#帳號填充攻擊
深受喜愛的遊戲公司寶可夢在檢測到駭客企圖後要求玩家重設密碼
《寶可夢》是一款廣受歡迎的遊戲系列,在全球擁有數億玩家。3月20日,根據Tech Crunch的報道,寶可夢公司(The Pokémon Company)偵測到針對部分使用者的駭客攻擊後,重設了這些使用者帳號密碼。上週,神奇寶貝官方支援網站上出現了一條警報,稱在試圖破壞我們的帳號系統後,寶可夢主動鎖定了可能受到影響的粉絲的帳號。如果您無法登入您的寶可夢訓練傢俱樂部帳號,請按照此處的說明重設您的密碼。”然而該警報現已被刪除。
在警報刪除後,該公司發言人Daniel Benkwitt解釋說,駭客沒有嘗試存取寶可夢本身,只是針對一些用戶的一系列駭客攻擊嘗試。「帳號系統沒有受到破壞。我們所經歷和發現的是駭客登入某些帳號。為了保護我們的客戶,我們重置了一些的密碼。」Benkwitt進一步表示,只有 0.1% 的駭客目標帳號實際上受到了威脅,並重申該公司已經強迫受影響的用戶重置密碼,因此對於那些沒有被要求重置密碼的人來說,他們沒有任何的影響。據了解,對寶可夢帳號的攻擊是以帳號填充(Credential stuffing)的攻擊手法,其中惡意駭客使用從某項服務的資料外洩中獲取到的用戶名和密碼,並在其他網站上重複使用它們,這種攻擊能夠在短時間內危及許多帳號。
最近的一個類似事件的例子是去年10月基因檢測公司 23andMe 發生的事情,在那起事件中,駭客利用其他資料外洩事件洩露的密碼入侵了大約 14,000 個帳號(即 0.1%的用戶資料遭到存取)透過入侵這些帳號,駭客存取數百萬 23andMe 帳號持有者的敏感基因資料。這促使該公司推出強制雙重認證,一種防止撞庫攻擊的安全功能。另外根據 TechCrunch,寶可夢公司沒有允許用戶在其帳號上啟用雙因素驗證。