堡垒之夜出现重大漏洞,攻击者可接管用户帐号

22.png

近期,Check Point安全研究人员在全球大热游戏堡垒之夜中发现多个安全漏洞,其中一个高危漏洞可以让远程攻击者通过钓鱼的方式非法接管玩家帐户。

据报告显示,堡垒之夜的安全漏洞包括SQL注入、跨站脚本(XSS)、防火墙绕过等问题,其中做严重的是OAuth帐户非法接管漏洞。

对于一款全球玩家超过8000万,且广受好评的在线游戏来说,帐号安全可以说是各项网络安全的重中之重。特别是在eBay上,一个高级的堡垒之夜帐户可以卖到50000美元以上。

堡垒之夜允许玩家使用第三(SSO)方平台(如Facebook、Google、Xbox和PlayStation帐户)登录自己的游戏帐号。而据安全研究人员称,通过跨站脚本(XSS)漏洞和在Epic Games(堡垒之夜开发公司)子域上的重定向漏洞相结合,攻击者可以精心设计一个钓鱼链接来窃取用户的身份验证令牌。

一旦钓鱼攻击成功,攻击者就可以访问玩家的个人信息,购买游戏中的虚拟货币,购买游戏设备,然后将其转移到其他帐户。

33.png

Check Point的研究人员在他们近期发表的博客中解释到:“用户通过信用卡所购买的游戏内货币可被攻击者在现实世界中出售。”

“而且,我们也已经观测到了类似的钓鱼诈骗的行为。”

攻击者甚至可以看到受害者在游戏中的社交行为和联系方式。这极有可能造成受害者的隐私泄露。

而其中一个Epic Games的SQL注入漏洞,可能会让攻击者识别出后端所使用的MySQL数据库的版本。

44.png

视频网址:https://youtu.be/poQmRWWh45s

此外,安全研究人员还能够绕过堡垒之夜所使用网络物理设备的Big-IP Application Security Manager(ASM)防火墙系统,成功施行跨站脚本攻击。

Check Point的安全研究人员早在12月中旬就通知了Epic Games的开发人员,希望其尽快修复堡垒之夜的漏洞。

Check Point和Epic Games建议所有游戏用户在面对可疑信息以及可疑链接、网页时保持警惕,切勿随意点击以及泄露自己的敏感信息。

为了进一步提升安全性,Epic Games还建议玩家启用双因素认证(2FA),在登录游戏时输入发送到其电子邮件的安全代码。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://thehackernews.com/2019/01/fortnite-account-hacked.html
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐