این مطلب در جوابیه 2 خبر فرستاده شده در وبلاگ کوییز آو کینگز و وبسایت بنیاد ملی بازی های رایانه ای
و همچنین جهت انتقاد از رفتارهای غیر حرفه ای تیم کوییز آو کینگز در قبال چند میلیون کاربر ایرانی منتشر می شود.
ساعت ۱۰ شب جمعه، ۲۹ شهریور ماه ۱۳۹۹ برای ۵۳۵ کاربر بازی پرطرفدار«کوییز آو کینگز» با یک اتفاق ناخوشایند همراه شد؛ مسدود شدن حساب کاربریشان و حذف تمام رکوردهایشان از لیست ردهبندی.
به ادعای تیم کوییز آو کینگز این کاربران از ربات تلگرامی برای تقلب در بازی استفاده میکردند.
اما واقعیت ماجرا چه بود؟
قبل از مطالعه بیشتر و برای آشنایی با سیاست های تیم کوییز آو کینگز در قبال حریم شخصی کاربران، نگاهی به این مطلب بیاندازید:
سیاست دروغ کوییز آو کینگز؛ بزرگترین بازی آنلاین ایران
شرح علت اصلی مسدود شدن بیش از 535 اکانت کوییز آو کینگز؛
حدود 3 ماه پیش بود که تیم کوییز آو کینگز جوایز قسمت "رکورد" بازی رو کاهش داد. عده ای از بازیکن ها به خصوص اعضای گروه های با رتبه بالا، بارها اعتراضشون رو به گوش مسئولین این تیم رساندند اما هیچ نتیجه ای حاصل نشد. حرکت بعدی بازیکن ها تحریم بازی گروهی و خرید سکه از بازی بود که این حرکت اعتراضی هم نتیجه ای در بر نداشت.
شروع این ماجرا در حرکت اعتراضی بعدی رقم خورد؛
ارائه سرویس برای غیر فعالسازی کتابخانه های ثالث کوییز آو کینگز!
تیم کوییز آو کینگز از سرویس های تپسل، چارگون، Google Ads و Flurry برای تبلیغات آزار دهنده و تحلیل رفتار کاربران استفاده میکنه که باعث کند شدن اپلیکیشن برای بخشی از کاربران میشه.
به درخواست گروهی از بازیکنان بازی کوییز آو کینگز، فایروالی طراحی شد که با اتصال به اون سرویس و شروع بازی، درخواست های فرستاده شده از سمت بازی به سرویس های ثالث بلاک میشد و به مقصد نمیرسید. و تنها درخواست هایی که به سرور کوییز آو کینگز به آدرس secure.quizofkings.com ارسال میشد مجاز به عبور از این فایروال بودند. این فایروال بر روی سرور آلمان و با تعدادی آیپی آدرس ثابت نصب و راه اندازی شده بود. چیزی که کوییز آو کینگز از اون به عنوان ربات یاد میکنه!
برگردیم به 5 ماه پیش و با ماجرای ربات و در ادامه اشتباه کوییز آو کینگز در شناسایی کاربران فایروال به جای ربات آشنا بشیم:
ماجرای ربات تلگرام (کلاینت کوییز آو کینگز در بستر تلگرام)؛
بعد از انتشار اندروید 10، بازیکنانی که نسخه سیستم عاملشون رو به این نسخه بروز کرده بودند نمیتونستند وارد بازی کوییز آو کینگز بشند. با وجود درخواست های مکرر کاربران از تیم کوییز آو کینگز این مشکل به مدت 7 ماه وجود داشت و مدیران کوییز آو کینگز هسته بازی سازی CoronaSDK رو عامل این مشکل میدونستند، با بررسی های انجام شده در انجمن CoronaSDK که برای پرسش و پاسخ در رابطه با این هسته بازی سازی تشکیل یافته، به هیچ گزارشی مبنی بر وجود مشکل در هسته بازی سازی برای اندروید 10 برخورد نکردم.
در اواخر ششمین ماه از شروع این مشکل تصمیم گرفتم کلاینت کوییز آو کینگز رو بر روی بستر تلگرام و برای کاربران اندروید 10 و ویندوز فون که امکان استفاده از خود بازی رو نداشتند، ارائه کنم.اپلیکیشن کوییز آو کینگز از هسته بازی سازی CoronaSDK استفاده میکنه و دسترسی به کد های نوشته شده توسط زبان Lua در این تکنولوژی بسیار آسان و در عرض چند دقیقه قابل دسترس برای همه هست. باتوجه به این موضوع، ساخت و طراحی این کلاینت در بستر تلگرام حدود یک هفته زمان برد و برای افرادی که از طرف بنده تایید میشدند فعال میشد. موضوع در دسترس بودن کدهای برنامه قبلا بارها و توسط افراد مختلفی به اطلاع تیم کوییز آو کینگز رسیده بود. حتی در صفحه ویکی پدیای کوییز آو کینگز به این مورد اشاره شده بود:
"بازی کوئیز آو کینگز با موتور بازی سازی CoronaSDK و به زبان Lua نوشته شده است که با ابزارهایی مانند Frida میتوان سورس کد کامل بازی را استخراج کرد.
با مطالعه سورس کد حفره های امنیتی قابل توجهی از این بازی پیدا شده است. یکی از مهم ترین حفره های امنیتی بازی امکان شنود چت های خصوصی بازیکنان هست. این حفره امنیتی به دلیل استفاده از MQTT بدون احراز هویت، از ابتدای بازی وجود داشته است."
اما تیم کوییز آو کینگز به قول خودشون برای "ماست مالی کردن" موضوع این ویرایش ویکی پدیا رو با دلیل زیر پاک کردند:
"این بخش شامل اطلاعات اشتباه بود که به طور کامل و طبق آخرین نوشتهی بلاگ کوییز، اصلاح شد."
جالب است بدانید تیم کوییز آو کینگز در وبلاگ خود و در این پست از بنده تشکر کرده بود
اما با تهدیدهای اخیر نشان دادند سیاست دروغ و تزویر در شاکله این تیم جا خشک کرده است. به طوری که برای حفظ ظاهر در میان استارتاپ ها و رقیبان این مطالب در وبلاگ و شبکه های اجتماعی شان منتشر می شود. اما در باطن کثیف ترین رفتار رو در مقابل فردی دارند که امنیت حریم شخصی جامعه 20 میلیون نفری رو بدون چشم داشت و از روی وظیفه به اون ها اطلاع داده.
در زمان طراحی و ساخت این کلاینت، قوانینی از سوی کوییز آو کینگز مبنی بر ساخت اپلیکیشن های ثالث منتشر نشده بود.
چند هفته بعد از ساخت ربات و انتشار آن در بین برخی از کاربران، کوییز آو کینگز مشکل اندروید 10 رو حل میکنه و کارایی ربات به جز برای کاربران ویندوز فون از بین میره. به همین دلیل تمرکزم رو بر روی بررسی مشکلات امنیتی این بازی میگذارم.
کلیپ منتشر شده در توییتر کوییز آو کینگز در رابطه با حل مشکل اندروید 10
بعد از چند ساعت مطالعه سورس کد بازی، متوجه مشکل امنیتی فاجعه باری شدم که امکان شنود چت های تمام کاربران بازی رو به همه افراد میداد. در این باره مطلبی در سایت ویرگول منتشر کردم:
افشای چت های خصوصی 15 میلیون کاربر کوییز آو کینگز
و نوشته رو در لینکداین و پروفایل شخصی خودم فرستادم:
بعد از گذشت چند ساعت از انتشار این مطلب، مدیر روابط عمومی کوییز آو کینگز در پیامی خصوصی داخل این شبکه اجتماعی و از طرف شرکت کوییز آو کینگز با بی اهمیت جلوه دادند این مشکل، که چت داخل بازی صرفا برای تعامل هست، قول دادند که این مشکل در عرض 2 هفته توسط تیم فنی حل خواهد شد و نتیجه رو به بنده اعلام خواهند کرد. و تقاضا داشتند که مطلب منتشر شده برای جلوگیری از سوء استفاده، حذف بشه. بنده موافقت کردم و مطلب حذف شد.
همزمان آسیب پذیری ها و مشکلات امنیتی بخش های دیگر کلاینت رو بررسی میکردم و با خوش بینی منتظر پاسخ این تیم بودم به این امید که به عنوان سازنده یک بازی با میلیون ها کاربر، مسئولیت این مشکل بزرگ رو میپذیرند و به حریم شخصی کاربران خود اهمیت میدند، اما...
بیشتر از 1 ماه گذشت و هیچ پیامی به صورت مستقیم از سمت این تیم دریافت نکردم.
اما در طول این 1 ماه که مدیران ارشد کوییز آو کینگز که در رابطه با ربات طراحی شده توسط بنده کنجکاو شده بودند، با آیدی های فیک تلگرامی برای بنده مزاحمت ایجاد میکردند. در یک مورد از این مزاحمت ها مدیر محصول این تیم، با یک آیدی تلگرام با نام "الیسا **"، بعد از عدم موفقیت در گرفتن ربات از بنده، شروع به توهین میکنه.
چند روز بعد از این اتفاق مدیر روابط عمومی این شرکت در پیامی در لینکداین از حل مشکل امنیتی چت ها خبر داد. موضوع توهین مدیر محصول شرکت رو با ایشون در میون گذاشتم، ایشون مدیر محصول رو شخص دیگری معرفی کردند در حالیکه عناوین شغلی در شبکه های اجتماعیشون ثبت شده و تغییری نداشته.
با توجه به تاخیرشون در حل مشکل (که البته مشکل رو حل نکرده بودند) و ناهماهنگی های موجود در شرکتشون، از ادامه همکاری با این تیم منصرف شدم.
اما بعد از پیگیری این موضوع توسط مدیر روابط عمومی کوییز آو کینگز و بیان اینکه هماهنگی های لازم بین تیمشون صورت نگرفته بود، بخشی از مشکلات رو به اطلاعشون رسوندم.
با وجود بیان این موضوع که تمایل دارم توسط لینکداین با این تیم در تماس باشم، مدیر روابط عمومی درخواست کردند که با مدیر فنی مکالمه تلفی داشته باشم و مشکل رو گزارش بدم. که بنده نپذیرفتم.
بعد از چند روز دوباره اقدام به بررسی مشکل امنیتی شنود چت ها کردم و متوجه شدم مشکل کماکان پا برجا هست. این موضوع رو به اطلاع کافه بازار، گوگل پلی و مرکز ماهر رسوندم. بعد از چند روز بازی از گوگل پلی حذف شد. اما مرکز ماهر و کافه بازار به جز اطلاع رسانی دوباره مشکل به تیم کوییز آو کینگز کاری انجام ندادند. مدیر مارکتینگ کوییز آو کینگز در توجیه حذف بازی از گوگل پلی، دست به دامن بیماری کرونا میشه.
در این مدت آسیب پذیری های کلاینت کوییز آو کینگز بر روی ربات طراحی شده روی تلگرام تست میشد. برای تست این آسیب پذیری ها نیاز به کاربرانی از داخل بازی بود که آشنایی با بازی داشته باشند، به همین دلیل از 15 کاربر دعوت شد تا در تست این آسیب پذیری ها به بنده کمک کنند.
همزمان با ربات، کاربران دیگری هم درخواست استفاده از سرویس فایروال رو داشتند که از شر تبلیغات آزار دهنده کوییز در امان باشند. و در حرکت اعتراضی به کم شدن جوایز بخش رکورد شرکت کنند.
این کاربران در ازای استفاده از سرویس فایروال هزینه ای به جهت تمدید سرور پرداخت میکردند.
لازم به ذکر است که آیپی های مورد استفاده سرویس فایروال و ربات در یک بازه مشترک بودند.
بعد از گذشت 2 ماه از فعالیت فایروال و ربات، کوییز آو کینگز رویدادی آنلاین برگذار میکنه با حضور مدیر عامل این تیم. در این رویداد از چند نفر از بازیکنان برتر بازی و چند گروه مورد حمایت تیم کوییز آو کینگز دعوت میشه. همچنین یک نفر از بازیکنانی که ابزارهای تقلب به صورت عمومی برای بازی ارائه میکرده در این رویداد حضور داشته. این شخص یکی از کاربرانی بوده که درخواست استفاده از کلاینت کوییز آو کینگز در بستر ربات رو داشته و با مخالفت بنده مواجه شده بوده.
طی این رویداد این کاربر اعلام آمادگی میکنه برای کمک به بستن ربات، همچنین چند نفر از گروه های مورد حمایت کوییز که خودشون از ابزارهای تقلب اختصاصی استفاده میکردند، احساس خطر میکنند از وجود ابزار دیگری به اسم ربات چرا که درصورت انتشار ربات برای استفاده عمومی مردم (که اصلا قرار نبود چنین اتفاقی بیوفته)، انحصار تقلب در بازی از دست اون ها خارج شده و در روند امتیازگیریشون در بازی خلل ایجاد میشه. همچنین این درخواست اون ها از مدیران کوییز، موضوع اصلی کم شدن جوایز قسمت رکورد رو کم اهمیت تر میکنه.
بعد از اون رویداد، و تحریک تیم کوییز توسط چند نفر، تیم کوییز عزمش رو جزم میکنه برای شناسایی و بستن ربات. به این صورت که با آیدی های مختلف در تلگرام و با روش های اغواگرانه ایجاد مزاحمت میکنند برای بنده. سر انجام بعد از یک ماه از طریق یکی از کاربران ربات و توسط کد دعوت وارد ربات میشند. و شروع میکنند به بررسی عملکرد ربات به مدت یک هفته.
در این یک هفته ربات رو مدیر عامل، مدیر محصول، مدیر ارشد فنی و یکی از برنامه نویسان تیم که در کشور ترکیه ساکن هست، مورد بررسی قرار میدند.
تمامی این بررسی ها بدون اطلاع از وجود سرویس دیگری به نام فایروال انجام میگیره. در نهایت تیم کوییز آو کینگز به یکی از آیپی آدرس های مورد استفاده سرور فایروال که ربات هم ازش استفاده میکرده میرسند.
بعد از ماجرا و تا تاریخ مسدودی ها، اقدام به مسدود کردن چند نفر از کاربرانی میکنند که اطلاع ندارند استفاده اون ها از ربات بوده یا فایروال. در توجیه این مسدودی ها بهانه های مختلف از قبیل ورود با 6 دستگاه به بازی رو میارند که عملا امکان ورود با 6 دستگاه به بازی وجود نداره.
لازم به ذکر هست که در طول این مدت قوانین کوییز آو کینگز در ارتباط با تخلفات بازی به شکل قبل بوده و هیچ تغییری در آن اعمال نشده بود.
روز جمعه 29 شهریور نسخه جدید کوییز آو کینگز با شماره 1.19.6693 منتشر میشه. در اولین ورود به بازی
در این نسخه متوجه اعلام قوانین از سوی کوییز آو کینگز میشیم:
در صورتی که قبل از این نسخه هیچ پیامی در رابطه با قبول قوانین به کاربران داده نمیشده. تصویر زیر از همان صفحه ورود در نسخه های قبلی می باشد.
قبل از ادامه، قوانین کوییز آو کینگز در رابطه با استفاده از تقلب رو در نسخه های قبلی دوباره میخونیم:
اما تغییرات قوانین در همان روز:
در قوانین جدید و تغییر یافته کوییز آو کینگز که روز جمعه 29 شهریور منتشر میشه، این تیم طراحی و ساخت نسخه های غیر رسمی و تغییر یافته رو خلاف قوانین عنوان کرده و همچنین افرادی که از ربات استفاده کنند رو تهدید به انسداد دائمی اکانتشون میکنه.
اما باتوجه به تغییر قوانین این شرکت و منع توسعه نسخه های غیر رسمی، در همان شب سرویس ربات برای احترام به قوانین کوییز آو کینگز و سرویس فایروال برای جلوگیری از وارد آمدن خسارات بیشتر از سمت کوییز آو کینگز به کاربران، غیر فعال شدند.
نکات جالبی که بنده رو بیشتر در بهت و حیرت از اعمال ناشیانه کوییز آو کینگز قرار داد تمامی ندارند...
- دیروز، سه شنبه 1 مهر، کوییز آو کینگز گروه های اکانت های مسدود شده رو هم حذف کرده، یعنی افرادی که در این گروه ها بودند و از فایروال استفاده ای نداشتند هم آسیب دیدند.
- در هیچ یک از قوانین کوییز آو کینگز اشاره ای به برخورد با ابزارهای Adblock (بلاک کننده تبلیغات) یا Antispyware (ضد جاسوسی) اشاره ای نشده است. اما 90 درصد کاربران تحت تاثیر این اتفاق به این دلیل مسدود شده اند.
- در تماس افرادی که اکانتشون مسدود شده با پشتیبانی کوییز آو کینگز، به شکل کاملا وقیحانه از آن ها خواسته اند که از بنده شکایت کنند.
- از تعداد مسدودی ها فقط 5 درصد اون ها و حدود 25 نفر از ربات استفاده داشتند که اکثر اون ها اعضای گروه های تحت حمایت کوییز بودند، و اتفاقی که افتاد بعد از مسدود شدن 535 اکانت به گفته کوییز آو کینگز، اکانت ها و گروه های این افراد از این مسدودی ها جان سالم به در بردند. در نتیجه قربانی این مسدودی ها بازیکنانی شدند که به کم شدن جوایز بخش رکورد اعتراض داشتند.
- با وجود اعلام قبلی موضوع تست مشکلات بازی به روابط عمومی شرکت، هیچ تماس مستقیمی از طرف این شرکت با بنده در رابطه با توقف ربات یا کسب اطلاعات در این باره صورت نگرفت. با وجود اینکه حسن نیت خودم رو در قضیه افشای چت های بازیکنان اثبات کرده بودم. تنها روش جمع آوری اطلاعات این تیم ساخت اکانت های فیک تلگرامی و ایجاد مزاحمت های پی در پی با هویت های دخترانه بود.
- بعد از مسدود شدن اکانت ها اقدام به ایجاد شایعه در بین کاربران مسدود شده کردند تحت این عنوان که بنده اطلاعات اکانت ها رو از ترس شکایت کوییز آو کینگز تسلیم این تیم کردم. این شایعات در یک کانال تلگرامی حاشیه ساز منتشر میشد که منبع موثق مدیران کوییز برای مسدود کردن بدون دلیل و مدرک اکانت ها بوده و هست. برای اثبات این موضوع برای بازیکنان کوییز کافیه مطلبی در کانال منتشر کنند در رابطه با راهنمایی تقلب در بازی و آیدیشون رو قرار بدند. در اولین فرصت مدیر محصول کوییز آو کینگز با آیدی فیک مخصوص خود به آن ها پیام خواهد داد. شاید باور این مطلب کمی سخت باشد که چنین تیمی تحت تاثیر جریان سازی ها قرار بگیرد اما این موضوع کاملا حقیقت دارد. چه اطلاعات غلطی که داده شد در رابطه با ربات از سمت افرادی که خود کاربران قدیمی ابزارهای تقلب بودند یا فردی که با مخالفت بنده برای استفاده از ربات مواجه شده و اعلام آمادگی برای بستن ربات کرده بود و چه مسدود کردن کاربرهای بازی به خاطر پیشنهاد های نفر اول بازی، این تیم همیشه بدترین تصمیم ها رو گرفته و کاربران زیادی تحت تاثیر این تصمیمات غلط بوده اند.
- تیم کوییز آو کینگز در نسخه های قبلی بازی از ابزار تقلب کسب درآمد داشته. به این صورت که بازیکنان استفاده کننده از این نسخه ها بعد از 2 روز بازی قبل از ایجاد بازی جدید با پیغام بروزرسانی بازی مواجه میشدند اما بعد از خرید سکه از فروشگاه کوییز آو کینگز، این محدودیت به مدت 2 روز از بین میرفت و دوباره بعد از 2 روز نشان داده میشد.
- بازیکنان یکی از تیم های مورد حمایت کوییز آو کینگز در داخل بازی که تاثیر زیادی بر روی خط مشی و نحوه رفتار مدیران کوییز آو کینگز با بقیه بازیکنان داره، قبل از کشف و تست آسیب پذیری های سمت کلاینت بازی از باگی استفاده میکردند که به اون ها اجازه شروع بازی گروهی رو قبل از اتمام بازی قبلی میداده. اما بعد از اینکه متوجه استفاده این باگ توسط افراد دیگری میشند، موضوع رو به کوییز گزارش میدند. در واقع سیاست های این گروه بر این اصل استوار هست که ابزار تقلب یا باید دست اون ها باشه و یا دست هیچ کس.
- و نکات دیگری که درصورت ادامه این روند توهین به شخصیت و شعور کاربران عزیز، به مراجع مربوطه به صورت مستند ارائه خواهد شد.
بنده از تیم کوییز آو کینگز تقاضا میکنم نسبت به آزاد سازی تمام اکانت های مسدود شده بر اساس آیپی سرور فایروال اقدام کرده و از کاربرانی که به ناحق و غلط آبروشون رو دست مایه تمسخر گروه های متقلب تحت حمایت تیم در بازی قرار دادند عذرخواهی و دلجویی کنند. همچنین برای افزایش امنیت به عنوان فعال در این حوزه توصیه میکنم از روش های حرفه ای و درست مانند برنامه های باگ بانتی به جای جاسوسی با اکانت های فیک و تهدید و ترعیب افراد استفاده کنند. بنابه گفته مدیر عامل شرکت روزانه 3000 تراکنش مالی در کوییز آو کینگز اتفاق میوفته، یک درصد حاصل از این مبلغ به عنوان باگ بانتی مشکلات زیادی رو حل میکنه.
ذکر این نکته ضروری است که افراد بیگانه و تیم های خارج از کشور هر روز در پی کشف باگ ها و مشکلات امنیتی اپلیکیشن ها و وبسایت های ایرانی هستند و موارد زیادی دسترسی های غیر مجاز به سیستم های بانکی و سامانه های آنلاین و حتی آفلاین (ویروس استاکس نت) داشته و دارند. اتفاقات اخیر نظیر افشای اطلاعات ثبت احوال و افشای اطلاعات 42 میلیون اکانت تلگرام همگی از سوی این افراد و تیم ها برای اولین بار منتشر شده اند. صد البته که از وجود این آسیب پذیری ها در همان روزهای آغازین اطلاع پیدا کرده و بعد از پالایش داده های به دست آمده اقدام به انتشار اخبار مربوط نموده اند. در صورتیکه سیاست شرکت کوییز آو کینگز و شرکت های مشابه، انکار، سرکوب، تهدید و ترعیب فعالین حوزه امنیت در داخل کشور و سیاست مراجع قضایی حمایت از این شرکت ها باشد، فعالین داخلی وظایف میهن دوستی و خدمت به وطنشون رو از خاطر خواهند برد، چرا که جریمه و مجازات به جای تقدیر و تشکر حاصل این وطن پرستی جوانان دلسوز و با استعداد می شود.
در پایان امیدوارم قوانینی از سوی مسئولین محترم وضع شه برای حمایت از حقوق کاربران ایرانی که رنج و زحمت و دلخوشی چند سالشون در یک دقیقه و با اشتباه یک تیم غیر حرفه ای نابود نشه. در این روزهای کورونایی که مردم تشویق به ماندن در خانه شده اند نباید به خاطر این اشتباهات تحریک به حضور در مجلس شورای اسلامی برای گرفتن حق تضییع شده شان شوند. از وبسایت هایی مانند دیجیاتو و کافه بازار هم تقاضا دارم حریم شخصی و حقوق کاربران ایرانی رو فدای روابط دوستانه با شرکت های مختلف نکرده و خبرهای مربوط به کشف آسیب پذیری های موجود در اپلیکیشن های ایرانی رو منتشر کنند تا این آسیب پذیری ها از طریق افراد بیگانه با اهداف نادرست کشف و منتشر نشوند همچنین این کار باعث تقویت فرهنگ گزارش آسیب پذیری ها بین افراد فعال در داخل کشور میشود.