1. 공격자가 d2vaidpni345rp.cloudfront.net CDN을 해킹해서
블루 아카이브의 서버를
https://nxm-ios-bagl.nexon.com:5100/api/
에서
으로 바꿔치기함 (네덜란드 서버)
위 복제된 블루 아카이브 복제 서버는 계정 SDK를 제외한 모든 정보를 처리함.
2. 최초 제보는 9시 7분 45초, 위 네덜란드 서버는 한국에서 핑이 1000ms가 넘기 때문에 무조건 말이 나올 수 밖에 없는 상황인데 렉 관련 얘기도 없었고 저게 첫 글이였음
+ 9시 6분 50초에 MITM 공격으로 인한 이상증세 제보됨
그나마 보인 렉 얘기하는 첫 글도 9시 30분부터 시작이라 계속 은밀하게 데이터를 수집한 게 아니라 공격 시작 시간은 오후 9시로 추정됨.
3. 점검 시간은 오후 10시 26분
4. 이 CDN이 담당하는 클라이언트는
* 구글플레이 15/19세
* 갤럭시스토어 19세
* iOS 19세
로 추정됨.
그래서 최종적으로 정리하자면
1. CDN 서버 하나가 털려서 오후 9시~오후 10시 26분까지 블루 아카이브의 모든 플레이 정보(패킷)가 네덜란드에 있는 공격자의 서버에 전송됨
2. 블루 아카이브 패킷은 이미 복호화가 가능해서 전체 패킷을 중간에 MITM 공격으로 저장하고 있었을 거임.
전체 패킷을 공격자가 가지고 있긴 하지만 넥슨이 인증 토큰을 초기화하면 문제는 없을 것으로 보임.
3. 하필 서버가 네덜란드라 MITM 해도 렉이 무조건 티나서 공격 자체는 저 코유키 카페에 뜨자마자 바로 됐던 거로 추측됨.
솔직히 깡서버를 http 쓴 거랑 그 패킷을 다 복호화 했음에도 한 게 코유키 도배라 진지하게 한 건 아닌 거 같음.
그래서 그 시간에 결제한 거 아니면 그렇게 큰 걱정은 안 해도 될 거 같음.
(IP보기클릭)125.176.***.***
그니까 게임사 하나 날릴 수있는 공격권을 단순히 21시 생일빵 때리는데 쓴거라고?
(IP보기클릭)106.101.***.***
밤에 자고 있는 동안 누군가가 들어와서 '서프라이즈' 라고 적힌 편지를 두고간 상황 마음만 먹으면 칼을 들고 들어올수도 있었던...
(IP보기클릭)211.109.***.***
이게 개무섭네
(IP보기클릭)220.70.***.***
직접적인 게임 서버 변조가 들어갔다면 원스랑 스팀은 멀쩡했다는 게 이상하긴 해 진짜 그 둘은 다른 cdn을 이용하고 있던건가
(IP보기클릭)46.250.***.***
(IP보기클릭)36.39.***.***
ㄹㅇ코유키네
(IP보기클릭)1.238.***.***
쩐지 내 테스트용 가챠가 좉망이더니만 네덜란드 소행이었구나 제길
(IP보기클릭)118.219.***.***
(IP보기클릭)125.176.***.***
그니까 게임사 하나 날릴 수있는 공격권을 단순히 21시 생일빵 때리는데 쓴거라고?
(IP보기클릭)211.109.***.***
Coral Jean
이게 개무섭네 | 25.09.01 01:46 | | |
(IP보기클릭)211.197.***.***
| 25.09.01 01:50 | | |
(IP보기클릭)1.238.***.***
바쿠만 현실판인가. | 25.09.01 01:52 | | |
(IP보기클릭)1.239.***.***
실력 좋은 화이트 해커네 ㄷㄷ | 25.09.01 01:56 | | |
(IP보기클릭)221.160.***.***
서버 내리고 점검하게 만든거에서 화이트는 절대 아님 | 25.09.01 03:18 | | |
(IP보기클릭)36.39.***.***
ㄹㅇ코유키네
(IP보기클릭)218.232.***.***
| 25.09.01 01:54 | | |
(IP보기클릭)220.70.***.***
직접적인 게임 서버 변조가 들어갔다면 원스랑 스팀은 멀쩡했다는 게 이상하긴 해 진짜 그 둘은 다른 cdn을 이용하고 있던건가
(IP보기클릭)211.38.***.***
우리는 용하모토에게 돌 달라고 하면 된다는 거지
(IP보기클릭)1.231.***.***
(IP보기클릭)46.250.***.***
(IP보기클릭)121.141.***.***
(IP보기클릭)211.226.***.***
그건 ISP에서 필터링 하는거라 다름 | 25.09.01 01:56 | | |
(IP보기클릭)210.179.***.***
(IP보기클릭)1.238.***.***
쩐지 내 테스트용 가챠가 좉망이더니만 네덜란드 소행이었구나 제길
(IP보기클릭)106.101.***.***
밤에 자고 있는 동안 누군가가 들어와서 '서프라이즈' 라고 적힌 편지를 두고간 상황 마음만 먹으면 칼을 들고 들어올수도 있었던...
(IP보기클릭)1.225.***.***
(IP보기클릭)118.235.***.***
(IP보기클릭)175.195.***.***
(IP보기클릭)58.120.***.***
(IP보기클릭)119.195.***.***
한편으로는 저렇게 털리는 꼬라지 보면 얼마나 허술한건지 감이 안잡힘 TTS 하나에 1년을 통째로 쏟았다는게 과장이 아니라 진짜 능력이 없던거냐고... | 25.09.01 02:01 | | |
(IP보기클릭)219.250.***.***
(IP보기클릭)114.200.***.***
(IP보기클릭)124.80.***.***
(IP보기클릭)211.234.***.***
(IP보기클릭)211.234.***.***
https://m.ruliweb.com/community/board/300143/read/72123729?search_type=subject&search_key=%EB%B8%94%EB%A3%A8%EC%95%84%EC%B9%B4&page=1 심지어 네덜란드 서버 아직 열린 상태라고 함 | 25.09.01 02:53 | | |
(IP보기클릭)118.235.***.***
system: 용하모토는 코유키 사태를 기억할 것입니다.
(IP보기클릭)211.185.***.***
(IP보기클릭)211.234.***.***
잠깐만. 이거 TACS에도 써먹을 수 있겠는데? | 25.09.01 20:01 | | |
(IP보기클릭)121.139.***.***
(IP보기클릭)121.179.***.***