Game over
Вы потеряли все свои объекты и не можете продолжить игру.
На красном экране выскочило вот это, как так?
Жук ник Dimga

Какой баг при обнове? Удалялись объекты только тех игроков, которые сували пароли во всякую шнягу.

И мы не собираемся ничего восстанавливать силами администрации за счёт наших донатеров.

Тут нужно логировать всё. Каждый запрос на удаление должен записываться: кто, когда, с какого IP, через какой API. Потом по этим логам легко найти дыру.

ZeNoM, всё залогировано только никому из-за этого не легче.

Сами встали раком, раздвинули булки, испытали последствия и нет ни одной причины, почему Вася должен зашивать.

Ах да, скрипт нашёл, вероятно, старый вариант удаления объектов из бета-версии, которого сейчас нет в основном интерфейсе. Но ключевая проблема именно в том, что предоставили доступ.

Спасибо за честность Василий. То есть,не было массового взлома системы. Не было бага в коде. Игроки сами просрали свои пароли. Слили их на фишинговых сайтах, ввели в поддельных приложениях, скачали софт для читов с троянами, или просто использовали один и тот же пароль везде, и он утек с другого ресурса.вот сейчас все понятно. Злоумышленники получили список логинов и паролей стандартная схема. Берут утекшие базы с других сайтов и проверяют, подходят ли они к срафту. Потом запустили скрипт который под каждым акаунтом ставил галочку удалить акаунт в настройках или удалял объекты через API. Система, следуя правилам, увидела, что аккаунт помечен на удаление, и выполнила эту команду. Игроки увидели Game Over. Так все было?

Да. Но вряд ли это что-то общее, скорее всего, какой-то скрипт специально для проекта "Xcraft".

И в полной безопасности находятся те, кто никуда свои пароли не вбивал.

Тут я с тобой согласен, Если вы начнёте восстанавливать аккаунты тем, кто просрал пароль, то создадите прецедент, можно не париться с безопасностью, админы всё равно потом вернут. И тогда такие атаки будут повторяться снова и снова,
Не восстанавливать всё и всем. Это реально невозможно.Но дать возмодность подать заявку на восстановление в индивидуальном порядке. С доказательствами,скриншоты, чеки донатов, история действий. Если человек докажет, что он, реальный владелец аккаунта, и что он не ставил эту галочку сам, почему бы не вернуть ему объекты из бэкапа? Это не за счёт донатеров, это просто работа админа.
Нужно сделать чтобы даже если пароль украдут, без кода из телефона ничего не удалить,хотя бы для донатеров Сделать рассылку всем : типа вы использовали слабую защиту. Вот как её усилить. Если повторится восстанавливать не будем. Таким образом, получишь плюс в карму: Мы не виноваты, но мы поможем тем, кто докажет, что он жертва.И при этом не понесеш потерь на восстановлении.

Ну это я так Василий, примерно написал,как я это вижу,может у кого и лучше есть предложения

Как это не виноваты? Если пароль дал кому то стороннему ты виновен 100%. И не важно живому человеку дал или скрипту. Ты сам, лично, санкционировал утечку личных данных.

Так и есть,но с точки зрения тех кого это не коснулось может выглядеть по другому,не все такие понятливые,поэтому пусть доказывают,раз сами слили данные,любители блин одинаковых паролей на всех ресурсах

Если человек, не умея пользоваться оружием, купил на руках пистолет и при чистке застрелился виноват производитель пистолета? С паролем та же самая штука. О компьютерной безопасности уже в школах даже учат, пора бы за 30 лет понять насколько это все серьезно.

Ты не правильно понял,не виноваты я это администрацию имел ввиду,а не пользователей,пользователь конечно виноват что пароль из срафта запиндюрил в другом ресурсе,я помню похожие случаи,что даже ресурс был благонадежным,но его подломили,и пароли утекли,а если пользователь куда попало идентичный пароль вводил как в срафте,то тут концов фиг найдешь