https://goo.gl/Nvjh6e 資安廠商「Check Point」今（30）日公布高人氣線上動作生存遊戲《要塞英雄》 (Fortnite)的漏洞細節，警告這款遊戲的所有玩家都可能會成為該漏洞的受害者。 《要塞英雄》在全球擁有近 8000 萬玩家，受到所有遊戲玩家的喜愛，包括Android、iOS 、Microsoft Windows 電腦以及 Xbox One 和 PlayStation 4 等平台。除了業餘玩家外 ，《要塞英雄》也是職業玩家進行線上遊戲直播的寵兒，並且深受電競愛好者的歡迎。漏 洞一旦遭到利用，攻擊者便能完全獲取使用者帳號和個人資訊，並利用他們登錄的支付方 式來購買虛擬遊戲貨幣。 此外，該漏洞還可能導致隱私被大肆侵犯，因為攻擊者可以偷聽受害者在遊戲時的聊天對 話，甚至在家中或其他遊戲場所周圍的聲音和對話。《要塞英雄》玩家此前曾遭遇欺騙攻 擊，引誘他們登錄承諾生成《要塞英雄》「V-Buck」遊戲貨幣的虛假網站，而且這些新漏 洞在玩家無需提供任何登錄細節的情況下便能被駭客利用。 資安廠商Check Point概述攻擊者如何利用在《要塞英雄》用戶登錄過程中發現的漏洞來 獲取用戶帳號。研究人員在 Epic Games 的網路基礎設施中發現了三個漏洞缺陷，藉以探 悉攻擊者如何同時利用基於權杖的身份驗證流程(token-based authentication process) 和如Facebook、Google和Xbox的單一登入 (SSO) 系統盜取用戶訪問憑證和帳號。 玩家只要點擊來自 Epic Games 網域、攻擊者精心設計的看似透明的網路釣魚連結便會受 到攻擊。點擊該連結後，使用者即便沒有輸入任何登錄憑證，攻擊者也可輕鬆捕獲其《要 塞英雄》的身份驗證權杖。Check Point 研究人員指出，Epic Games 兩個子域中發現的 易遭到惡意重定向影響的潛在漏洞，將導致駭客能通過受攻擊的子域攔截用戶的合法身份 驗證權杖。 Check Point產品漏洞研究主管Oded Vanunu表示：「《要塞英雄》是線上玩家中最熱門的 遊戲之一。這些缺陷為駭客大肆侵犯隱私提供了可乘之機。我們近日還在無人機製造商 DJI大疆所用的平台中發現了漏洞，顯示雲端應用極易遭受攻擊和破壞。這些平台擁有大 量的敏感客戶資料，因而被越來越多的駭客所窺伺。實施雙重因素身份驗證能夠幫助緩解 這種帳戶被竊取的漏洞。」 Check Point 已經向 Epic Games 通知了該漏洞（現已修復）的存在。Check Point 和 Epic Games 建議所有使用者在交換數位資訊時保持警惕，並且在與他人進行線上互動時 養成安全的網路習慣。 對於在使用者論壇和網站上看到的資訊連結，使用者應當對其合 法性保持懷疑的態度。 -- 本田未央親自傳授抽到灰限奏的秘訣 本田未央：沒有一台轉蛋機是能真正做到完全隨機的，若能進階領會機率的運算方式， 加上能透徹瞭解系統心理，以及懂得特定代碼的個性，就能大大地降低變數， 我至少懂得58種技巧，能將看似無限生成的隨機數組，減化至最低的合理變數。 本田未央：不過說起來簡單做起來難，所以我通常都是直接花錢抽到有比較快 島村卯月：根本就只是靠金錢的力量而已阿(ﾟДﾟ;) -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.134.147.188 ※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1548836523.A.8E3.html