Потеря и возвращение аккаунта Origin (Electronic Arts)
Приветствую, %username%,
Думаю некоторые из вас слышали о магазине приложений (да уж чего таить, о магазине игр) Origin (очень похоже на Steam). Недалёким пользователем себя никогда не считал, аккаунты ни от чего не терял. Да и опыт есть за плечами с администрированием и AD windows, и *nix based servers. Несколько недель назад, пока закончился сезон страйкбола, я решил поиграть в виртуальную игрушку Battlefield 3, официально покупается через конкурента Steam — Origin. Регистрируешь аккаунт, и делаешь покупку игры, оплачиваешь банковской картой, всё как всегда. На компьютере устанавливаешь Origin Client – софт, в который ты логинишься, и качаешь, а затем и запускаешь оттуда игры. Аналог известного магазина Steam. Но кто же знал что аккаунты там меняют владельцев как перчатки, а это не на руку серьезному онлайн магазину. Кто заинтересовался процедурой возвращения контроля над доступом и ошибки (или фишки) магазина, которые в этом помогли — прошу под кат.
Сегодня играя (прошло с момента покупки уже около 3 недель), решил с братом своим перейти на другой сервер, делаем дисконнект. Параллельно открыто окно браузера под аккаунтом Battlefield3 – смотрю в нём почему-то не вижу в friend-листе своего friend’а – моего брата. Потом Client Origin выдаёт инфу, что он уже где-то запущен и уходит в оффлайн. Опечалился, думаю на другой квартире включили мой ноутбук, и автоплеем загрузился клиент там, но нет, не подтвердилось. Пытаюсь залогиниться – выдаётся что такого e-mail адреса в системе не зарегистрировано (внимание –а ведь оно используется для логина внутрь). Грешу на всё что попало и перезагружаю компьютер, ситуация не поменялась. Лезу на почту – нахожу письмо о том, что e-mail изменён и уведомление пришло об этом на старую почту (внимание – при смене e-mail’а даже не запрашивается confirmation code). В логах почтового аккаунта заходов с левых адресов не было, значит почтой никто не пользовался моей. В общем понимаю, аккаунт угнан, а ведь заплачено, грубо говоря, 2100 рублей за контент, на который я рассчитываю и который принадлежит мне (слава богу не поставил галку в аккаунте запомнить данные об оплате, а то бы кто-то успел воспользоваться). И самое печальное – что я знаю, что точно нигде не вводил данные от этого аккаунта, а ауж подцепить кейлоггер или вирусняк – вроде всегда осторожен был с дества в интернете, да и средства защиты имеются, в общем опыт не позволяет.
Итак, поспешный запрос в гугле – натыкаюсь на форум с описанием решения ситуации, видимо это частое явление =) Сводится к тому, что регишь новый аккаунт на сайте, лезешь на английскую тех поддержку и пользуешься функцией LIVE CHAT с саппортом. На моё огорчение кнопка не активна, указано что сейчас нет никого =) Оно и ясно – на тот момент в северной Америке еще было нерабочее время.
Начинаем думать и потихоньку приходить в себя. Было — ID аккаунт login, мыло login2@gmail.com, пароль. У меня не осталось ничего, с чем бы я мог зайти внутрь.
На всякий случай пользуюсь стандартной процедурой восстановления пароля в Origin Client – просит либо мыло, либо OriginID (некий идентификатор, твой логин и ник). Ввожу тот что вбивал, вуаля, говорит что отослал сообщение на мыло, опять печаль, но лезу в свой ящик. Алилуйя. Вижу письмо с реф-ссылкой для нового пароля. Щелкаю на ссылку и попадаю на сайт Origin с шагом, предлагающим ввести новый пароль. Ввожу – всё ок, изменился.
Далее получается так, что после изменения пароля меня НЕ выкидывает из аккаунта с сайта Origin (авторизация по ссылке работает), я остаюсь на нём. Вижу нынешний OriginID и знаю к нему пароль, логинюсь одновременно на Battlelog BF3 и в origin Client. Везде изменены birthday и имена аккаунта, меняю на новые, отличающиеся от старых где только можно. И так, продвижение вперед есть, но самое главное – e-mail поменять не вижу где можно. Немного погуглив, узнаю про некий ea.com/ru/profile или help.ea.com, ресурс один. Захожу туда – печаль, туда пускает только с e-mail адресом. Это очень и очень плохо. Получается уже есть Origin ID, пароль, но нет e-mail.
Поизучав страницу с пол минуты замечаю кнопки для логина с помощью зарубежных социальных сетей, вспоминаю, что мой аккаунт сразу же был залинкован с моим Facebook аккаунтом, щелкаю на ссылку с надеждой зайти с помощью Facebook и… о да (господи, храни королеву фейсбук!), захожу внутрь и вижу ФИО и почту этого негодяя. На радостях – не записал их, а жаль. В общем меняю и тут все данные на свои, привязываю почту, висящую на своём домене, делаю проверку нового мыльного адреса и успокаиваюсь. Danke!
На данный момент аккаунт полностью восстановлен, все что было не так – вернул, кроме френд листа, в котором никого не осталось. В результате того что меры были предприняты быстро – злоумышленник не успел добраться до всего и вся. А именно — «разлинковать» аккаунт на Facebook, чему я, собственно, очень рад. Единственный минус – аккаунт сейчас не работоспособен, толи у EA синхронизация БД между серверами хромает толи что-то еще, в общем меня не пускает поиграть не на один сервер. Поиск в Google говорит, что это распространенное явление, народ либо ждёт, либо пишет в support. Я воспользовался сначала вторым вариантом, затем принялся за первый. Сейчас открыт кейс с описанием ситуации и ожидается его решение.
Восстановление доступа заняло около часа, не особо засекал, возможно если бы я занялся этим позже – было бы на много сложнее. И еще, некоторые страницы Origin / EA в Opera 12 не открывались, flash не грузился.
На форумах есть решение того, как сделать так чтобы можно было – достаточно вернуть старые OriginID, e-mail, password, но какой смысл если их уже знает злоумышленник?? Я тоже не понимаю этого. В общем уже после нашёл кучу форумов по продаже аккаунтов с набором разных игр, так же описаны процедуры окончательно привязывания аккаунта покупателю, чтобы реальный владелец не смог вернуть (через общение с американским support’ом, приводятся конкретные предложения для копипаста и ссылка на онлайн переводчик).
Вижу несколько косяков у Electronic Arts / Origin / Dice.
1) Отсутствие секретного вопроса в полях при регистрации или изменении данных аккаунта.
2) Отсутствие запроса confirmation code при изменении почтового адреса со старого почтового адреса
3) Наличие возможности восстановить пароль на e-mail, который уже в системе заменен. Мне это сыграло на руку, но никто не мешает воспользоваться этим багом сейчас и злоумышленнику, ведь его же e-mail адрес тоже побывал в этом аккаунте.
4) Процедура изменения пароля после основного действия почему-то оставляет тебя в своём аккаунте, это тоже мне сыграло на руку, но может сыграть и злоумышленнику.
4) Отсутствие возможности пользоваться сервисом после восстановления аккаунта, наверное это к Dice больше.
Будьте осторожны, и, надеюсь, вышеизложенная информация вам не пригодится. Пока что хочу поизучать, как товарищи коммерсанты, которые зарабатывают этим, это делают.