全球领先网络安适解决方案供给商 Check Point® 软件科技有限公司的研究人员近日发布了《营垒之夜》缝隙详情。《营垒之夜》是一款非常受欢迎的在线战斗游戏，这款游戏的所有玩家都可能会成为该缝隙的受害者。
 
《营垒之夜》在全球拥有近 8000 万玩家，受到所有游戏平台玩家的热捧，包孕 Android、iOS、Microsoft Windows 电脑以及 Xbox One 和 PlayStation 4 等游戏机。除了业余玩家外，《营垒之夜》也是职业玩家进行在线游戏直播的骄子，而且也深受电竞喜好者的欢迎。
 
缝隙一旦遭到操作，打击者便能够完全获取用户帐号和小我私家信息，以及使用受害者的付出卡采办虚拟游戏货币。别的，打击者还可大举侵犯隐私，例如偷听游戏聊天以及受害者家中或其他游戏场所周围的声音和对话。尽管《营垒之夜》玩家此前曾遭遇欺骗打击，即引诱他们登录答理生成《营垒之夜》“V-Buck”游戏货币的虚假网站，但这些新缝隙无需玩家供给任何登录细节便能够被黑客操作。
 
研究人员概述了打击者如何通过在《营垒之夜》用户登录过程中发明的缝隙来获取用户帐号。研究人员在 Epic Games 的网络根本设施中发明了三个缝隙缺陷，得以探悉打击者如何同时操作基于令牌的身份验证流程和单点登录 (SSO) 系统（如Xbox）偷取用户访谒凭证和帐号。
 
玩家只要点击来自 Epic Games 域名、颠末精心设计的网络垂钓链接便会受到打击，虽然链接看起来很正常，但倒是打击者发送的。点击该链接后，用户即便没有输入任何登录凭证，打击者也可轻松捕获其《营垒之夜》的身份验证令牌。Check Point 研究人员称，Epic Games 两个子域名中的缺陷孕育产生的潜在缝隙极易遭到恶意重定向，从而导致用户的合法身份验证令牌被黑客通过受到打击的子域名拦截。
 
Check Point中国区总经理陈欣暗示：“《营垒之夜》是在线玩家中最风行的游戏之一。这些缺陷为打击者大举侵犯隐私供给了可乘之机。我们近日还在主流无人机制造商所用的平台中发明了缝隙，这些缺陷和缝隙说明云应用极易遭受打击和粉碎。这些平台拥有大量的敏感客户数据，因此，为越来越多的黑客所窥伺。实施双重因素身份验证能够辅佐缓解这种账户窃取缝隙。”
 
Check Point 已经向 Epic Games 通知了该缝隙（现已修复）的存在。Check Point 和 Epic Games 建议所有用户在交换数字信息时连结警惕，并且在与他人进行线上互动时养成安适的网络习惯。  对付在用户论坛和网站上看到的信息链接，用户该当对其合法性连结怀疑的态度。
 
企业必需对其 IT 根本设施进行全面和按期的安适查抄，确保过期和不用的网站或访谒点已经下线。别的，对已经不使用但仍然在线的过期网站或子域名进行审查也是可取的做法。
 
为了最大限度地降低此类缝隙带来的威胁，用户该当启用双重因素身份验证，确保在新设备上登录账户时，需要输入发送到账户持有人电子邮箱中的验证码。同样重要的是，家长让孩子们意识到网络欺诈的威胁，并警告他们网络犯法分子将会不择手段地获取玩家在线账户中的小我私家和财务信息。
 
该缝隙的完整技术分析详见 Check Point Research 博客：  https://research.checkpoint.com/hacking-fortnite/