又被盜帳號？電子遊戲產業為什麼安全漏洞多

根據網路傳輸與雲端服務公司 Akamai 的數據顯示，電子遊戲產業依然面臨安全漏洞日益嚴重的威脅。駭客在17個月內，對遊戲網站發動了120億次憑證填充攻擊 (credential stuffing attacks) 。模擬器復古遊戲網站 Emuparadise，就是最近承認遭受過憑證填充攻擊的遊戲社群。

為什麼遊戲產業資安薄弱？

在有重大財務風險的產業（如銀行或電子商務），會把密碼儲存在強大的雜湊演算法（hashing algorithms）機制中，讓密碼難以被破解。從而阻止網路犯罪份子使用最簡單、最快的破壞系統方法：憑證填充攻擊 (credential stuffing attacks) 。根據趨勢科技網站，憑證填充攻擊是自動化登入網路服務的一種攻擊技巧。使用各種偷來的帳號密碼，搭配自動化腳本不斷嘗試登入，直到某一組帳號成功為止。

憑證填充攻擊的興起，是因為人們在多個帳戶中使用同一組密碼的結果。Google 發現有 59% 的網路使用者重複使用密碼。發生個資外洩時，個人憑證會被公開，隨後可以在網際網路或暗網找到。網路犯罪份子會使用程式嘗試登錄網站帳戶，當成功存取帳戶後，他們可以佔有帳戶或是把資料出售給其他有心人士。

遊戲有這麼多資安漏洞的原因有兩個：第一、大多數電子遊戲公司使用認證相對簡單的「Low-friction authentication」，因為認證過程太繁瑣會導致客戶流失，造成收入損失。第二、從消費者的角度來看，遊戲被視為較低的財務風險。因此遊戲玩家傾向使用安全性較低的密碼。除了上述兩點以外，遊戲開發人員還面臨要趕在交期前完成產品的壓力，這意味著犯罪人士可以利用遊戲中更多Bug和安全問題來入侵。

除了憑證填充攻擊之外，遊戲論壇也是另一個駭客喜歡攻擊的地方。論壇是了解更多遊戲的攻略或技巧的地方，但其中許多論壇都是免費的，論壇擁有者通常是利用業餘時間來經營。即使在伺服器端有提供安全更新，但是終究還是需要論壇管理員來更新程式和維護論壇。免費論壇的經營通常是依靠熱情，而非全職工作，所以有很多安全更新會漏掉，這種情況並不少見。因此，駭客可以很容易入侵大多數免費遊戲論壇，並且因為很多人在多個網站使用重複密碼，電子遊戲網站的個人憑證不只用在攻擊遊戲帳戶，還用來攻擊其他產業的帳戶。

遊戲玩家需要重視隱私、隱私還是隱私

相當多遊戲玩家是年輕人，包括小學、初中和高中的年紀，他們不太注重資訊安全，容易信任在網路遇到的人。保護隱私對他們來說，是一項需要學習的技能，防止他們被公開利用。最好就是讓他們了解個資外洩的風險，以及避免使用過度簡單的遊戲帳號密碼。例如《要塞英雄》（Fornite）的密碼，就不要再用什麼 Fortnite2019、BattleRoyale 或 NoNoobies等。

提供流暢的線上體驗在數位時代尤其重要，因此許多組織不願意實施強大的安全認證，以免流失客戶。電子遊戲產業面臨的挑戰是在增加安全性與流暢之間找到平衡，不會讓玩家厭煩。微軟在安全認證方面做得不錯，可以開啟二階段驗證的 Steam 也值得學習。如果遊戲玩家和遊戲產業沒有意識到資安問題的嚴重性，安全漏洞只會愈來愈嚴重，必須改變目前有問題的作法。

參考原文：Gamesbeat