Pendant très longtemps, facilement vers la fin de 2006 avant de décupler en 2008 et de se produire pendant des années à venir, il y a eu une partie de Club Penguin dont vous n’entendez vraiment pas beaucoup parler. En fait, vous ne savez peut-être même pas qu’il existe. Ce monde pirate des comptes de pingouins anciens et rares, puis en fait le vôtre ou le vend à des fins lucratives. Mon ami de longue date Pablo était l’une des personnes les plus actives de la communauté de craquage de comptes Club Penguin et a eu la gentillesse de prendre le temps de tout renverser, révélant comment cela a été fait.

 capture d'écran-2016-10-06- au-6-16-38- pm

 capture d'écran-2016-10-06- au-6-16-38- pm

J’estime que les origines de la scène de craquage des comptes Club Penguin remontent à la fin de 2006, car c’est à ce moment-là que les pingouins rares recevaient un traitement royal de la part des nouveaux joueurs et que les gens voulaient accéder à ces anciens comptes. Si votre compte penguin contenait d’anciens objets datant de fin 2005 ou 2006, vous étiez considéré comme rare et les gens essayeraient d’être votre ami uniquement à cause des objets que vous aviez. En d’autres termes, le matérialisme est une chose.

À cette époque, aucun outil n’était programmé pour déchiffrer les mots de passe de Club Penguin, donc tout devait être fait manuellement. Vous deviez trouver le nom d’utilisateur d’un pingouin rare auquel vous vouliez essayer de deviner le mot de passe, puis trouver quelques mots de passe possibles à essayer. Les suppositions de mot de passe courantes étaient le nom d’utilisateur du pingouin, « 12345 », « mot de passe » ou « pingouin ». Croyez-le ou non, beaucoup de comptes avaient en fait ces mots de passe très faciles. Cependant, au fil du temps, plus de mots de passe potentiels tels que « soccer », « football », etc., ont été essayés, ce qui a ouvert la voie à encore plus de comptes. Vous deviez cependant être tactique, car après cinq tentatives de connexion incorrectes, vous n’avez temporairement pas pu essayer d’autres tentatives de connexion pendant une heure.

MaximumLoginAttemps

MaximumLoginAttemps

Début 2008, un joueur de Club Penguin du nom de Microchip123 est entré dans la scène de la tricherie. Il était la personne derrière les entraîneurs populaires Penguin Fire et Penguin Storm, ainsi qu’un faiseur d’argent. Cependant, aucune de ces choses n’était importante pour les gens qui déchiffraient les mots de passe. Le blog de Microchip, cependant, leur avait quelque chose d’utile. Il a en quelque sorte compilé une liste des 100 000 premiers comptes penguin enregistrés, qui s’étendaient d’août 2005 à environ décembre 2005 ou janvier 2006. La liste n’est cependant pas près de 100 000 lignes, car Club Penguin supprime les comptes inactifs. Sur les 100 000 comptes enregistrés d’origine, un peu plus de 7 000 existaient encore lorsque Microchip a lancé son outil pour compiler la liste d’identité environ deux ans et demi après les débuts de Club Penguin.

 Capture d'écran 26/05/2016 à 12.24.37 AM

Un échantillon de la liste d’ID de Microchip

Cette liste des quelque 7 000 pingouins était une aubaine pour ceux qui voulaient deviner les mots de passe des pingouins rares. Après tout, ils avaient maintenant une liste complète des plus anciens pingouins parmi lesquels choisir et deviner les mots de passe. Ces personnes qui essayaient de comprendre les mots de passe des comptes passaient des heures chaque jour à parcourir les pingouins de la liste et à essayer de comprendre quel était chaque mot de passe. Ils commenceraient par le nom d’utilisateur de base, 12345, ou les mots de passe penguin, avant de passer à ceux comme clubpenguin, les noms de sports ou un autre mot commun tel que l’ordinateur.

Il y avait une participation décente de connexions correctement devinées aux pingouins sur la liste d’identification de la puce électronique. Cela ne s’est cependant pas arrêté là. En juillet 2010, un utilisateur du nom de Jadencide a posté son N-R-G Cracker v2 sur le site Hackforums. Cet outil, lorsqu’il est combiné avec la liste d’ID de pingouin de Microchip123, était le cracker de compte penguin ultime. Cependant, N-R-G Cracker ne se concentrait pas uniquement sur Club Penguin. Le programme financé par la publicité avait également la possibilité de pirater les comptes en ligne de Pirates des Caraïbes et de Toon Town. La façon dont cela fonctionnait était simple. Vous avez fourni au programme une liste de noms d’utilisateur à essayer, aka la liste de Microchip123, ainsi qu’une liste de mots de passe à essayer sur chaque pingouin. Il a pu contourner la restriction de cinq tentatives de connexion par heure, ce qui en fait un programme de forçage brutal efficace pouvant fonctionner toute la journée, parcourant chaque nom d’utilisateur et essayant chaque mot de passe spécifié sur ces comptes. Il existe de grandes listes que vous pouvez trouver en ligne et qui contiennent tous les mots du dictionnaire. Ce sont les types de listes de mots de passe que les personnes qui essaient de pirater des comptes utiliseraient pour déterminer les combinaisons de connexion à ces vieux pingouins.

Le craquelin N-R-G n’était pas parfait. Pour commencer, c’était lent. Il n’a pu faire qu’une seule connexion par seconde. Bien sûr, cela représente 60 tentatives par seconde, 3 600 tentatives en une heure ou 86 4 000 tentatives en une journée, mais en gardant à l’esprit le fait que la deuxième édition du dictionnaire Oxford English Dictionary en 20 volumes contient des entrées pour plus de 150 000 mots, cela représente environ deux jours de devinettes de mot de passe pour chaque mot du dictionnaire pour un seul compte si vous deviez deviner chaque mot comme mot de passe d’un seul compte au rythme d’un essai par seconde.

 Cracker CP Club Penguin de Jadencide

Cracker CP de Jadencide

Le cracker N-R-G a continué à fonctionner et à être utilisé par les joueurs jusqu’en janvier 2011, lorsque Disney a corrigé l’exploit utilisé par le programme de craquage. Jadencide avait plus de tours dans sa manche, cependant. Il a publié un nouveau programme, CP Cracker, un mois plus tard, en février 2011. Cela a fonctionné de la même manière que le craquelin N-R-G. Vous lui avez fourni une liste de noms d’utilisateur et de mots de passe et il essaierait tous les mots de passe spécifiés sur chaque compte penguin répertorié. Le programme répertoriait les noms d’utilisateur et les mots de passe qu’il essayait, ainsi qu’une colonne répertoriant tous les comptes piratés avec succès. Vous pouvez également enregistrer une liste des mots de passe fissurés dans un fichier texte.

Le programme, bien que lent, a fait le travail. Les craqueurs de compte utilisant ce logiciel ne se souciaient pas trop de la vitesse. Tant qu’ils ont réussi à déchiffrer des mots de passe pour des pingouins rares, ils étaient heureux. La vidéo suivante montre le cracker CP de Jadencide en cours d’exécution. Il fait un bon travail pour vous montrer la vitesse de celui-ci.

Les types de personnes utilisant le programme de craquage du CP avaient différentes raisons de le faire. Certains l’ont fait pour vendre les comptes pour gagner de l’argent. D’autres l’ont fait pour avoir leurs propres comptes de pingouins rares. Certains étaient simplement curieux ou ennuyés et ne voulaient que le tester et ne rien faire de plus avec toute entrée de compte gagnée.

Jadencide n’était pas le seul à réaliser un programme de craquage de Club Penguin. À la fin de 2012, quelqu’un du nom de Myles a publié le sien. Contrairement aux programmes de Jadencide qui étaient codés en Visual Basic, Myles a programmé le sien en Java. Non seulement cela, mais Myles n’a pas distribué le sien gratuitement comme celui de Jadencide. Vous deviez payer à Myles 60 $ ou 15 000 XATs (monnaie de la salle de discussion) pour cela, un prix qui a augmenté peu de temps après son lancement initial. Une protection contre la copie a également été mise en place dans le programme, où des copies non autorisées ne fonctionneraient pas. Cela signifie que si quelqu’un achetait le biscuit de Myles et envoyait le programme à un ami pour l’utiliser également, il ne fonctionnerait pas sur l’ordinateur de l’ami car il ne payait pas sa propre copie. Cependant, lors de mes tests, le système de protection contre la copie était mal mis en œuvre et pouvait très facilement être contourné, bien qu’on ne sache pas si quelqu’un d’autre que moi s’en est rendu compte.

 Myles CP Cracker

Myles’ CPCracker

Comparé au cracker de Jadencide, le cracker de Myles était beaucoup plus complexe en fonctionnalités et aussi beaucoup plus rapide, ce qui signifie que plus de comptes pouvaient être piratés en moins de temps. Au niveau de l’interface, c’était très similaire à ce que Jadencide a fait. Pingouins à gauche, mots de passe au milieu et pingouins fissurés avec succès à droite.

Les fonctionnalités de génération de noms et de génération de mots de passe n’avaient jamais été faites auparavant. Vous pouvez cliquer sur le bouton Générer des noms et entrer un préfixe de nom d’utilisateur, par exemple « Trainman », puis il vous demandera le numéro que vous souhaitez qu’il monte, par exemple 1405. Il ajouterait ensuite Trainman1, Trainman2, Trainman3, etc., jusqu’à Trainman1405, à la liste des noms d’utilisateur pour les comptes penguin sur lesquels essayer de deviner les mots de passe. La fonctionnalité générer des passes fonctionnait de la même manière, mais pour les mots de passe au lieu des noms d’utilisateur. À ce stade, il ne s’agissait pas seulement de craquer des comptes de pingouins rares, mais plutôt de craquer tous les comptes sur lesquels les gens pouvaient mettre la main. Le programme CPCracker de Myles a également pu vérifier si un compte était banni. Par exemple, si le mot de passe de mon penguin Trainman1405 était trainman mais que le compte était banni pour toujours, le programme CPCracker le répertorierait toujours comme un compte fissuré car la connexion fonctionnait. Le bouton supprimer les comptes interdits vérifierait chaque connexion fissurée pour voir si elle a été interdite ou non. Cela a été fait en utilisant une faille dans l’équipe Bêta de Club Penguin, où elle fournirait le nom d’utilisateur et le mot de passe fissurés au système de Club Penguin et l’équipe Bêta retournerait si le compte avait été banni ou non. Quant au bouton options du programme, il a affiché des paramètres pour le faire fonctionner plus rapidement, appelé mode turbo, et aussi pour vous avertir ou non lorsqu’une connexion au compte a été trouvée avec succès. La notification était une petite fenêtre contextuelle dans le coin de l’écran. La fonction de mode Turbo était cependant instable. Il sauterait d’essayer certaines des connexions qui ont été spécifiées pour être essayées. Bien qu’on ne sache pas combien de temps le biscuit de Myles a fonctionné, je sais qu’il a fonctionné au moins jusqu’en février 2013, mais il a probablement duré jusqu’à plus tard en 2013.

Il y a des rumeurs sur l’existence d’un autre cracker Club Penguin, qui fonctionne toujours, mais comme on sait peu d’informations à ce sujet, je ne peux pas le dire avec certitude. On m’a seulement dit qu’il était codé en Python, qu’il était très lent et qu’il était également privé, ce qui signifie qu’il n’était ni partagé ni vendu sur le marché noir de Club Penguin.

Mis à part ces programmes de craquage, il existe une autre branche liée à la prise de contrôle de comptes qui ne vous appartiennent pas. Cette branche est des failles de sécurité sur le site Web de Club Penguin qui ont été abusées pour prendre le contrôle des comptes penguin. Le premier incident remonte au printemps 2008, ce qui est devenu possible une fois que Club Penguin a publié les comptes parents en avril de la même année. Appelé piratage de membres, vous deviez déjà connaître le nom d’utilisateur et le mot de passe d’un compte, mais à partir de là, vous pouviez prendre le contrôle total du compte en faisant croire à Club Penguin que vous en étiez le propriétaire. Une fois que leur système pensait que vous étiez le propriétaire légitime du compte en l’ayant sous votre propre e-mail, vous pouviez changer le mot de passe en quelque chose de plus difficile et impossible pour d’autres devinez.

 capture d'écran-2016-10-06- au-3-16-35- pm

 capture d'écran-2016-10-06- au-3-16-35- pm

Le piratage des membres était assez simple, mais cela a coûté quelques dollars par pingouin sur lequel vous l’avez fait. Tout d’abord, le pingouin n’avait pas déjà de compte parent. Étant donné que les comptes parents étaient neufs et que bon nombre de ces comptes piratés étaient inactifs, il y a de fortes chances qu’ils n’en aient pas déjà un, à moins que quelqu’un d’autre ne se soit mis à le pirater avant vous. Vous avez acheté un code d’adhésion puis l’avez utilisé sur la page d’adhésion de Club Penguin. Le formulaire d’activation d’adhésion comporte deux champs : un pour le code d’adhésion et un pour votre adresse e-mail. Une carte de crédit peut également être utilisée pour acheter un abonnement via le site Web de Club Penguin.

L’adresse e-mail que vous avez saisie pouvait être n’importe quel e-mail ; il n’était pas nécessaire que ce soit celle sous laquelle le compte penguin a été créé. Le but de Club Penguin nécessitant une adresse e-mail lors de l’échange d’adhésion est d’envoyer une facture pour cela. Une fois que le pingouin est devenu membre, vous deviez vous connecter au compte parent sous cette adresse e-mail, accéder au paramètre pour ajouter un nouveau pingouin au compte parent, puis saisir les informations de connexion du compte penguin. Comme l’adresse e-mail sous laquelle l’adhésion a été échangée correspondait à l’adresse e-mail du compte parent, elle l’a automatiquement acceptée et le pingouin était désormais sous votre propre compte parent, ce qui signifie que vous en aviez le contrôle total. Généralement, avec l’option ajouter un pingouin dans les comptes parents, l’adresse e-mail sous laquelle le pingouin est créé reçoit un e-mail de confirmation, mais le piratage du membre a contourné cette étape car il pense que vous êtes le propriétaire légitime du compte.

Le piratage des membres était le plus populaire jusqu’au lancement du premier pirate Club Penguin de Jadencide, mentionné ci-dessus. Pendant deux ans, les gens devinaient les mots de passe manuellement, et s’ils obtenaient une bonne connexion au compte, ils en faisaient un membre et l’ajoutaient à leur compte parent afin qu’ils puissent changer le mot de passe et l’utiliser comme leur propre.

La deuxième faille de sécurité que Club Penguin avait pour vous permettre de prendre le contrôle des comptes Penguin s’est produite en juillet 2012. Une grande mise à jour a été publiée sur leur page d’adhésion, ce qui vous montrerait par conséquent l’adresse e-mail sous laquelle un pingouin était enregistré tant que vous aviez le nom d’utilisateur et le mot de passe de ce compte. Comme il s’est écoulé maintenant entre six et sept ans depuis la création des rares comptes Club Penguin recherchés, certaines des adresses e-mail avec lesquelles ils ont été créés n’existaient plus en raison de l’inactivité. C’est là que la faille de sécurité entre en jeu. Disons qu’en octobre 2005, quelqu’un s’est inscrit à Club Penguin avec le nom d’utilisateur Penguin, le mot de passe Penguin et l’adresse e-mail [email protected] . Avance rapide jusqu’en juillet 2012 lorsque Club Penguin a mis à jour sa page d’adhésion, toutes ces années  capture d'écran-2012-07-12- au-9-29-31- pm

 capture d'écran-2012-07-12- au-9-29-31- pm

plus tard, quelqu’un a maintenant compris le mot de passe du compte Penguin. Le pirate de compte veut ensuite essayer de l’obtenir sous son propre compte parent afin qu’il puisse changer le mot de passe en quelque chose de plus sécurisé et en avoir le contrôle total. Tout ce qu’ils avaient à faire était d’aller sur la page d’adhésion, de se connecter avec le nom d’utilisateur et le mot de passe du compte, et la page d’adhésion de Club Penguin vous donnerait l’adresse e-mail complète sous laquelle penguin a été créé. Mais à quoi sert une adresse e-mail si vous n’avez pas le mot de passe, en supposant qu’il s’agisse d’un mot de passe différent de celui du compte Club Penguin? Disons que le créateur du compte Penguin n’avait pas touché son [email protected] adresse e-mail depuis qu’il a rejoint Club Penguin en 2005. Certains services de messagerie tels que Yahoo et Hotmail supprimeront les comptes inactifs après une certaine période de temps, et parce que [email protected] n’avait pas été touché depuis des années, il a été supprimé pour inactivité et pouvait être refait par n’importe qui. Ainsi, vous pouvez passer une minute ou deux à recréer l’adresse e-mail inactive / supprimée car vous savez qu’elle appartient au pingouin Penguin, puis une fois que vous l’avez fait, vous pouvez créer un compte parent Club Penguin sous cette adresse e-mail originale, supprimée puis recréée. Le pingouin est alors tout à vous, sans même avoir besoin d’un code d’adhésion pour être échangé! C’était facile à faire, mais il restait à savoir si l’adresse e-mail pouvait être recréée ou non. La plupart ne pouvaient pas l’être, mais il y en avait encore qui le pouvaient. Si l’e-mail était toujours actif, vous pouvez toujours faire le hack de membre mentionné ci-dessus; cette autre méthode a simplement sauvé la nécessité d’acheter un abonnement si cela fonctionnait.

En 2012, c’était lorsque Club Penguin a publié des adhésions gratuites de 7 jours, ce qui a ouvert une autre ligne d’abus: beaucoup de ces codes d’adhésion d’une semaine ont été collectés ou générés, puis utilisés pour le piratage des membres. Parce qu’il était gratuit, il a économisé 5,95 $ pour chaque code d’adhésion pour le piratage des membres. En fait, Myles, le créateur du cracker Club Penguin le plus avancé, était celui qui avait créé le générateur de code d’adhésion de 7 jours. Bien qu’il ne partageait pas son outil avec d’autres, il générait des dizaines de milliers de codes d’adhésion avec lui et les vendait en vrac à bas prix.

Il y a une autre faille, celle-ci de 2013, où vous pouviez voir les détails de la transaction d’adhésion de n’importe quel pingouin, aucune connexion requise. La page du compte parent de Club Penguin avait une URL qui récupérait l’historique des transactions pour l’ID penguin spécifié. Tout ce que vous auriez à faire est de prendre cette URL et de changer l’IDENTIFIANT de votre pingouin à celui du pingouin dont vous vouliez voir les transactions d’adhésion, car il est très facile d’obtenir le numéro d’identification d’un pingouin. Il chargerait alors leurs informations plutôt que les vôtres. Avec cette information, vous pouvez appeler Club Penguin, inventer une histoire fausse à propos de votre compte penguin, et parce que vous avez les transactions d’adhésion que vous ne devriez pas pouvoir voir, ils pensent que c’est le véritable propriétaire de ce compte et changeraient ainsi l’e-mail de l’adresse légitime sous laquelle il se trouvait à votre propre e-mail, vous donnant ainsi un contrôle total sur le compte penguin. Une autre méthode beaucoup plus populaire consistait à envoyer un e-mail à Club Penguin à partir d’une nouvelle adresse e-mail que vous avez créée et à dire quelque chose du genre « Bonjour, mon nom de pingouin est _______ et j’ai oublié mon e-mail et mon mot de passe. Pouvez-vous me donner un indice de l’adresse e-mail pour que je puisse la réinitialiser? ». Le support de Club Penguin répondait alors parfois avec un indice tel que ac ****** @hotmail.com . Vous devrez alors faire de votre mieux pour déterminer correctement quelle était cette adresse e-mail afin que le pingouin puisse être le vôtre. Aussi farfelues que cela puisse paraître, ces méthodes ont toutes été utilisées avec succès plusieurs fois dans le passé. Finalement, Club Penguin a sévi à ce sujet et vous devrez leur envoyer un e-mail à partir de l’adresse e-mail sous laquelle le compte a été créé à l’origine, sinon vous étiez bloqué. Bien sûr, si vous pouviez recréer l’adresse e-mail ou trouver en quelque sorte le mot de passe du compte de messagerie, ce n’était pas un problème. Parfois, le pingouin et l’adresse e-mail avaient le même mot de passe, de sorte que vous pouviez obtenir un compte de cette façon.

 capture d'écran-2016-10-06- au-6-36-32- pm

Exemple de chat XAT évidemment faux

Alors que certaines personnes gardaient ces pingouins fissurés pour eux-mêmes, il y avait aussi un marché souterrain pour les acheter et les vendre sur les salles de chat XAT. Avant que la communauté Club Penguin ne déménage sur Twitter, de nombreux joueurs du jeu interagissaient via des salles de chat XAT. Ces comptes rares seraient échangés ou vendus contre de l’argent via PayPal ou en échange de fonctionnalités XAT premium telles que « jours » et « pouvoirs », qui vous permettaient de faire des choses spéciales dans les chats. Les XATs pourraient également être échangés contre de l’argent réel. Avec XATs, vous pouvez utiliser des smileys exclusifs dans les chats, donner à votre nom d’utilisateur une lueur spéciale, et plus encore. Certaines personnes n’auraient que quelques manchots rares à vendre, tandis que d’autres essayaient de vendre littéralement 100 manchots rares ou plus en une seule fois. Vers 2012, les pingouins bêta-testeurs sans le chapeau bêta se sont vendus à environ 15 000 XATs, ce qui équivaut à 30 $. Les comptes de testeurs bêta avec le chapeau bêta se sont vendus à 100 000 XATs, ce qui équivaut à 200 $. Et oui, les gens ont effectivement payé ces prix astronomiques juste pour les pixels. En fait, certains comptes bêta se vendraient 300 $, 500 $ et, je ne vous plaisante pas, même 1 000 $. Tout dépendait de qui était prêt à payer le prix le plus élevé pour un compte. Plus les articles du compte étaient rares, plus leur valeur était grande.

Au fur et à mesure que le temps avançait, l’identifiant de Microchip devenait de plus en plus court sur les comptes à craquer, car la plupart des comptes avaient été craqués avec succès par les joueurs. Une grande majorité des comptes de bêta-testeurs, jusqu’à environ 8 000 ID sur la liste, ont été piratés au fil du temps. Aucun testeur bêta que vous voyez se dandiner autour de Club Penguin aujourd’hui n’est le propriétaire d’origine légitime et cela n’a pas été le cas depuis longtemps. Les gens sont devenus de plus en plus intelligents avec la détermination des mots de passe, aussi. Alors que de nombreux sites de fans de Club Penguin utilisent de nos jours la plate-forme WordPress, vers 2006, les pingouins créeraient plutôt un site Web avec un constructeur de sites Web aujourd’hui disparu appelé Piczo. Il y avait aussi de très vieux forums Club Penguin où certains joueurs listaient leurs noms d’écran ou leurs adresses e-mail AIM (Messagerie instantanée AOL) sur leurs profils. Ces craquelins de compte examineraient les sites Web Piczo et les messages de forum créés par ces vieux pingouins dans l’espoir de trouver des informations clés qui mèneraient à deviner avec succès le mot de passe. Ils chercheraient dans les pages de leurs sites Web Piczo la plus petite information qui pourrait potentiellement être leur mot de passe, par exemple le nom de leur animal de compagnie. Google serait également recherché par eux dans l’espoir de trouver toute autre petite information qui pourrait les aider à trouver le mot de passe d’un compte. Ils étaient, plus ou moins, désespérés de trouver des comptes rares, même si cela signifiait passer des heures à essayer de trouver le mot de passe d’un seul compte. D’anciennes adresses e-mail se trouvaient parfois également sur ces sites Web, qu’ils essaieraient ensuite de refaire comme avec cette page d’adhésion exposant une faille dans les e-mails. Mon ami Pablo a en fait obtenu un compte bêta gratuitement simplement en trouvant un commentaire de sa part sur YouTube, en lui envoyant un message et en lui demandant le compte, auquel elle a répondu et le lui donne joyeusement.

screen

Pingouins de Screenhog et de Skidder

En fait, même les membres du personnel de Club Penguin eux-mêmes ou leurs enfants n’étaient à l’abri d’aucune de ces fissures ou piratages. À un moment donné, le pingouin de Dave Krysko, Skidder, a été piraté par un membre après que son mot de passe a été piraté via l’un des programmes de craquage. Ilsoap, l’autre pingouin de Screenhog, a également été piraté non seulement une fois, mais deux fois. À un moment donné, l’adresse e-mail de Screenhog a même été piratée par l’ami de Pablo qui a trompé le fournisseur en le laissant accéder au compte. L’ami de Pablo a ensuite temporairement pris le contrôle du compte de Screenhog. L’ami de Pablo avait également parcouru les e-mails de Screenhog pour voir quelles informations juteuses il pouvait trouver, le cas échéant. L’ami de Pablo a admis plus tard à Screenhog ce qu’il avait fait, ce à quoi Screenhog lui a pardonné. Enfin, même les pingouins appartenant au fils (joeley) et à la fille (Annie) de Billybob ont vu leurs mots de passe piratés!

Lorsque Club Penguin a lancé son application mobile My Penguin en 2013, les choses commençaient à ralentir dans le monde de la fissuration des comptes Club Penguin. Le jeu devenait de moins en moins populaire, plus une faille dans l’application ouvrait la voie aux additionneurs d’objets, ce qui signifiait que les objets rares sur les comptes de pingouins fissurés perdaient une partie de leur valeur. Certaines des personnes qui craquent des comptes utiliseraient des additionneurs d’éléments pour ajouter des éléments aux comptes qu’elles ont craqués, c’est-à-dire si un pingouin créé en janvier 2006 n’a jamais récupéré l’élément Lei hawaïen, ils utiliseraient un additionneur d’éléments pour l’ajouter au compte car il datait de cette période et ne semblerait pas suspect pour Club Penguin. Alors que, si un pingouin créé en 2007 avait le chapeau Bêta, cela serait suspect et entraînerait une interdiction si Club Penguin le découvrait. Les additionneurs d’objets ont été un jeu constant de chat et de souris pour Club Penguin, ils patchent l’un et l’autre apparaît.

Les additionneurs d’articles n’étaient pas le seul défaut de l’application mobile Club Penguin. Avec une sorte de renifleur de paquets, qui est un programme qui recherche votre trafic Internet et affiche ce qui se passe, les gens ont pu renifler les paquets de listes d’amis sur mobile, et pour des raisons que je ne connais pas, les adresses e-mail de ces comptes apparaîtraient. Ensuite, vous pouvez donner cet e-mail à Club Penguin pour « prouver » que c’est vous lorsqu’ils demandent l’e-mail sous lequel il a été créé à l’origine, et à partir de là, vous pouvez obtenir l’e-mail du compte modifié pour le vôtre. Ou, si c’était possible, vous pouvez refaire le compte de messagerie inactif. Cette faille de reniflage de paquets a considérablement accéléré le processus de recherche d’un e-mail, car elle vous a évité de devoir rechercher sur Google et les anciens sites Web liés à Club Penguin pour essayer de trouver la bonne information nécessaire. Combiné à la faille de transaction d’identifiant d’adhésion susmentionnée, n’importe qui pourrait avoir toutes les informations qui doivent être présentées au support de Club Penguin pour modifier un compte de son adresse e-mail d’origine à la vôtre. Bien qu’il n’y ait aucun moyen réel d’évaluer exactement combien de pingouins ont réussi à déchiffrer leur mot de passe, le nombre se situe certainement quelque part dans la gamme des milliers. J’estimerais personnellement entre 5 000 et 10 000, mais vraiment, je n’en ai aucune idée. Le chiffre pourrait très facilement être le double, sinon plus.

Si vous vous inquiétez de la sécurité de votre compte Club Penguin, je ne le ferais pas tant que ça. Tant que vous utilisez un mot de passe difficile, un semi-long et aussi avec un mélange de lettres majuscules et minuscules, plus un chiffre ou deux et même quelques caractères supplémentaires, il serait presque impossible de deviner. À moins que votre compte ne soit jugé rare, personne ne va s’embêter à essayer d’y entrer. En outre, non seulement Club Penguin a passé ses jours de popularité géante, mais la scène de craquage de compte est principalement, sinon complètement, morte maintenant.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.