先上圖
懂的人看圖可能就猜出發生什麼事了
原本想說要碼一下當事人 UID
不過想想算了,你是被誤會的還是怎樣再跟我說
昨天中午一抽精魄大進化活動開始
由於我的 UID 是 13:00 時段的,所以我在中午休息時間一點多有登入網站抽一下
嗯好,毫不意外地抽出五隻垃圾
於是我就選了補洞的依蓮尼亞
看著手裡剩下的四隻垃圾
我是打算就這樣放置到活動結束
反正這手牌應該也換不到啥好東西
就接著回去工作了
下班之後開神魔刷關卡
刷著刷著不知為啥就想說點開一下
然後就是你們看到的那張圖
嘿對,很明顯的我的驗證碼被盜了
因為如果不是親自登入網站操作是不可能完成交易的
而且還是單方面被取走的那種
我們看一下交易時間:六點五十
...我昨天下班打卡是七點十分
從中午到下班時間我也沒開神魔玩過,更別提交易
交易碼也從來沒給任何人過,甚至我自己都沒看過我的第一個交易碼長怎樣
所以是我的手機會自動跟對方交易?
說實話從上面看下來就知道對我來說其實沒有損失
畢竟我本身就沒有要繼續玩這活動的打算
反倒是對方因為是回鍋的樣子所以我還拿了一隻約菲w
但你這單方面拿卡就實在他媽過分了啊
好歹讓我再補個洞也好您說是不?
那思考一下什麼狀況下驗證碼會被盜
因為綁定神魔的 FB 沒有任何異常紀錄所以排除掉帳號被盜
驗證碼除了下述某個地方可能會被破解之外我也沒給任何人看過
再來也沒聽到說這次網站系統有類似的災情
因此我能想到最合理的解釋就是
我的背包檢視器
這邊給不清楚的人講解一下背包檢視器的原理
由於檢視器是用官方健檢中心的 API 來取資料
所以就稍微回想一下你是怎麼使用健檢中心的
一開始會需要你的 UID 和你的驗證碼登入
這時你會取得一組 token
然後以那組 token 就可以查詢觀看任何公開的 UID 背包
對,原理就是這麼單純
所有使用者都做這樣的事情
也就是自己的 UID 加自己的驗證碼來取 token
所以說,我的背包檢視器的做法就是
你打開檢視器後會用我的 UID 和我的驗證碼去取得 token (讓使用者省去輸入自己的 UID 和驗證碼的步驟)
你就能用這組 token 去跟健檢中心要到公開的背包
說難聽點
我犧牲暴露我自己的驗證碼去換取所有使用者省去一個步驟就能拿到背包資料
由於 API 是沒經過加密的
所以我的驗證碼在傳送的時候是以明文出現
瀏覽器按個 F12 觀測 API 就能找到它會在 GET 所帶的參數中
我的檢視器從 2021 年 8 月一直到現在
將近一年半的時間,我的驗證碼都是處在這種暴露的狀態
你說我難道不清楚這其中的風險?
我當然懂,而且很懂
因為我自己是會無聊去翻 API 的那種人
我當然知道很多人可能會注意到
而被弄的這一天也有可能會到來
不過我就是希望能省去大家找驗證碼才能看背包的麻煩啊
我相信使用者啊
我相信不會有人獲得這資訊後去幹些壞事
反正到今天為止了
感謝璇在留言提供的情報
剛剛創了小號來試試驗證碼是否可以跨月使用
如果可以那就跟以前沒什麼改變
如果不行的話那還是得改工具
至於對方那位玩家 (或者唆使他操作的人)
我不認識你,我有試著加你好友
我希望能夠知道實際情況為何
就是你如何取得我的交易碼還有怎麼操作的
和我以上推論是否相符
因為以上也是我憑著我看到的情況去得出的結論
如果有任何誤會請不吝跟我聯絡
並請展示你手中有的任何「我本人」有打算跟你交易的證據
如果是別人偽裝成我的話也請讓我知道
如果其中就如我的推論而沒有誤會
那我只能說
如上面提到的,相信很多人也都得知我的驗證碼
所以其實這件事並不稀奇也不厲害
就算不是以上述管道獲取的
但希望你想想
為什麼這麼多人中就只有你會幹這種事
我給大家方便,然後就你一個給我隨便
後續聯絡到對方了
嗯看來是沒有什麼誤會
和我上面的推測都一模一樣
啊我也從他那邊拿到一隻德古拉補洞這樣
天啊他四隻裡面有兩隻我可以補洞
陣容比我的二獎大禮包好多了吧
