《要塞英雄》出现漏洞！CheckPoint揭露骇客可盗取玩家帐号、资料与游戏货币

全球网路安全解决方案领导厂商CheckPoint的研究人员近日公布了高人气线上动作生存游戏《要塞英雄(Fortnite)》的漏洞细节，这款游戏的所有玩家都可能会成为该漏洞的受害者。

《要塞英雄》在全球拥有近8000万玩家，受到所有游戏玩家的喜爱，包括Android、iOS、MicrosoftWindows电脑以及XboxOne和PlayStation4等平台。除了业余玩家外，《要塞英雄》也是职业玩家进行线上游戏直播的宠儿，并且深受电竞爱好者的欢迎。

漏洞一旦遭到利用，攻击者便能完全获取使用者帐号和个人资讯，并利用他们登录的支付方式来购买虚拟游戏货币。此外，该漏洞还可能导致隐私被大肆侵犯，因为攻击者可以偷听受害者在游戏时的聊天对话，甚至在家中或其他游戏场所周围的声音和对话。《要塞英雄》玩家此前曾遭遇欺骗攻击，引诱他们登录承诺生成《要塞英雄》“V-Buck”游戏货币的虚假网站，而且这些新漏洞在玩家无需提供任何登录细节的情况下便能被骇客利用。

CheckPoint概述了攻击者如何利用在《要塞英雄》用户登录过程中发现的漏洞来获取用户帐号。研究人员在EpicGames的网路基础设施中发现了三个漏洞缺陷，借以探悉攻击者如何同时利用基于权杖的身份验证流程(token-basedauthenticationprocess)和如Facebook、Google和Xbox的单一登入(SSO)系统盗取用户访问凭证和帐号。

玩家只要点击来自EpicGames网域、攻击者精心设计的看似透明的网路钓鱼连结便会受到攻击。点击该连结后，使用者即便没有输入任何登录凭证，攻击者也可轻松捕获其《要塞英雄》的身份验证权杖。CheckPoint研究人员指出，EpicGames两个子域中发现的易遭到恶意重定向影响的潜在漏洞，将导致骇客能通过受攻击的子域拦截用户的合法身份验证权杖。

CheckPoint产品漏洞研究主管OdedVanunu表示：「《要塞英雄》是线上玩家中最热门的游戏之一。这些缺陷为骇客大肆侵犯隐私提供了可乘之机。我们近日还在无人机制造商DJI大疆所用的平台中发现了漏洞，显示云端应用极易遭受攻击和破坏。这些平台拥有大量的敏感客户资料，因而被越来越多的骇客所窥伺。实施双重因素身份验证能够帮助缓解这种帐户被窃取的漏洞。」

CheckPoint已经向EpicGames通知了该漏洞（现已修复）的存在。CheckPoint和EpicGames建议所有使用者在交换数位资讯时保持警惕，并且在与他人进行线上互动时养成安全的网路习惯。对于在使用者论坛和网站上看到的资讯连结，使用者应当对其合法性保持怀疑的态度。

企业必须对其IT基础设施进行全面和定期的安全检查，确保过期和不用的网站或访问点已经下线。此外，对已不使用但仍然在线的过期网站或子域进行审查也是可取的做法。

为了最大限度地降低此类漏洞带来的威胁，用户应当启用双重因素身份验证，确保在新设备上登录帐户时，需要输入发送到帐户持有人电子信箱中的验证码。同样重要的是，家长应让孩子们意识到网路诈欺的威胁，并提醒他们网路犯罪分子将会不择手段地获取玩家线上帐户中的个人和财务资讯。