Il personaggio di Manfred è in piedi, immobile, nel mondo virtuale del gioco multiplayer online sci-fi del 2014 WildStar Online. Manfred, la persona reale che si cela dietro a quel personaggio, sta scrivendo dei comandi in un debugger. In qualche secondo speso a eseguire quello che sembra essere un hack semplicissimo, i soldi virtuali di Manfred si moltiplicano fino a raggiungere il valore di 18,000,000,000,000,000,000, o 18 quintilioni.

Sto guardando questo hack in un video demo registrato da Manfred mentre sono a fianco a lui in un bar a Las Vegas, lo scorso giovedì. Manfred, che mi ha chiesto di non rivelare il suo vero nome, mi spiega che ha passato gli ultimi 20 ad hackerare diversi videogiochi, tirando su uno stipendio reale sfruttando hack come quello a cui ho appena assistito. Il suo modus operandi cambia leggermente di gioco in gioco, ma, in pratica, consiste nel raggirare i sistemi di questi videogiochi per farsi dare oggetti o soldi a cui normalmente non si avrebbe diritto. In seguito, Manfred vende questi oggetti e queste somme di valuta virtuale ad altri giocatori (per soldi veri) o li vende in stock nei mercati ‘grigi’ online, come l’Internet Game Exchange, che procede poi a vendere i singoli beni ai giocatori.

All’attuale tasso di scambio, Manfred stima di possedere l’equivalente di 397 trilioni di dollari d’oro su WildStar. Ovviamente si tratta di una stima fuori misura, ma nei fatti le sue entrate sono limitate esclusivamente dal mercato reale per la valuta virtuale.

“Gli hack migliori sono quelli invisibili, perché cambi le regole senza che nessuno sappia cosa sta succedendo.”

Quando ho parlato a Manfred poco prima del suo talk alla Def Con hacking conference, ha detto che voleva entrare, fare la sua dimostrazione e andarsene via “come un fantasma,” così da essere dimenticato per sempre. Ha detto di voler rimanere “invisibile,” esattamente come lo è stato per i precedenti 20 anni. Ha spiegato di aver trovato più di 100 vulnerabilità pubbliche sconosciute in più di 20 videogiochi, rendendo l’hackig e il commercio di beni virtuali il suo lavoro full time.

A differenza della maggior parte degli hacker di videogiochi, Manfred non ha usato i trucchi per ottenere un vantaggio sui suoi avversari. Hackerava i videogiochi perché era il suo lavoro.

“Gli hack migliori sono quelli invisibili perché cambiano le regole del gioco senza che nessuno sappia cosa sta succedendo,” mi ha spiegato Manfred. “Quando hackeri dei videogiochi online, l’obiettivo principale è essere invisibili. Non vuoi interferire coi giocatori, non vuoi che l’azienda dietro al gioco scopra i tuoi hack. Non vuoi nemmeno che loro sappiano che ciò che tu stai facendo è possibile.”

Lo scorso sabato, Manfred è uscito dalle tenebre e ha raccontato la sua storia per la prima volta durante il suo talk. Inizialmente il suo piano consisteva nell’hackerare WildStar Online di fronte al suo pubblico, sfruttando delle vulnerabilità sconosciute, o zero-days, senza che il suo talk venisse registrato. Ciononostante gli organizzatori gli hanno detto che tutti i talk devono essere registrati, e così non ha potuto eseguire l’hack dal vivo.

Iniziando con Ultima Online, uno dei primi giochi multiplayer online di massa, Manfred ha scoperto modi per hackerare i giochi e per riuscire ad accumulare valuta virtuale o beni che poteva poi vendere su eBay.

Manfred, che si è rifiutato di dire a me o al pubblico quanti soldi ha fatto nella sua carriera, ha spiegato che non usava più i trucchi per battere gli altri giocatori. Invece, vedeva il suo lavoro più come un servizio: offriva acquisti in-app prima che gli acquisti in-app esistessero.

“Non mi piace chiamarli hack,” mi ha spiegato Manfred. “È un po’ come trovare delle caratteristiche non previste nel protocollo di gioco.”

Uno screenshot di WildStar. Immagine: NCSOFT

Il primo hack



Tutto è cominciato nel 1997, quando stava giocando a Ultima Online. Al tempo, ha detto Manfred, aveva solo una connessione dial-up, e veniva regolarmente sconfitto negli scontri con giocatori con connessioni migliori. Per compensare, ha cercato dei modi per hackerare il gioco.

Un giorno, ha scoperto un bug che avrebbe cambiato la sua vita. In Ultima Online c’era una pre-set, un numero finito di case che potevano essere create nel gioco, e per questo motivo erano una risorsa piuttosto preziosa. Manfred ha detto di aver trovare un modo per cancellare le case delle altre persone e impadronirsi dei loro bottini, così da costruire più case di quante normalmente avrebbe potuto fare.

Un giorno, mi ha detto Manfred, ha avuto l’idea di mettere in vendita su eBay un castello di Ultima Online e vedere se qualcuno l’avrebbe comprato. Alla fine l’ha venduto per quasi 2.000 dollari, secondo quanto ha detto (Ha anche spiegato di aver venduto circa 100 case per un prezzo medio di 2.000 dollari).

“Ehi, questi sono soldi veri!” ricorda di aver pensato Manfred. “Mi sono pagato il college così, ho venduto case e castelli su Ultima Online e mi sono pagato il college.”

Uno screenshot di Manfred, il cui personaggio è vestito di viola, mentre gioca ad Ultima Online dopo aver rubato una casa. (Immagine: Manfred)

Ma Ultima Online era solo l’inizio. Da allora, Manfred ha detto di aver trovato diversi modi per hackerare e trarre profitto da diversi giochi:Lineage 2, Shadowbane, Final Fantasy XI, Dark Age of Camelot, Lord of The Rings Online, RIFT, Age of Conan, Star Wars New Republic, Guild Wars 2, e molti altri.

In Dark Age of Camelot, per esempio, Manfred ha detto di aver trovato una falla che gli permetteva di sloggare e loggare nel gioco senza che il sistema se ne accorgesse, permettendogli così di clonare i suoi personaggi e i suoi oggetti a ripetizione.

“Potevo creare tutti i soldi che volevo. Né i giocatori né l’azienda di sviluppo sapevano cosa stava succedendo,” ha spiegato Manfred. “È stata una fonte di guadagno per 12 anni.”

“Non mi piace chiamarli hack, è un po’ come trovare delle caratteristiche non previste nel protocollo di gioco.”

Il più delle volte gli hack non venivano notati. C’è stata solo un’eccezione, con Shadowbane. Quel gioco, spiega Manfred, era semplicissimo da hackerare — gli hacker potevano inviare ai server del gioco qualunque tipo di dato e il gioco si fidava — a tal punto che il caos che lui e altri giocatori avevano creato era finito in un articolo di Wired del 2003.

“Quello è stato il mio ultimo hack malevolo,” ha detto Manfred. “Dopodiché sono sparito dai radar e mi sono assicurato che nessuno si accorgesse del mio operato.”

Manfred ha detto di credere di essere probabilmente l’unica persona a guadagnarsi da vivere hackerando videogiochi da così tanto tempo. Ma ci sono diverse altre persone che hackerano i giochi con l’obiettivo di vincere. E molti altri che lo fanno per i soldi, probabilmente, visto quanto semplici da usare siano alcuni degli hack che rilevato.

È il “wild west,” ora come ora, ha spiegato. “Ci sono un sacco di soldi da fare e ci sono molte persone che li fanno ogni giorno.”

Non si tratta solo di singoli hacker. Nel 2011, un gruppo di hacker è stato arrestato in Corea del Sud con l’accusa di lavorare in gruppo per hackerare videogiochi e generare guadagni per il governo nord coreano. La polizia sucoreana al tempo aveva riportato che il gruppo di hacker aveva fatto 6 milioni di dollari in due anni.

Uscire allo scoperto per il bene comune



Per Manfred, uscire ora allo scoperto è una chance per mostrare al mondo che i videogiochi devono gestire la loro sicurezza più seriamente. La maggior parte degli hack che ha fatto durante gli ultimi 20 anni, ha spiegato, facevano affidamento su bug molto simili.

“Giochi un gioco, trovi qualche falla, la sfrutti, vieni bannato e passi al prossimo gioco,” ha spiegato Manfred durante il suo talk.

Manfred ha anche spiegato di aver finito il suo percorso da hacker di videogiochi. Ha smesso lo scorso anno e ha trovato lavoro in un’agenzia di consulenza.

“È stato bello,” mi ha spiegato. Ma ha smesso perché il business model dei videogiochi è cambiato. Ora molte aziende fanno soldi sfruttando gli acquisti in-game, e non pensa che sia onesto competere con questa strategia economica.

“Non mi sentivo a mio agio,” ha spiegato.

Manfred ha deciso di segnalare la falla di Wildstar Online a NCSOFT, l’azienda di sviluppo, per farla riparare.