domingo, 12 de julio de 2015

Ha Donde Van los Mensajes del chat de Galaxy Online

Desde hace algunos años hay un juego online que me agrada mucho se llama Galaxy Online 2 (Y Se utiliza una cuenta de facebook para poder iniciar seccion) , es
un juego de estrategia , con excelente gráficos , etc (Pueden encontrar mas información en go2es.igg.com)



Pero en esta entrada no voy a escribir de dicho Juego , si no mas bien compartir una pequeña curiosidad , me explico el juego Galaxy Online tiene un chat global donde los usuarios pueden escribir mensajes para comunicarse.




Como en todo chat los mensajes que se escriben  no están a la vista para siempre sino que van desapareciendo de acuerdo aparecen otros mensajes.
Entonces a donde van los mensajes cuando ya no se pueden ver en el chat , pues bien yo pensaba que aquellos mensajes deberían estar en algún buffer y que luego de un tiempo se eliminarían automáticamente,
.
Pero recientemente ojeando el código  encontré esta url https://us-chat.igg.com/get_topic.php?g_id=10144



En este pequeño recorte de la imagen pueden apreciar 2 cuadros en el primero se encuentra el nombre de quien escribió el mensaje (Dado que el Galaxy Online 2 Utiliza Facebook para  identificar a sus usuarios lo mas probable es que el recuadro sea el nombre de un usuario de facebook )   , que al parecer es de una mujer , y el segundo cuadro corresponde al mensaje.
En esta imagen solo muestro una parte de todos los datos que aparecieron pero en realidad también aparecen la fecha del mensaje , un variable con el nombre igg_id , que parece ser el codigo del usuario ,etc
Ademas cambiando el parámetro g_id por otro aparecen otras conversaciones e incluso en otro idioma.

Conclusion

El hecho de que se puedan observar los mensajes del chat de un juego algo popular sin necesidad de alguna autentificacion  en si no me parece ningún riesgo a lo zumo se puede crear un SCRIPT automatizado que busque en en el registro de los mensaje y haga una lista con los perfiles de Facebook de los jugadores de Galaxy Online para después realizar un ataque de Phishing  dirigido algo asi como :

 Hola Brittany Miller Beccan Miller tu mensaje "ALICORVENEZ RECLUTA JUGADORES CUALQUIER NIVEL PIRATA DIARIO" es el numero 1000000 por eso hemos decidido premiarte regalándote una flota de naves solo tienes que ponner tu usuario y contraseña

Pero a quien se le puede ocurrir algo asi ?.