黑客不一定非要侵入网络以损害游戏公司, 有时只要胁迫合适的人与之合作。Rolox游戏公司最近被雇员将用户数据访问权出售给了黑客。一位匿名攻击者透露,该名黑客贿赂了流行网络游戏 Roblox 的雇员,访问了游戏后端的客户支持面板,可以查询玩家的个人信息,获得游戏内的虚拟货币。他们贿赂了Roblox客户支持代表以访问在线游戏平台的客户支持面板。入侵者可能会看到Roblox用户的电子邮件地址,可以更改其密码,去除两因素身份验证甚至禁止用户。
作为全球知名的UGC多人在线创作社区,Roblox获得了多数游戏都难以企及的发展速度,并受到广大玩家喜爱。目前,Roblox已经是一个有着超过200万活跃开发者的社区,月活跃玩家已超1.2亿,月互动时间长达15亿小时,同时在线用户峰值高达400万。而Roblox编辑器(Roblox studio)则是一款非常易上手的游戏开发引擎,任何开发者都可以用它进行创作,且可以将作品一键发布在全球Roblox上,并由此获得可观收入。据官方统计,2019年开发者的总收入超过1亿美金,Roblox顶级开发者的年收入高达千万美金!
黑客声称,这样做仅仅是为了“证明一个观点”。作为证据,他们提供的照片显示了少数游戏玩家信息的细节。但是,这并不是严格的道德行为-犯罪者一旦发现声称存在漏洞赏金(针对不存在的漏洞)的企图显然并没有发生,黑客就更改了两个帐户的密码,出售了用户的游戏装备并更新了两因素设置。
毫不奇怪,工作室对此很不高兴。一位发言人说,它急于“解决问题”并警告受影响的客户。它还将罪魁祸首报告给HackerOne错误赏金计划进行调查。该事件造成的损失很小,但突显了遭受社会工程攻击的风险(即掠夺有权使用关键控制措施的工人)的风险在增加。 SIM卡交换和类似方案经常利用宽松的验证流程和低价客户服务代表来获得他们原本无法获得的访问权限。除非公司找到阻止员工受贿的方法,否则将来很容易看到此类事件。