《要塞英雄》出現漏洞!傳駭客可盜取玩家帳號、資料與遊戲貨幣

「加三嘻行動哇 Yipee! 成為好友」

FacebookYoutubeTwitterInstagramTelegramLine

全球擁有近 8000 萬玩家的知名線上動作生存遊戲《 Fortnite 要塞英雄》驚傳有漏洞!駭客可透過漏洞取得使用者的使用者帳號和個人資訊,進而使用儲存記錄的支付方式購買虛擬遊戲貨幣,而且這款遊戲的所有玩家都可能會成為該漏洞的受害者。

發現漏洞的是 Check Point 的研究人員,Check Point 透露這漏洞一旦遭到利用,攻擊者便能完全獲取使用者帳號和個人資訊,並利用他們登錄的支付方式來購買虛擬遊戲貨幣。此外,該漏洞還可能導致隱私被大肆侵犯,因為攻擊者可以偷聽受害者在遊戲時的聊天對話,甚至在家中或其他遊戲場所周圍的聲音和對話。《要塞英雄》玩家此前曾遭遇欺騙攻擊,引誘他們登錄承諾生成《要塞英雄》“V-Buck”遊戲貨幣的虛假網站,而且這些新漏洞在玩家無需提供任何登錄細節的情況下便能被駭客利用。

研究人員在 Epic Games 的網路基礎設施中發現了三個漏洞缺陷,藉以探悉攻擊者如何同時利用基於權杖的身份驗證流程(token-based authentication process)和如Facebook、Google和Xbox的單一登入 (SSO) 系統盜取用戶訪問憑證和帳號。

玩家只要點擊來自 Epic Games 網域、攻擊者精心設計的看似透明的網路釣魚連結便會受到攻擊。點擊該連結後,使用者即便沒有輸入任何登錄憑證,攻擊者也可輕鬆捕獲其《要塞英雄》的身份驗證權杖。Check Point 研究人員指出,Epic Games 兩個子域中發現的易遭到惡意重定向影響的潛在漏洞,將導致駭客能通過受攻擊的子域攔截用戶的合法身份驗證權杖。

Check Point產品漏洞研究主管Oded Vanunu表示:「《要塞英雄》是線上玩家中最熱門的遊戲之一。這些缺陷為駭客大肆侵犯隱私提供了可乘之機。我們近日還在無人機製造商DJI大疆所用的平台中發現了漏洞,顯示雲端應用極易遭受攻擊和破壞。這些平台擁有大量的敏感客戶資料,因而被越來越多的駭客所窺伺。實施雙重因素身份驗證能夠幫助緩解這種帳戶被竊取的漏洞。」

Check Point 已經向 Epic Games 通知了該漏洞(現已修復)的存在。Check Point 和 Epic Games 建議所有使用者在交換數位資訊時保持警惕,並且在與他人進行線上互動時養成安全的網路習慣。 對於在使用者論壇和網站上看到的資訊連結,使用者應當對其合法性保持懷疑的態度。

為了最大限度地降低此類漏洞帶來的威脅,用戶應當啟用雙重因素身份驗證,確保在新設備上登錄帳戶時,需要輸入發送到帳戶持有人電子信箱中的驗證碼。同樣重要的是,家長應讓孩子們意識到網路詐欺的威脅,並提醒他們網路犯罪分子將會不擇手段地獲取玩家線上帳戶中的個人和財務資訊。

延伸閱讀:

AV-TEST 公佈 2018 年 12 月 Windows 10 資安防毒軟體排行榜

iPhone FaceTime 爆「監聽」嚴重漏洞!Apple 緊急修復並關閉 FaceTime 功能

違反 GDPR 個資法首罰,Google 遭法國重罰 5,000 萬歐元

3D列印打造超逼真真人頭像,竟然能解除 Samsung、LG 等 Android 旗艦手機

22款 Android App 藏後門,會自動點擊廣告耗盡手機電量

圖片及資料來源:Check Point Software Technologies Ltd.

好友人數

大家對網站文章上的一個讚、+1及轉分享,都是對我們的最好的鼓勵及繼續下去的原動力,請大家不要吝嗇。

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料

下一頁

Sony 推出高音質線性錄音器 PCM-D10

週四 1 月 31 , 2019
「加三嘻行動哇 Yipee! 成為好友」 【Facebook、Youtube、Twitter、Ins […]
Shares