stok fotoğraf, PeterPhoto123.
stok fotoğraf, PeterPhoto123.

Oyuncular dikkatli olun: Çevrimiçi hesaplarınız bilgisayar korsanları için kolayca seçilebilir.

Ağustos sonunda, Riot Games'in popüler çevrimiçi başlığı "League of Legends" oynayan binlerce kişi verilerinin çalındığını öğrendi. Bilgisayar korsanları, oyuncuların çevrimiçi hesaplarına, adlarına, e-posta adreslerine ve kredi kartı numaralarına erişti.

Hack'ten sadece iki hafta önce oyun şirketi Crytek, web sitelerini kapattı ve üyelerinin hesaplarını geçici olarak askıya aldı. Crytek herhangi bir çevrimiçi oyun çalıştırmaz, ancak taraftarlar forumlara ve haber güncellemelerine erişmek için web sitesinde kullanıcı hesapları oluşturabilir. Hackerların Crytek'in sistemlerine, üyelerin kişisel bilgilerini çalmalarına izin veren giriş verilerini aldıkları anlaşılıyor.

Ve Haziran ayında oyun şirketleri Ubisoft, Konami, Club Nintendo ve Bohemia Interactive'in hepsi benzer saldırılar gördü.

DAHA: Zorlu Oyuncular için En İyi 10 Mobil Oyun

Bu, kullanıcılarının hesap bilgilerinin üç ay içinde ele geçirildiği en az altı büyük oyun şirketi anlamına geliyor. Bu bir trend mi? Veri güvenliği şirketi Vormetric'ten Derek Tumulak evet diyor.

Bu, tüm bu saldırıların arkasında aynı grubun olduğu anlamına gelmez. Aksine, Tumulak, güvenlik ihlallerinin aceleciliğinin, oyun şirketlerinin güvenliği yeterince ciddiye almadığını gösterdiğini savundu.

Tumulak, Tom's Guide'a verdiği demeçte, "Oyun şirketleri güvenliği düşünmüyor" dedi. "Oyun deneyimi hakkında düşünüyorlar. Güvenlik daha sonradan akla gelen bir şeydir. "

Bu tür bir gözetimden suçlu olan tek kişi oyun şirketleri değil. Bununla birlikte, genel olarak, diğer şirket türleri veri güvenliklerini yükseltmede çok daha başarılı olmuştur.

Tümulak, "Finans kuruluşları nihayet [güvenlik konusunda] daha ciddileşti." Dedi. "Ayrıca öncelikle ağ güvenliğine odaklanmışlardı. Veri merkezli güvenlik sonradan akla gelen bir şeydi. Ama bu son birkaç yılda değişti. "

Yüksek profilli video oyun şirketi web sitelerine girilen kırılmalar göz önüne alındığında, bu sektörün bazı temel güvenlik derslerinden kesinlikle yararlanabileceği görülüyor.

Parola nasıl kırılır

Tumulak, bu şirketlerin birçoğunun güçlü çevre güvenliğine sahip olduğunu, yani güvenlik duvarlarını, şifrelemeyi ve diğer savunma sistemlerini aşmanın çok zor olduğunu belirtti. Bununla birlikte, veri güvenlikleri zayıftır, yani kötü niyetli saldırganların bir kullanıcı adı ve parola edinmesi ve daha sonra hiçbir şeye "saldırmadan" kendilerini sisteme girmeleri oldukça kolaydır. Bir kapıya vurmakla çalıntı bir anahtarla içeri girmesine izin vermek arasındaki fark budur.

Saldırganların kullanıcı adlarını ve şifreleri edinme yollarından biri, kimlik avı yapmak veya insanları gerçek gibi görünen e-postalar ve web siteleri aracılığıyla hesap bilgilerini açıklamaları için kandırmaktır. Örneğin, resmi görünen bir adresten bir e-posta alabilirsiniz, ancak daha yakından incelendiğinde birkaç mektup iptal olur.

Kimlik avı, teknolojik olarak çok karmaşık bir saldırı değildir, ancak saldırganlar yemi yeterince iyi gösterebilirlerse, birkaç saf insanın ısırması kaçınılmazdır.

Ubisoft'un sistemlerine giren bilgisayar korsanları, bunu bir çalışanın oturum açma kimlik bilgilerini çalarak başardılar, şirket bir blog gönderisinde doğruladı. Bu, bir kimlik avı saldırısının kullanıldığını gösteriyor.

Kullanıcı adlarını ve şifreleri elde etmenin diğer bir tekniği kaba kuvvet saldırısı olarak adlandırılır. Bu da oldukça basittir: Saldırganlar, olası her harf ve sayı kombinasyonunu deneyerek doğru bir kullanıcı adı / şifre kombinasyonunu tahmin etmeye çalışan bir tür program kullanır.

Club Nintendo'nun güvenlik ihlali Görünüşe göre bir kaba kuvvet saldırısından kaynaklanıyor: Bir ay içinde, web sitesi 15,5 milyon giriş denemesi gördü ve bu, normal sayılarından çok büyük bir artış oldu. Bu girişimlerden 23.926'sı başarıyla giriş yaptı.

Güvenlik uzmanı ve blog yazarı, "Belki de en endişe verici olan şey, Club Nintendo web sitesinin müşteri hesaplarına girme girişimleriyle bombalandığı süredir" Graham Cluley blogunda.

"Böyle uzun süreli bir saldırının yaklaşık bir aydır fark edilmeden gitmiş olabileceğini ve Nintendo’nun güvenlik ekibinin kötü idaresini önerdiğini hayal etmek zor."

Konami'nin güvenlik ihlali ile ilgili açıklaması, kullanıcılarının kimliklerinin ve şifrelerinin üçüncü taraf bir hizmet sağlayıcı tarafından sızdırıldığını ileri sürdü. başarısız oturum açma girişimlerinde büyük bir artış gördüklerini itiraf etti 13 Haziran ile 7 Temmuz arasında, bu da onların kaba kuvvet saldırısıyla vurulduğunu gösteriyor.

Saldırılara karşı korumanın kolay yolları

Şirketlerin kaba kuvvet saldırılarına karşı koruma sağlamasının bir yolu, belirli bir web sitesindeki oturum açma girişimlerinin sayısını yakından izlemektir. Sitenin yöneticileri başarısız oturum açma girişimlerinde ani bir artış görürlerse, büyük olasılıkla bir kaba kuvvet saldırısının ortasındalar.

İki faktörlü doğrulama ayrıca herhangi bir sisteme güçlü bir koruma katmanı ekler. İki faktörlü doğrulama uygulandığında, bir kullanıcı adı ve şifre ile giriş yapan kişiler kullanıcı adıyla ilişkilendirilmiş cep telefonuna mesaj olarak gönderilen rastgele oluşturulmuş bir kod girmeniz istenir hesabı. Bu şekilde, yalnızca kullanıcı adları ve parolalar için kimlik avı, bir hesabın güvenliğini ihlal etmek için yeterli olmaz.

DAHA: 2 Adımlı Doğrulamayı Açma

Tumulak, oyun şirketlerinin de herhangi bir hesap sahibine, hatta yöneticilere bile sistem içinde çok fazla güç vermekten kaçınması gerektiğini öne sürüyor. Bu şekilde, bilgisayar korsanları üst düzey bir hesabın güvenliğini ihlal etse bile, verebilecekleri zarar miktarı yine de sınırlıdır.

Tümulak, "Sistem yöneticisi olarak işimi yapabilmem gerekiyor." Dedi. "Ancak diğer kullanıcıların verilerine [e-posta adresleri ve kredi kartları gibi] gerçekten erişmem gerekiyor mu? Bu cevap genellikle hayırdır. "

Hata tamamen oyun şirketlerinde değil. Birçok kişi, çevrimiçi oyun hesaplarının güvenliğinin, özellikle de hesaplarla ilişkili herhangi bir kredi kartı verisi yoksa çok önemli olmadığını düşünüyor. Ancak kısa, basit parolalar, kaba kuvvet saldırısında ilk düşenlerdir.

Dahası, bilgisayar korsanları, oyun sitelerinden elde edilen bilgileri daha da önemli hesaplara girmek için kullanmaya devam edebilir. Örneğin, oyun siteleri, bankacılık veya e-ticaret hesapları için daha iyi kimlik avı dolandırıcılıkları oluşturmak için kullanılabilecek kullanıcıların adlarını ve e-posta adreslerini depolar.

Ayrıca, hesaplarınız arasında aynı parolayı veya aynı parolanın farklı biçimlerini kullanırsanız, Bilgisayar korsanları, bir oyun sitesine girerek elde ettikleri şifreyi daha önemli sitenize girmek için kullanabilir. hesaplar.

Tumulak, "Bu oyun şirketlerinde çıta [güvenlik açısından] düşük." Dedi. "İçeri girmek, bu [hassas] bilgiyi almak, dışarı çıkmak ve bu bilgiyi daha sonra daha değerli bir şekilde kullanmak çok kolay."

Eposta [email protected] veya onu takip et @Hayalhanemersin. Bizi takip et @Filmdenkare, üzerinde Facebook ve üzerinde Google+.

  •  Lost Planet 3 İnceleme
  • Video Oyunları Saldırganlığa Neden Oluyor - Bu Araştırmalara Göre
  • Gerçekten Paranoyak için 13 Gizlilik ve Güvenlik İpucu