn:
Von Spielern sind Berichte eingegangen, dass einige Spieler anscheinend unendliche viele Nukes verschießen. Sie haben daraufhin die Accounts untersucht / eingesehen und festgestellt, dass einige mehrere hundert bis 1000 Nukes hatten, welche jedoch auch gekauft oder erspielt worden sein konnten. Da sie nicht wussten wo / wonach in den Logs (der Accounts) sie genau suchen mussten, setzten sie die Spieler erst einmal auf eine Beobachtungsliste. Zu diesem Zeitpunkt gab es noch keine handfesten Beweise weshalb erstmal weiter nichts unternommen werden konnte.Without getting into very much detail, here is what happened…
While comparing some of these players logs over time, we found a pattern that looked very interesting. They seemed to play a LOT of map missions, way more than the norm. We focused in on that part of the logs, and came up with a pattern. Once we analyzed the pattern, we were able to prove that something was going on and were able to replicate it. They found a small glitch with map missions.Übersetzung „sinngemäß“ zusammengefasst von Bloodjinn:
Nachdem sie die Logs über eine längere Zeit nach und nach beobachtet und verglichen hatten, fanden sie ein Muster welches interessant auszusehen schien. Es schien so als würden diese Spieler EINE MENGE (Dradis-)Missionen gespielt haben, viel mehr als gewöhnlich üblich. Auf diese Bereiche der Logs haben sie sich konzentriert und fanden ein Muster. Nachdem das Muster analysiert wurde, konnten sie bestätigen, dass da etwas nicht stimmte und sie waren in der Lage das Muster nachzustellen / replizieren. Die Spieler hatten offenbar einen kleinen Fehler (Bug) in den Missionen gefunden den sie ausnutzten.Armed with this new evidence, we applied account lockouts to these players. There was a couple that had some VERY interesting log entries that we could not explain. We focused on them and came to the conclusion that they HAD to be doing something more.
Übersetzung „sinngemäß“ zusammengefasst von Bloodjinn:
Bestückt mit diesen neuen Beweisen wurden die Accounts mit Sperren versehen. Bei einigen Spielern kamen sehr interessante Log-Einträge zum Vorschein, die sie sich nicht erklären konnten. Sie konzentrierten sich auf diese Einträge und kamen zu der Erkenntnis, dass diese Spieler noch mehr gemacht hatten.When the players sent in tickets, we faced them with the evidence. We then simply asked one of them that had the odd entries to come clean and help us so the game did not get damaged beyond repair, for the good of the game and the players. We did this without permission, as we thought this was important. The player did assist us in figuring out exactly what was happening by telling us what he did. From there, with the assistance of a couple of other players who came forward (and received NOTHING in return other than a THANK YOU), we had received some source code that was used. From that, we were able to come up with detection methods.
Since we have no direct access to the logging system, we still were able to detect some things only after the fact, and some during use.Übersetzung „sinngemäß“ zusammengefasst von Bloodjinn:
Als die gesperrten Spieler Tickets einsendeten, wurden sie mit den Beweisen konfrontiert. Ein Spieler erklärte was er gemacht habe. Durch diese Hinweise und durch die von weiteren Spielern kam ein Quellcode zum Vorschein, der (zur Manipulation) genutzt wurde. Nun wussten sie wonach sie suchen mussten und konnten Methoden zur Suche entwickeln.On to actions we have taken so far… In the last 2 weeks or so, we have removed access to the game from 82 players. They will NOT be coming back. The DEV team is working to counter the exploits, but it does take time, as there are limited devs.
Forseti and I and another team member DO review each and every report we get. NONE are ignored.Übersetzung „sinngemäß“ zusammengefasst von Bloodjinn:
Welche Konsequenzen / Maßnahmen nun ergriffen wurden… innerhalb der letzten zwei Wochen wurden die Accounts von 82 Spielern gesperrt / stillgelegt. Sie werden nicht wieder freigegeben. Das Entwicklerteam arbeitet daran die Sicherheitslücke zu schließen, aber es wird möglicherweise noch etwas dauern, da nicht viele Entwickler (DEVs) zur Verfügung stehen. SonOfCaprica, Forseti und ein weiteres Teammitglied sehen sich jeden Hinweis darauf an den sie bekommen. Keiner wird ignoriert.Without players reporting suspicious behavior (such as new players who go up in level much faster then the norm, or who are flinging nukes like candy, etc), it makes the initial detection take longer, so we need to keep getting those reports either in a ticket to EN support or in a post in the chat ban section.
I am sorry I cannot get into more detail, but as I said earlier, we not employees, and therefore must be limited in what we can say and do.
As fellow players, we will NOT let this go. Fair is Fair! We are all here to HAVE FUN.
Übersetzung „sinngemäß“ zusammengefasst von Bloodjinn:
Ohne dass Spieler auffälliges Verhalten melden ist es viel schwieriger und dauert länger Cheats aufzuspüren, daher ist es wichtig, Hinweise weiterhin per Ticket an den EN-Support zu schicken oder im Chat-Ban Bereich des englischen Forums zu melden.
Soweit die Erklärung des TeamLeaders aus dem englischen Forum. Hoffen wir mal, dass das Cheating bald ein Ende hat und die Verantwortlichen Spieler alle gesperrt werden…
Euer Commander,
Bloodjinn / Philipp
Videos dazu:
„TopGuns“ deleted Twitch Videostream 21.10.17
Hunting the Nukers Teil I
Hunting the Nukers Teil II
Hier könnt ihr euch auf Video ansehen wie das abläuft: https://www.twitch.tv/videos/234760279
Anschließende Nuke-Tour: https://www.twitch.tv/videos/234771321
Beziehungsweise alle Videos hier: https://www.twitch.tv/parobroofficial/videos/all
Im englischen Forum hat sich jemand etwas genauer zu den Details bezüglich der genutzten Exploits bzw. was genau gemacht wurde geäußert. Wahrscheinlich war er an der Suche nach den Mechanismen beteiligt. Ich weise darauf hin, dass keinesfalls versucht verden sollte diese Exploits ebenfalls zu nutzen, falls sie noch funktionieren. Die Folgen sind ja bekannt. Nachfolgend der Originaltext in Englisch:
Von „testaccount123456789“ am 14.02.2018, 12:51 Uhr, Quelle: Quelle: BSGO-EN-Forum
„If you wanna know how it worked in detail (just the concept, no code), here it is.
First of all, there have been two kinds of these exploits. Both of them are related to the dradis missions. They were (maybe still are, I don’t know, I only tested 2 methods so far since Troy cannot be accessed (But the ones I tested (the most effective ones as well as the well-known one within the community) are fixed) seperated into two main groups: double reward and x reward. There were and still are (yes, we’re aware that there’s still some inconvenient way to get a 2-5x reward but I cannot get it to work repeatedly) some methods in between double and x reward but they aren’t relevant without knowing the code.
Double reward bugs in the form it was known by the community:
There are two kinds of dradis mission rewards that are awarded (and are relevant for this bug) by the server: Mission accomplished and mission failed (both adapt to current wave).
Mission accomplished is rewarded once one finishes the mission (more precisely when one jumps out of the mission) and mission failed is rewarded once one is disconnected, crashed etc. Now there was a small intersection of both of these rewards: After the jump is initiated at the end of the final wave (at this point mission accomplished is already rewarded) there were some seconds in which the players were able to deliberately crash their clients (disconnecting, refreshing client) and therefore the system registered that the players were supposed to be given the mission failed reward as well without accounting for the previous reward which effectively lead to a double reward bug (for example instead of 70k cubits for a gamma mission 140k including drops i.e. nukes, dradis/KEW equipment and ammo). This bug has increased the amount of nukes among the player base dramatically. Honestly after all of these exploits, I’d like to see ALL nukes (for the 3 classes) removed from the game as BP cannot ban a majority or a large part of its community permanently without risking to impact the game’s future severly.
While this bug „version“ was based on the user interface, the second one that enabled one to get basically an infinite amount of reward for dradis missions (we’re talking about billions of cubits and tons of nukes if enough time was invested within SECONDS) was based on data transmission to the server in way that was probably not intended by the devs. Players that were caught doing this were banned and I know this will ruin the atmosphere but a lot of players (if not the majority) that have abused this bug are still free to go. The amount of accounts that BP had banned before one exploit user (no, it wasn’t me) approached them (at the beginning of this year) was 4 or 5, then these numbers SOC mentioned came to life after BP introduced the detection mechanism. As always I’m not a mod and therefore my statements shouldn’t be taken too serious. In the end I’m just a human being and by no means infallible.
Also unlike the UI version, this didn’t require players to play through or even to join the mission (client sided joining i.e. seeing the dradis map) at all.“
Aktuell Stand heute wurden 87 Accounts gesperrt.
Wie ich erfahren habe, wurden bereits weitere Accounts gesperrt. Das englische Moderatorenteam ist zur Zeit sehr motiviert alle Betrüger auszusortieren. Solltet ihr ebenfalls solche Spieler entdecken, merkt euch die Namen, macht möglichst noch einen Screenshot, und sendet diese an den englischen Support. Dafür oben rechts im Client die englische Sprache auswählen und danach unten auf Support klicken oder im englischen Forum (unten auf Forum klicken) im Chat-Ban-Bereich die Namen melden, bzw. ggf. die Screenshots posten.