Java史诗级Bug:玩家信息泄露沦为挖矿肉鸡 《我的世界》等知名游戏成重灾区
从12月9日开始,大量黑客利用Apache Log4j 2漏洞攻击个人用户,其中Minecraft(即【我的世界】) Java版便是其中之一。
攻击方法极其简单,在游戏的在线聊天中,发送一条带漏洞触发指令的消息,就可以对收到这条消息的用户发起攻击。
目前,黑客已从攻击厂商升级为攻击个人用户,且攻击态势仍在加剧。由于Apache Log4j 2的漏洞将会严重影响所有使用Java作为开发语言研发产品的安全性,导致该漏洞覆盖面极广、利用方式简单、影响时间深远,对整个互联网行业及网民日常生活带来极大安全威胁。网络安全专家预警,若该漏洞的传播攻击范围未得到及时控制,其破坏力或将堪比2017“永恒之蓝”病毒。
Apache Log4j远程代码执行漏洞,存在递归解析功能,未取得身份认证的用户也可以远程发送数据请求,攻击者仅需要一串代码,就可以轻松触发漏洞,远程控制目标服务器,并在目标上执行任意的代码。
远程控制的黑客可以利用该漏洞引导受害者去做任何指令,包括安装插件、盗号、盗取资料等等高危行为,危害用户网络、财产安全,风险极大。
该漏洞操作之简单,涉及范围之光也是罕见的,几乎90%以上的基于JAVA开发的平台都会受到影响。而本次受影响的平台有Steam、Apple Cloud等,其影响可见一斑。
《我的世界》JAVA版本作为一个基于java平台开发的游戏,自然也无法幸免,攻击者可以在Minecraft的服务器和终端用户设备上执行恶意代码。
12月11日12时起,平均每小时有近5000个mincraft玩家遭到攻击,最高峰时段每小时有超过10000个玩家遭到了攻击。
据传,游戏中被攻击的用户的电脑会变成矿机,转而为攻击者盈利。但在昨天,随着
Apache Log4i 2.15.0正式版本的发布,安全漏洞已经被解决。
除了玩家,别人也在盯着你的游戏
本次攻击导致海内外几乎所有Minecraft服务器全部关服维护避难,但是由于散播容易,导致很多人都收到了不同程度的影响,尤其有很多游戏主播在直播中,直接被远程控制,让上万玩家目睹了黑客的操作。
本次Apache Log4j 2漏洞攻击,Minecraft 可以说是受到影响最大的游戏,这也显现出来,安全问题无论是多么声名在外的游戏,一样需要重点考虑。
其实安全问题,在游戏行业圈里,太常见了,尤其是DDoS攻击方式 ,由于成本低,门槛也低的特点,往往成为攻击者的首选。
2021年针对游戏行业发起的DDoS攻击次数占比49%,也就是说接近一半的攻击是针对游戏行业的。
像微软、索尼、暴雪等技术实力强劲的全球巨头公司,也无法避免遭受黑客攻击。
11月30日,《帝国神话》官方发布游戏服务器遭到了恶意攻击,服务器短时间内接受到大量伪造的删除账号的请求,进而导致有部分用户的角色数据丢失。
11月25日,暴雪声称遭到DDoS攻击,导致游戏启动平台“战网(Battle.net)”一直处于离线状态,多款游戏均受到影响。而DDoS攻击似乎已经成为暴雪的“年货”,每年都会被攻击那么一两次。
今年6月,游戏大厂EA被黑客窃取公司多个游戏的源代码和软件工具,虽未对游戏玩家和公司运营造成实质影响,但是也对海外游戏市场产生了相当大的影响。
与大厂不同,独立团队或者小的出海团队对于抗打击能力明显更弱一些。比如今年受影响最大的《弈剑行》,现在TapTap上有9.1的高分,可见游戏质量上乘,但是就是这样一个潜心研发3年的诚意之作,在游戏开服后不久,《弈剑行》的服务器就遭到了一个名为ACCN的黑客组织进行的DDoS攻击,导致服务器陷入瘫痪状态,最后一款买断制游戏团队只能忍痛免费发布,经济损失无法估量。
今年遭受打击的还有凉屋游戏的元气骑士,猫步游戏的通感纪元以及盛趣游戏旗下多款游戏等。一些游戏厂商也直接展示了黑客组织向自己发来的勒索邮件以及与黑客组织的对话。
可以看出,针对游戏行业的攻击一直非常突出,如何防范针对游戏的DDoS攻击和应用层攻击,防范用户数据泄露的风险,确保业务在当地的数据合规,保障游戏的连续性和稳定性,是游戏出海成功的重中之重。
所以,游戏作为攻击重灾区,在出海之前一定要选择合适的服务商,保护好自己的产品,才能让出海之路畅通无阻,打下过亿流水的夯实基础。
有关如何做好出海安全,扬帆出海曾经有过多场线下峰会讨论,比如系列峰会《扬帆出海闭门老友会》 以及国内首份 《游戏出海安全报告》,都可以帮助各位出海精英们更好地应对出海安全相关问题,而且扬帆出海的“年货”——《2021游戏出海白皮书》中也将包含有关游戏出海安全相关内容,敬请期待。
EVIE
往/期/回/顾
REVIEW