又被盜帳號?電子遊戲產業為什麼安全漏洞多
根據網路傳輸與雲端服務公司 Akamai 的數據顯示,電子遊戲產業依然面臨安全漏洞日益嚴重的威脅。駭客在17個月內,對遊戲網站發動了120億次憑證填充攻擊 (credential stuffing attacks) 。模擬器復古遊戲網站 Emuparadise,就是最近承認遭受過憑證填充攻擊的遊戲社群。
為什麼遊戲產業資安薄弱?
在有重大財務風險的產業(如銀行或電子商務),會把密碼儲存在強大的雜湊演算法(hashing algorithms)機制中,讓密碼難以被破解。從而阻止網路犯罪份子使用最簡單、最快的破壞系統方法:憑證填充攻擊 (credential stuffing attacks) 。根據趨勢科技網站,憑證填充攻擊是自動化登入網路服務的一種攻擊技巧。使用各種偷來的帳號密碼,搭配自動化腳本不斷嘗試登入,直到某一組帳號成功為止。
憑證填充攻擊的興起,是因為人們在多個帳戶中使用同一組密碼的結果。Google 發現有 59% 的網路使用者重複使用密碼。發生個資外洩時,個人憑證會被公開,隨後可以在網際網路或暗網找到。網路犯罪份子會使用程式嘗試登錄網站帳戶,當成功存取帳戶後,他們可以佔有帳戶或是把資料出售給其他有心人士。
遊戲有這麼多資安漏洞的原因有兩個:第一、大多數電子遊戲公司使用認證相對簡單的「Low-friction authentication」,因為認證過程太繁瑣會導致客戶流失,造成收入損失。第二、從消費者的角度來看,遊戲被視為較低的財務風險。因此遊戲玩家傾向使用安全性較低的密碼。除了上述兩點以外,遊戲開發人員還面臨要趕在交期前完成產品的壓力,這意味著犯罪人士可以利用遊戲中更多Bug和安全問題來入侵。
除了憑證填充攻擊之外,遊戲論壇也是另一個駭客喜歡攻擊的地方。論壇是了解更多遊戲的攻略或技巧的地方,但其中許多論壇都是免費的,論壇擁有者通常是利用業餘時間來經營。即使在伺服器端有提供安全更新,但是終究還是需要論壇管理員來更新程式和維護論壇。免費論壇的經營通常是依靠熱情,而非全職工作,所以有很多安全更新會漏掉,這種情況並不少見。因此,駭客可以很容易入侵大多數免費遊戲論壇,並且因為很多人在多個網站使用重複密碼,電子遊戲網站的個人憑證不只用在攻擊遊戲帳戶,還用來攻擊其他產業的帳戶。
遊戲玩家需要重視隱私、隱私還是隱私
相當多遊戲玩家是年輕人,包括小學、初中和高中的年紀,他們不太注重資訊安全,容易信任在網路遇到的人。保護隱私對他們來說,是一項需要學習的技能,防止他們被公開利用。最好就是讓他們了解個資外洩的風險,以及避免使用過度簡單的遊戲帳號密碼。例如《要塞英雄》(Fornite)的密碼,就不要再用什麼 Fortnite2019、BattleRoyale 或 NoNoobies等。
提供流暢的線上體驗在數位時代尤其重要,因此許多組織不願意實施強大的安全認證,以免流失客戶。電子遊戲產業面臨的挑戰是在增加安全性與流暢之間找到平衡,不會讓玩家厭煩。微軟在安全認證方面做得不錯,可以開啟二階段驗證的 Steam 也值得學習。如果遊戲玩家和遊戲產業沒有意識到資安問題的嚴重性,安全漏洞只會愈來愈嚴重,必須改變目前有問題的作法。
參考原文:Gamesbeat