Oggi, versso le 12 e 20 , un attacco ad hattrick ( si presume ) ha gettato nel panico migliaia di utenti sparsi per il mondo.

Pare che due utenti, abbiano non si sa come ( io presumo tramite uno script, residente nell'hosting generalmente usato per i loghi ) ha cambiato l'allenatore a centinaia di squadre e azzerato stadi e formazioni.

Notevoli le voci che girano.

Dal gigantesco pesciolone d'aprile , il 31 marzo... mah :-?, all'attacco dimostrativo.
Tutto si e' risolto non senza panico generale e confusione.
Gli allenatori sostituiti sono tornati tutti al loro posto. La funzione logo e' stata temporaneamente disabilitata. I soldi restituiti.

Se qualcuno sa Qualcosa in piu lo posti pure.

Qualcuno parla di sistema violabile e fragile. Io penso a un mattacchione che sa come smanettare con gli script. Nessun Hacker dunque... ma un Cracker burlone e salato in superficie :D

31/03/2007 alle 14:12 (Global)
Saturday around noon a few hundred teams in Hattrick were hit by an "exploit" triggered by one or several Hattrick users which caused the users to lose their coaches or arenas. We have patched this security loophole now, and restored the damage to the affected teams, but as an extra security measure we will keep the logo function for HT supporters disabled for a day or two.

a me è arrivato questo messaggio

ATTENZIONE!
Se ti arriva un'htmail di tale england killer, non aprirla assolutamente e non andare sulla sua home page.
Non si sa come, ma tutti quelli che l'hanno fatto, si sono trovati con un coach debole in squadra...

Mi sa che siamo sotto il primo vero attacco hacker di Hattrick..

penso che sia arrivato pure a te Sniper lol

a me non è arrivato..ancora...

ormai hanno beccato il tipo. a dire la verita' lo hanno beccato gia' dopo 20 minuti dopo che aveva iniziato e il problema e' risolto con la disabilitazione dei loghi.

Confermo che sono stato vittima di questo attacco e che mi era cambiato l'allenatore. Confermo che ho di nuovo il mio fottuto francese mangia agli adesso.

Bisogna dire che uno dei vantaggi di essere supporter e di essere inseriti in una fed è quella anche di poter ricevere le newsletter. Io ne ho mandate due dove potevo (Federazione Italiana Allenatori Regia e Federazione Hattrick delle Marche) e non sapete quante mail di ringraziamento ho ricevuto.

Un pirla mi ha raccontato tramite ht-mail che subito dopo che gli avevano cambiato l'allenatore gli hacker ha speso i propri soldi per riprendersene un'altro del livello che gli interessava e ovviamente nella risistemazione fatta dagli HT non ha riavuto il vecchio ma gli hanno lasciato quello che aveva preso lui. Gli ho detto che ha fatto una gran cazzata :D

Io penso che dietro questo scherzo debba esserci per forza qualcuno che ha lavorato nel team di hattick. Bisogna dare merito agli svedesoni di aver fatto un buon lavoro per risolvere il problema in fretta e con precisione meticolosa.

Ma va la...
ma che ha lavorato nel team...

Con gli amici sono mesi che si parla della possibilita' di inserire script nell'url del logo proprio partendo dal concetto che basta lo script senza bisogno di hakkare nulla xke quando visualizzi un logo sei gia' loggato in hattrick ecc ecc...

e' solo uno che ha provato quello che tantissimi sospettavano da tempo riguardo alla sicurezza in hattrick

si e come l'avresti scritto questo script?
Cioe' i sorgenti non sono open, come pensi che funzioni il meccanismo di cambio allenatore? cioe' come avresti proceduto se l'avessi voluto fare anche tu?

infatti la cosa piu strana è la perizia con cui hanno agito. E' come se qualcuno conoscesse la struttura del db di hattrick. Forse un ex sviluppatore?

il db di hattrick e' molto complesso. io non ho le competenze per dirti come scrivere lo script. questo e' quello che mi hanno spiegato.

poi il db di hattrick e' stato piu volte violato. i protocolli chcp quelli di Ho per intenderci , che verificano la sicurezza del sito sono open per gli sviluppatori dei programmi come Ho, Ham , ecc...

Quello che e' sicuro e' che quello script ha "innescato" un meccanismo che replicava i percorsi di click x il cambio allenatore senza cambiare le pagine.


Parlando senza cognizione di causa , cerco di spiegarmi , se avessi voluto farlo io avrei impostato una serie di valori corrispondenti alle azioni che portano al cambio di allenatore. Non so come!

evidentemente questa falla di sicurezza era conosciuta dagli sviluppatori che :
1) hanno testato il tutto con la compiacenza di un utente o con la loro diretta mano ( una sorta di test per vedere se era sicuro )
2) sono stati avvisati o si aspettavano che prima o poi succedesse.

Di piu non so. Vado per ipotesi xke non ho conoscenze di programmazione. Ma non sarebbe la prima volta che Hattrick e' rimasto esposto a simili attacchi ( vedi i pop up che votavano per i Ct delle nazionali o l'attacco del 2001 con uno script di autorilancio sull'offerta di giocatori ).

e' solo una teoria, non so nemmeno se sia realizzabile ma ci sono dei precedenti.

non sottovaluterei nemmeno la possibilita' che si sia trattato di un test fatto direttamente dagli sviluppatori.

bho... sinceramente a me sembra strano cioe' posso capire il rilancio automatico che andava fatto riempiendo una textbox.. ma cambiare l'allenatore non e' mica facile :D vabbe' cmq e' stata ingenuita' degli HT dato che non sono riusciti a rendere sicuri gli accessi CHCP...
Speriamo non accada niente di male...

Cmq e' pure probabile che sia una cosa fatta dagli HT...

Si , e' una delle ipotesi piu probabili.

Per quanto riguarda la difficolta', insomma... Non so se si possano replicare i click con delle macro, ma alla fine per cambiare allenatore bastano 5 click.

1)ALLENAMENTO
2)cambia allenatore
3)spregiudicato
4)debole
5)accetta.