Por um tempo muito longo, facilmente, em final de 2006, antes crescendo dez vezes em 2008 e que ocorrem por anos para vir, não tem sido uma parte do Club Penguin, você realmente não ouve falar muito. Na verdade, você pode nem saber que existe. Esse mundo está hackeando contas antigas e raras do penguin, tornando a conta sua ou vendendo-a com lucro. Meu amigo de longa data Pablo foi um dos indivíduos mais ativos na comunidade de craqueamento de contas do Club Penguin e tem sido gentil o suficiente para dedicar um tempo para derramar o feijão em tudo, revelando como foi feito.
eu estimaria as origens do Club Penguin conta de rachaduras cena para ser todo final de 2006, como que é quando as raras pinguins estavam recebendo tratamento real de os jogadores mais novos e as pessoas estavam querendo acessar essas contas antigas. Se sua conta penguin tivesse itens antigos do final de 2005 ou 2006, você seria considerado raro e as pessoas tentariam ser suas amigas apenas por causa dos itens que você tinha. Em outras palavras, o materialismo é muito importante.
neste período de tempo, não havia nenhuma ferramenta programada para a tarefa de quebrar senhas do Club Penguin, então, em vez disso, tudo tinha que ser feito manualmente. Você teve que criar o nome de usuário de um pinguim raro para o qual queria tentar adivinhar a senha e, em seguida, criar algumas senhas possíveis para tentar. As suposições comuns de senha eram o nome de usuário do pinguim, “12345”, “senha” ou “pinguim”. Acredite ou não, muitas contas realmente tinham essas senhas muito fáceis. No entanto, com o tempo, mais senhas potenciais, como “futebol”, “futebol”, etc, foram tentadas, o que levou o caminho para ainda mais contas. Você tinha que ser tático, apesar, como depois de cinco tentativas de login incorretas, você foi temporariamente incapaz de tentar mais tentativas de login por uma hora.
no início de 2008, um jogador do Club Penguin chamado Microchip123 entrou na cena da trapaça. Ele era a pessoa por trás dos populares treinadores Penguin Fire e Penguin Storm, além de um criador de dinheiro. Nenhuma dessas coisas era importante para as pessoas decifrando senhas, no entanto. O Blog da Microchip, no entanto, tinha algo de útil para eles. Ele de alguma forma compilou uma lista das primeiras 100.000 contas de pinguins registradas, que se estenderam de agosto de 2005 a aproximadamente dezembro de 2005 ou janeiro de 2006. A lista não está nem perto de 100.000 linhas, no entanto, uma vez que o Club Penguin exclui contas inativas. Das 100.000 contas registradas originais, pouco mais de 7.000 ainda existiam quando o Microchip executou sua ferramenta para compilar a lista de identificação cerca de dois anos e meio após a estreia do Club Penguin.
uma amostra da lista de ID do Microchip
esta lista dos 7.000 pinguins era uma dádiva de Deus para aqueles que queriam adivinhar senhas para pinguins raros. Afinal, eles agora tinham uma lista completa dos pinguins mais antigos para escolher e adivinhar senhas para. Essas pessoas tentando descobrir senhas para contas passavam horas todos os dias passando por pinguins na lista e tentando descobrir qual era cada senha. Eles começariam com o nome de usuário básico, 12345 ou senhas penguin, antes de passar para aqueles como clubpenguin, os nomes dos esportes ou alguma outra palavra comum, como computador.
houve uma participação decente de logins corretamente adivinhados para pinguins na lista de ID do Microchip. No entanto, não parou por aí. Em julho de 2010, um usuário com o nome de Jadencide postou seu n-R-G Cracker v2 no site Hackforums. Essas ferramentas, quando combinadas com a lista penguin ID da Microchip123, eram o melhor cracker de conta penguin. N-R-G Cracker não estava focado apenas no Club Penguin, no entanto. O programa apoiado anúncio também tinha a capacidade de quebrar Piratas Do Caribe on-line e contas Toon Town. A maneira como funcionou foi simples. Você alimentou o programa uma lista de nomes de usuário para tentar, aka lista de Microchip123, e também uma lista de senha para tentar em cada pinguim. Ele foi capaz de contornar as cinco tentativas de login por restrição de hora, tornando-se um programa eficaz de Força bruta que poderia ser executado o dia todo, percorrendo cada nome de usuário e tentando cada senha especificada nessas contas. Existem grandes listas que você pode encontrar on-line que contêm cada palavra no dicionário. Esses são os tipos de listas de senhas que as pessoas que tentam quebrar contas usariam para descobrir as combinações de login para esses pinguins antigos.
o cracker N-R-G não era perfeito. Para começar, foi lento. Ele só foi capaz de fazer um login por segundo. Certo, isso é de 60 tentativas de um segundo, de 3.600 tentativas em uma hora, ou 86,4000 tentativas em um dia, mas tendo em mente o fato de que a Segunda Edição de 20 de volume do Dicionário de inglês de Oxford contém entradas para mais de 150.000 palavras, que é cerca de dois dias de adivinhação de senha a cada palavra no dicionário para uma única conta se você adivinhar cada palavra como uma única palavra-passe da conta à taxa de tentar por segundo.
Jadencide do CP Cracker
O N-R-G cracker continuou a trabalhar e a ser utilizado por jogadores até janeiro de 2011, quando a Disney patched a exploração, o programa de cracking estava usando. Jadencide tinha mais truques na manga, no entanto. Ele lançou publicamente um novo programa, CP Cracker, um mês depois, em fevereiro de 2011. Funcionou da mesma forma que o Cracker N-R-G. Você alimentou uma lista de nomes de usuário e senhas e tentaria todas as senhas especificadas em todas as contas penguin listadas. O programa listou os nomes de usuário e senhas que estava tentando, além disso, havia uma coluna listando quaisquer contas crackeadas com sucesso. Você também pode salvar uma lista das senhas rachadas em um arquivo de texto.
o programa, embora lento, fez o trabalho feito. Os crackers de conta que usam este software não se importavam muito com a velocidade. Enquanto eles quebrassem com sucesso algumas senhas para pinguins raros, eles estavam felizes. O vídeo a seguir mostra o Cracker CP do Jadencide em execução. Ele faz um bom trabalho em mostrar – lhe a velocidade do mesmo.
os tipos de pessoas que usam o programa CP Cracker tinham diferentes razões para fazê-lo. Alguns fizeram isso para vender as contas para ganhar algum dinheiro. Outros fizeram isso para que pudessem ter suas próprias contas raras de pinguins. Alguns eram simplesmente curiosos ou entediados e só queriam testá-lo e não fazer mais nada com qualquer entrada de conta adquirida.
Jadencide não foi o único a fazer um programa de cracking do Club Penguin. No final de 2012, alguém chamado Myles lançou o seu próprio. Ao contrário dos programas de Jadencide que foram codificados em Visual Basic, Myles programou seu em Java. Não só isso, mas Myles não distribuiu o dele de graça como o de Jadencide. você teve que pagar Myles $60 ou 15.000 XATs (moeda da sala de bate-papo) por ele, um preço que subiu logo após seu lançamento inicial. A proteção contra cópia também foi colocada no programa, onde cópias não autorizadas não funcionariam. Isso significa que se alguém comprou o biscoito de Myles e enviou o programa para um amigo para usar também, ele não seria executado no computador do amigo porque eles não pagaram por sua própria cópia. No entanto, em meus testes, o esquema de proteção contra cópia foi mal implementado e poderia ser facilmente contornado, embora não se saiba se alguém além de mim percebeu isso.
Myles’ CPCracker
Comparado com Jadencide da biscoito fino, o cracker de Myles foi muito mais complexa, de recursos e também muito mais rápido, o que significa mais contas poderia ser quebrada em menos tempo. Interface sábio era muito semelhante ao que jadencide fez. Pinguins à esquerda, senhas no meio e pinguins rachados com sucesso à direita.
os recursos gerar nomes e gerar senhas eram algo nunca antes feito. Você pode clicar no botão gerar nomes e inserir um prefixo de nome de usuário, por exemplo, “Trainman” e, em seguida, ele pediria o número que você deseja que ele suba, por exemplo, 1405. Em seguida, adicionaria Trainman1, Trainman2, Trainman3 e assim por diante, até Trainman1405, à lista de nome de usuário para contas penguin para tentar adivinhar senhas. O recurso gerar passes funcionou da mesma maneira, mas para senhas em vez de nomes de usuário. Neste momento, não se tratava apenas de quebrar contas raras de pinguins, mas sim de quebrar todas e quaisquer contas que as pessoas pudessem colocar em suas mãos. O programa CPCracker da Myles também foi capaz de verificar se uma conta foi banida. Por exemplo, se a senha do meu Penguin Trainman1405 fosse trainman, mas a conta fosse banida para sempre, o programa CPCracker ainda a listaria como uma conta quebrada porque o login funcionou. O botão remover contas banidas Verificaria cada login rachado para ver se foi banido ou não. Isso foi feito usando uma falha na equipe Beta do Club Penguin, onde forneceria o nome de usuário e a senha quebrados ao sistema do Club Penguin e a equipe Beta retornaria se a conta foi ou não banida. Quanto ao botão Opções no programa, ele trouxe configurações para torná-lo mais rápido, chamado modo turbo, e também se deve ou não notificá-lo quando um login de conta foi encontrado com sucesso. A notificação foi um pequeno pop-up no canto da tela. O recurso do Modo Turbo era instável, no entanto. Ele pularia tentando alguns dos logins que foram especificados para serem tentados. Embora não se saiba por quanto tempo o cracker de Myles funcionou, eu sei que funcionou até pelo menos fevereiro de 2013, mas provavelmente durou até o final de 2013.
há rumores da existência de outro cracker do Club Penguin, que ainda funciona, mas porque pouca informação é conhecida sobre isso, não posso dizer com certeza. Disseram-me apenas que foi codificado em Python, é muito lento e também é mantido privado, o que significa que não está sendo compartilhado ou vendido no mercado negro do Club Penguin.
Além desses programas de cracker, há outro ramo relacionado a assumir o controle de contas que não pertencem a você. Este ramo é falhas de segurança no site do Club Penguin que foram abusadas para assumir o controle das contas do penguin. O primeiro incidente remonta à primavera de 2008, que se tornou possível assim que o Club Penguin divulgou as contas dos pais em abril daquele ano. Referido como hacking de membro, você já precisava saber o nome de usuário e a senha de uma conta, mas a partir daí você poderia assumir o controle total da conta enganando o Club Penguin para pensar que era o proprietário. Uma vez que seu sistema pensou que você era o legítimo proprietário da conta por tê-lo em seu próprio E-mail, você poderia alterar a senha para algo mais difícil e impossível para os outros adivinhar.
Membro da corte foi bastante simples, no entanto, ele fez custar alguns dólares por penguin, você fez isso em. Em primeiro lugar, o pinguim precisava ainda não ter uma conta de pai. Como as contas dos pais eram novas e muitas dessas contas quebradas estavam inativas, é provável que elas ainda não tenham uma, a menos que outra pessoa tenha conseguido hackeá-la antes de você. Você comprou um código de associação e o resgatou na página de associação do Club Penguin. O formulário de ativação de associação tem dois campos: um para o código de associação e outro para o seu endereço de E-mail. Um cartão de crédito também pode ser usado para a compra de adesão através do site do Club Penguin.
o endereço de E-mail que você inseriu pode ser qualquer e-mail; não precisava ser aquele em que a conta penguin foi criada. O objetivo do Club Penguin exigir um endereço de E-mail ao resgatar a associação é enviar uma fatura para ela. Uma vez que o pinguim se tornou um membro, você teve que fazer login na conta pai sob esse endereço de E-mail, vá para a configuração para adicionar um novo pinguim para a conta pai, em seguida, digite os detalhes de login da conta pinguim. Como o endereço de E-mail em que a associação foi resgatada correspondia ao E-mail da conta principal, ela a aceitou automaticamente e o penguin agora estava em sua própria conta principal, o que significa que você tinha controle total sobre ela. Normalmente, com a opção Adicionar pinguim em contas pai, o endereço de E-mail em que o pinguim é criado recebe um e-mail de confirmação, mas o hacking de membro ignorou essa etapa, pois acha que você é o legítimo proprietário da conta.
Member hacking foi mais popular até o lançamento do primeiro club Penguin cracker do Jadencide, que foi mencionado acima. Por dois anos, as pessoas estavam adivinhando senhas manualmente, e se eles obtivessem um bom login na conta, eles fizeram disso um membro e o adicionaram à conta pai para que pudessem alterar a senha e usá-la como sua.
a segunda falha de segurança que o Club Penguin teve que permitir que você assumisse o controle das contas do penguin aconteceu em julho de 2012. Uma grande atualização foi enviada para fora em sua página de associação, o que, consequentemente, mostraria o endereço de E-mail em que um pinguim foi registrado, desde que você tivesse o nome de usuário e a senha dessa conta. Como agora era entre seis e sete anos desde que as raras contas do Club Penguin sendo procuradas foram criadas inicialmente, alguns dos endereços de E-mail com os quais eles foram criados não existiam mais devido à inatividade. É aqui que entra a falha de segurança nisso. Digamos que em outubro de 2005, alguém registrado para o Club Penguin com o nome de Pinguim, a palavra-passe de Pinguim, e o endereço de e-mail [email protected]. Fast forward para julho de 2012, quando o Club Penguin atualizou sua página de membros, todos estes anos
mais tarde, alguém tem agora descobriu a palavra-passe para a conta de Pinguim. O cracker de conta então quer tentar obtê-lo em sua própria conta pai para que eles possam alterar a senha para algo mais seguro e também ter controle total sobre ela. Tudo o que eles tinham que fazer era ir para a página de associação, fazer login com o nome de usuário e senha da conta, e a página de associação do Club Penguin daria a você todo o endereço de E-mail em que o penguin foi criado. Mas de que adianta um endereço de E-mail se você não tiver a senha, supondo que seja uma senha diferente da Da Conta do Club Penguin? Digamos que o criador da Conta Penguin não tenha tocado nela [email protected] endereço de E-mail desde que ingressou no Club Penguin em 2005. Alguns serviços de E-mail, como Yahoo e Hotmail, excluirão contas inativas após um determinado período de tempo e porque [email protected] não havia sido tocado há anos, foi excluído por inatividade e poderia ser refeito por qualquer pessoa. Assim, você pode gastar um ou dois minutos recriando o endereço de E-mail inativo / excluído, pois sabe que ele pertence ao penguin Penguin, depois de fazer isso, você pode criar uma conta-mãe do Club Penguin com esse endereço de E-mail original, excluído e recriado. O pinguim é então todo seu, SEM NENHUM código de associação necessário para ser resgatado! Foi assustador fácil de fazer, no entanto, ainda era uma questão de se o endereço de E-mail poderia ser recriado ou não. A maioria não poderia ser, mas ainda havia alguns que poderiam. Se o e-mail ainda estivesse ativo, você ainda poderia fazer o hack de membro mencionado acima; este outro método simplesmente salvou a necessidade de comprar uma associação se funcionasse.
em 2012 Foi quando o Club Penguin lançou associações gratuitas de 7 dias, que abriram outra linha de abuso: muitos desses códigos de associação de uma semana foram reunidos ou gerados e usados para hackear membros. Por ser gratuito, economizou ter que pagar US $5,95 por cada código de associação para o hack do membro. Na verdade, Myles, o criador do mais avançado Club Penguin cracker, foi quem fez o gerador de código de associação de 7 dias. Embora ele não compartilhasse sua ferramenta com outras pessoas, ele gerou dezenas de milhares de códigos de associação e os venderia a granel por um preço baixo.
há outra falha, esta de 2013, onde você pode ver os detalhes da transação de associação de qualquer pinguim, nenhum login necessário. A página da conta principal do Club Penguin tinha um URL que buscava o histórico de transações para o ID especificado do penguin. Tudo o que você precisa fazer é pegar esse URL e alterar o ID dele do ID do seu pinguim para o do pinguim cujas transações de associação você queria ver, pois é muito fácil obter o número de identificação de um pinguim. Em seguida, carregaria suas informações em vez das suas. Com essas informações, você poderia chamar o Club Penguin, uma falsa história sobre ser sua conta de pinguim, e porque você tem a associação de transações que você não deveria ser capaz de ver, eles acham que é o verdadeiro proprietário da conta e, assim, teria de alterar o e-mail de qualquer que seja o legítimo endereço foi sob o seu próprio e-mail, portanto, dando-lhe controlo total para a conta de pinguim. Outro método que era muito mais popular era enviar um e-mail para o Club Penguin a partir de um novo endereço de E-mail que você criou e dizer algo como “Oi, meu nome penguin é _ _ _ _ _ _ _ _ e esqueci meu e-mail e senha. Você pode me dar uma dica do endereço de E-mail para que eu possa redefini-lo?”. O suporte do Club Penguin às vezes respondia com uma dica como ac * * * * * * @hotmail.com. você teria que tentar o seu melhor para descobrir corretamente qual era o endereço de E-mail para que o pinguim pudesse ser seu. Por mais rebuscado que pareça, todos esses métodos foram usados com sucesso muitas vezes no passado. Eventualmente, o Club Penguin reprimiu isso e você teria que enviá-los por e-mail a partir do endereço de E-mail em que a conta foi originalmente criada, caso contrário, você estava preso. Claro, se você foi capaz de recriar o endereço de E-mail ou de alguma forma descobrir a senha para a conta de E-mail, isso não foi problema. Às vezes, o pinguim e o endereço de E-mail tinham a mesma senha, para que você pudesse obter uma conta dessa maneira.
obviamente falso exemplo de bate-papo XAT
enquanto algumas pessoas manteriam esses pinguins rachados para si, havia também um mercado subterrâneo para comprá-los e vendê-los em salas de bate-papo XAT. Antes que a Comunidade do Club Penguin se mudasse para o Twitter, muitos jogadores do jogo interagiriam por meio de salas de bate-papo XAT. Essas contas raras seriam negociadas ou vendidas por dinheiro através do PayPal ou em troca de recursos premium do xat, como “dias” e “poderes”, que permitiam que você fizesse coisas especiais nos bate-papos. XATs também podem ser trocados por dinheiro real. Com o XATs, você pode usar smileys exclusivos em bate-papos, dar ao seu nome de usuário um brilho especial e muito mais. Algumas pessoas teriam apenas alguns pinguins raros para vender, enquanto outras tentavam vender literalmente 100 ou mais pinguins raros em uma única vez. Por volta de 2012, o beta tester penguins sem o beta hat foi vendido por cerca de 15.000 XATs, o que equivale a US $30. O beta tester conta com o beta hat vendido por 100.000 XATs, o que equivale a US $200. E sim, as pessoas realmente pagaram esses preços astronômicos apenas por pixels. Na verdade, algumas contas beta venderiam por US $ 300, US $500 e, eu não te Brinco, nem US $1.000. Tudo dependia de quem estava disposto a pagar o preço máximo por uma conta. Quanto mais raros os itens que a conta tinha, maior o valor dela.
à medida que o tempo avançava, o ID do Microchip ficou cada vez mais curto nas contas deixadas para quebrar, já que a maioria das contas foi quebrada com sucesso pelos jogadores. A grande maioria das contas beta tester, aqueles até cerca de ID 8.000 na lista, foram quebrados ao longo do tempo. Nenhum testador beta que você vê andando em torno do Club Penguin hoje é o legítimo proprietário original e não existe tal coisa por um longo tempo. As pessoas se tornaram cada vez mais inteligentes ao descobrir senhas também. Enquanto muitos sites de fãs do Club Penguin hoje em dia usam a plataforma WordPress, cerca de 2006 penguins criariam um site com um construtor de sites extinto chamado Piczo. Havia também alguns fóruns muito antigos do Club Penguin, onde alguns jogadores listavam seus nomes de tela AIM (AOL Instant Messenger) ou endereços de E-mail em seus perfis. Esses crackers de contas se debruçariam sobre os sites Piczo e as postagens do fórum criadas por esses antigos pinguins na esperança de encontrar informações importantes que levariam a adivinhar com sucesso a senha. Eles pesquisariam nas páginas de seus sites Piczo o menor pedaço de informação que poderia ser sua senha, por exemplo, o nome de seu animal de estimação. O Google também seria pesquisado por eles na esperança de encontrar qualquer outra pequena informação que possa ajudá-los a descobrir a senha de uma conta. Eles estavam, mais ou menos, desesperados para encontrar contas raras, mesmo que isso significasse passar horas tentando descobrir a senha de uma única conta. Endereços de E-mail antigos às vezes também seriam encontrados nesses sites, o que eles tentariam refazer, assim como na página de associação, expondo falhas de E-mails. Meu amigo Pablo realmente conseguiu uma conta beta gratuitamente simplesmente encontrando um comentário dela no YouTube, enviando uma mensagem para ela e pedindo a conta, ao que ela respondeu e felizmente deu a ele.
os pinguins de Screenhog e Skidder
na verdade, nem mesmo os próprios membros da equipe do Club Penguin ou seus filhos estavam imunes a qualquer uma dessas rachaduras ou hacks. Em um ponto, o pinguim de Dave Krysko, Skidder, foi hackeado depois que sua senha foi quebrada por meio de um dos programas de cracking. Ilsoap, outro pinguim de Screenhog, também foi hackeado não apenas uma, mas duas vezes. Em um ponto, o endereço de E-mail de Screenhog foi até invadido pelo amigo de Pablo, que enganou o provedor para permitir que ele acessasse a conta. O amigo de Pablo então assumiu temporariamente o Controle Da Conta de Screenhog. O amigo de Pablo também examinou os e-mails de Screenhog para ver quais informações suculentas ele poderia encontrar, se alguma coisa. O amigo de Pablo admitiu mais tarde para Screenhog o que ele havia feito, ao qual Screenhog o perdoou. Por fim, até mesmo os pinguins de propriedade do Filho de Billybob (joeley) e da filha (Annie) tiveram suas senhas quebradas!
quando o Club Penguin lançou seu aplicativo móvel My Penguin em 2013, as coisas estavam começando a desacelerar na conta do Club Penguin cracking world. O jogo estava se tornando cada vez menos popular, além de uma falha no aplicativo abriu o caminho para os vendedores de itens, o que significa que os itens raros nas contas do cracked penguin perderam parte de seu valor. Algumas das contas de cracking de pessoas usariam adders de itens para adicionar itens às contas que eles quebraram, ou seja, se um pinguim criado em janeiro de 2006 nunca pegasse o item lei havaiano, eles usariam um adder de itens para adicioná-lo à conta, pois era daquele período de tempo e não pareceria suspeito para o Club Penguin. Considerando que, se um pinguim criado em 2007 tivesse o chapéu Beta, isso seria suspeito e resultaria em uma proibição se o Club Penguin descobrisse. Item adders têm sido um jogo constante de gato e rato para Club Penguin, eles patch um e outro aparece.
Item adders não foi a única falha que o aplicativo móvel Club Penguin abriu o caminho para. Com um packet sniffer de algum tipo, que é um programa que procura o seu tráfego de internet e exibe o que está acontecendo, as pessoas foram capazes de farejar os pacotes de listas de amigos no celular, e por razões que eu não sei, os endereços de e-mail para as contas apareceria. Então você pode dar esse e-mail para o Club Penguin para “provar” que é você quando eles pedem o e-mail em que foi originalmente criado e, a partir daí, você pode obter o e-mail da conta alterado para o seu. Ou, se fosse possível, você poderia refazer a conta de E-mail inativa. Este pacote sniffing falha acelerou o processo muito para encontrar um e-mail, como ele salvou você de ter que pesquisar em todo o Google e antigos sites relacionados Club Penguin tentando encontrar a peça certa de informação necessária. Combinado com a falha de transação de ID de associação mencionada acima, qualquer pessoa pode ter todas as informações que precisam ser apresentadas ao Suporte do Club Penguin para fazer uma conta alterada de seu endereço de E-mail original para o seu. Embora não haja uma maneira real de avaliar exatamente quantos pinguins tiveram sua senha quebrada com sucesso, o número está definitivamente em algum lugar na faixa de milhares. Eu pessoalmente estimaria entre 5.000 e 10.000, mas realmente não tenho ideia. A figura poderia facilmente ser o dobro disso, se não mais.
se você está preocupado com a segurança de sua conta do Club Penguin, eu não faria muito. Contanto que você use uma senha difícil, uma semi-longo e também com uma mistura de letras maiúsculas e minúsculas, além de um número ou dois e até mesmo alguns personagens extras lançadas, seria quase impossível adivinhar. A menos que sua conta seja considerada rara, ninguém vai se preocupar em tentar entrar nela. Além disso, não só o Club Penguin passou de seus dias de popularidade gigante, mas a cena de craqueamento de contas está, se não completamente, morta agora.