Epic Games сообщила о кибератаке хакеров, создающих фальшивые аккаунты через чужую почту

Компания работает над удалением этих профилей.

В закладки
Аудио

Ещё в 2018 году некоторые пользователи обнаружили, что при попытке зарегистрировать аккаунт Epic Games они получают отказ, поскольку их почта каким-то образом уже была привязана к существующему профилю.

12 апреля Epic Games сообщила Kotaku, что причина проблемы — до сих пор продолжающаяся кибератака, и компания уже какое-то время работает над удалением фальшивых аккаунтов с привязкой чужой почты.

Как рассказал Kotaku один из пользователей, аккаунт его знакомого, также столкнувшегося с проблемой, был назван tNpPldH7g. По всей видимости, профили создаются не вручную, а ботами.

Мы обнаружили атаку, в рамках которой создаются аккаунты Epic с использованием известных адресов через ботнет-сеть, насчитывающую более 500 тысяч устройств. Мы находимся в процессе удаления этих профилей и добавляем дополнительные шаги верификации на этапах создания аккаунта.

из письма Epic Games для Kotaku

Как сообщают некоторые пользователи, они часто получают письма на свой адрес с просьбой подтвердить почту, хотя не создавали аккаунт.

Чего пытаются добиться организаторы атаки — неясно. Журналисты Kotaku связались с двумя бывшими хакерами аккаунтов Fortnite, и те также не смогли дать объяснения, зачем это может кому-либо понадобиться.

12 апреля пользователи также обнаружили, что в сети появился список данных к 597 аккаунтам Fortnite, включая почту, пароль и скины, которые открыты в профиле. Пользователи Reddit стали подозревать, что внутренняя система аккаунтов Epic Games была взломана, однако инженер компании в своём ответе пояснил, что это не так.

Система аккаунтов, использующаяся Fortnite и Epic Games, не была взломана. Отдельные аккаунты были скомпрометированы в результате многочисленных попыток хакеров получить доступ к профилям Epic Games, используя комбинации почтовых адресов и паролей, слитых через бреши в безопасности других сайтов.

Профили, использующие те же адреса и пароли, что и на взломанных сайтах, уязвимы для этой атаки.

Всегда используйте отдельный пароль. Вдобавок к этому, использование многофакторной аутентификации повысит уровень защиты.

инженер Epic Games

По всей видимости, кибератака через ботнет-сеть и появившийся в сети список данных с других сайтов никак не связаны.

#epicgames

{ "author_name": "Даниил Ильясов", "author_type": "editor", "tags": ["epicgames"], "comments": 114, "likes": 42, "favorites": 2, "is_advertisement": false, "subsite_label": "gameindustry", "id": 46664, "is_wide": false, "is_ugc": false, "date": "Sat, 13 Apr 2019 12:10:35 +0300" }
{ "id": 46664, "author_id": 210, "diff_limit": 1000, "urls": {"diff":"\/comments\/46664\/get","add":"\/comments\/46664\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/46664"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 87855, "last_count_and_date": null }

114 комментариев 114 комм.

Популярные

По порядку

Написать комментарий...
1

На отдельный лаунчер с отдельным паролем
Всегда используйте отдельный адрес и пароль.

Это уже шИдевр, тащите бинго егс.

Ответить
59

Это основы сетевой безопасности, при чем тут егс?

Ответить
78

Отдельный пароль - да, адрес почты - нет.

Просто нехуй создавать конченые сервисы где можно зарегистрироваться на почту без подтверждения её обладания. Либо не требовать почту вообще, либо проверять.

Ответить
3

Как по мне система 20 секундных паролей в мобильном приложение стим весьма удобно.

Ответить
5

Ubisoft, к примеру, вообще не заморачивались - просто предлагают через google сервис такие же пароли генерить

Ответить
3

А принцип работы такой же. При чем это не сервис, а самостоятельное приложение. Впервые я о подобном узнал в контексте Battle.net, когда они еще физические брелки выпускали.

Ответить
0

Проснулся с утра с желанием создать конченый сервис... может всё-таки создадим хоть один... пожалуйста!

Ответить
20

Сколько же почт надо иметь тогда.

Ответить
26

пакет с пакетами, почтовый ящик с почтовыми ящиками.

Ответить
0

В гмейле ж можно привязывать почту к другим, не знаю есть ли там ограничение, но вроде как тебе на одну почту могут приходить письма с разных.

Ответить
5

И в итоге всё возвращается к первоначальному состоянию - взломали одну почту = читают все.

Ответить
0

В маил ру такой есть ) для ботов твича и стима использовал

Ответить
8

Их количество пропорционально тому, насколько сильно ты хочешь обезопасить свои аккаунты.

Ответить
2

Везде использую одну почту, почти везде - одинаковый пароль. Где оно требуется и возможно, привязал двухфакторную авторизацию, с тех пор ни разу не взламывали. Все эти тонны почт слишком напрягает, я уже забыл половину из того, что регал когда-то, так как часто забывал старые)

Ответить
1

Использовать одинаковый пароль - весьма опрометчиво, ибо уже неоднократно были случаи слива паролей даже у крупных фирм.

Поэтому я мастер пароль использую только на сервисах-однодневках, на которых потеря аккаунта ну вот вообще никак мне не повредит, даже если угонят, даже если сольют пасс в общий доступ и угонят все остальные акки с ноунейм форумов с таким паролем

Ответить
0

Использовать разные пароли - весьма проблематично, пока вспомнишь какой куда уже и поиграть расхочется.

Ответить
0

Просто добавляйте к паролю первую букву сервиса и точно не забудете)) если стим то : blablaS , battlenet : blablaB итд. Если основной пасс (blabla) серьезный, то вряд ли хакнут) только сливом.

Ответить
2

Ответил ниже — про почту моя ошибка просто

Ответить
–1

ванаби эксперты сетевой безопасности детектед

Ответить
1

Многие почтовые сервисы поддерживают алиасы, можно бесконечное количество адресов использовать на один ящик.
Например account+blabla@gmail.com

Ответить
8

Сижу на динамическом ИП. Стим время от времени просит ему коды кормить.

Ты реально считаешь, что даже если пользователь где-то засветил пару пароль-логин, то система должна авторизировать неизвестное устройство просто так?

Ответить
2

Я считаю, что не надо относиться халатно к паре логин/пароль, даже если поверх есть вторая ступень защиты. Ибо вы по определению ослабляете защиту аккаунта. А если думаете, что аутентификаторы полностью защищены от ошибок и взломов - ошибаетесь, уже были прецеденты, когда подобрать код аутентификатора было можно из-за ошибок в его генерации. И никто не застрахован, что не обнаружат новую уязвимость. Поэтому если аккаунт дорог - используйте все ступени защиты

Ответить
0

Я думаю, что доверять безопасность своих аккаунтов лишь неизвестным людям это слишком легкомысленно.

Ответить
5

Это всего еще один лаунчер, всего еще одна почта.
Скоро еще к каждому лаунчеру отдельный номер телефона надо будет иметь?

Ответить
–3

Какой впечатлительный крестьянин.

Ответить
8

Сотни тысяч людей на полном серьёзе используют везде один и тот же пароль, при этом даже не задумываясь, что это не очень безопасно

Ответить
19

Но пока что такую вышку, как заводить новую почту на каждый лаунчер придумали только в егс.

Ответить
4

Это ошибка с моей стороны, там не было про почту, на автоматике написал

Соответственно, уже исправлено

Ответить
1

Может стоит проверять текст: развести срач из-за такой ошибки...

Ответить
0

возможно им просто плевать, вы слишком верите в человечество.

Ответить
6

Как заказывали

Ответить
0

С нумерацией проблемы, не?

Ответить
–1

Это Евростандарт EGS

Ответить
0

Может корявость перевода.

Ответить
0

Как выяснилось - да.

Ответить
0

Там же нет слов про адрес, только про разные пароли идёт речь

Ответить
0

Ну может стоит ознакомиться с этой веткой сообщений и понять, что автор принёс свои извинения и поправил текст.

Ответить
27

Когда решался в EGS, обнаружил, что кто-то уже создал аккаунт за меня.
Сбросил пароль и написал в поддержку - а дайте данные о использовании аккаунта, вы же все равно должны их все хранить по GDPR, мне предложили сначала доказать, что я из ЕС.
По хорошему такие вещи должны делаться без запроса в поддержку, из интерфейса.
С тех пор не люблю EGS.

Ответить
4

Я когда хотел забрать там бесплатный Witness мой аккаунт тоже уже был создан. Я поменял никнейм и пароль и забрал игру. Вывод я для себя сдделал такой: если раньше я еще старался соблюдать нейтралитет, то теперь покупать я там тем более ничего не буду, поскольку беспокоюсь за свои данные, в особенности банковские.
Александр, у тебя-таки получилось получить от них ответ по сохраняемым данным? Мне как гражданину ЕС очень эта тема интересна и думаю тоже им написать.

Ответить
4

Удивительно, быдло-магазин ведёт себя как быдло.

Ответить
3

Об этом уже писали вроде - причём вроде обвиняли Суини что они сами регают их, а тот мол ничего подобного. Тем не менее я один из своих мейлов тоже обнаружил зареганным в EGS и при этом мне не валился спам на почту.

Ответить
2

Хехе, у меня тоже гмыло почта была зарегана, когда я забирал детроид. Я удивился, но не обратил особого внимания, а тут оно вон чо.

Ответить
23

Так так, и сколько же из этих лямов ботов? ( ͡°( ͡° ͜ʖ( ͡° ͜ʖ ͡°)ʖ ͡°) ͡°)

Ответить
8

Всего в онлайн-магазине Epic Games, по данным студии, зарегистрировано около 85 миллионов аккаунтов.

По-моему никаких хакеров не нужно спрашивать, чтобы сложить в голове 1+1 и сказать кто регистрирует пользователей в магазине и зачем.
Вообще тошно от этого всего. Каждый раз по новой как будто в бочку с говном окунаешься. Особенно вот от таких фразочек:
Мы находимся в процессе удаления этих профилей

Ну да, конечно. Удалять они будут. Я так и вижу, как в следующей презентации зарегестрированных пользователей оказывается не 85 миллионов, а, скажем, 50.

Вот кстати ссылка на ту новость:
https://dtf.ru/gameindustry/43810-40-polzovateley-epic-games-store-zayavili-chto-u-nih-ne-ustanovlen-steam

Ответить
4

Есть инсайд, что Галенкин лично регает все аккаунты. Это же так поможет ЕГС, ведь если без твоего ведома на твою почту будет создан акк, ты сразу скачаешь ЕГС и пару игр еще купишь.

Ответить
1

Ну да, это общеизвестный факт. Как и то, что Сталин всех лично расстреливал.

Ответить
2

А если серьезно в бекенде приложения с закрытым кодом, у которого прямой доступ к базе данных ничего не стоит создать условную кнопку которая по нажатии будет генерить 5к пользователей в день. Или сделать это без кнопки просто автоматически раз в день.
Я в принципе не склонен к теориям заговоров, но в данном случае очевидно, что кроме самих Эпиков это никому нахер не сдалось.

Ответить
19

Я сделаль

Ответить
13

Зарегистрируйтесь в EGS, чтобы узнать, использовали ли ваш email)

Ответить
5

Нет Галёнкин, на этот трюк я не попадусь )

Ответить
13

Меня давно бомбардируют вот такими письмами

Ответить
–3

Жиза, зарегился там бесплатную игру забрать, а на следующий день уже аккаунт сп..дили

Ответить
1

Зарегался ещё в июле 2016 с нормальным паролем. Ни разу не было заспама сообщений как у комментатора выше о невозможности в аутентификацию или о действиях, для которых требуется дополнительный код, поэтому именно в Вашей проблеме виноваты уж точно не эпики

Ответить
5

Действительно, пользуюсь одним и тем же паролем для всего с 2000 годов и нигде еще не взломали кроме дырявого маила.ру (еще в 2005) и в эпиксторе

Ответить
4

https://i.imgur.com/FalRFSR.png вот тут даже подобрали пароль или еще как, в общем пришлось менять пароль. А пароль состоял из 20 символов и он единственный на этот сайт

Ответить
0

Я давно уже там (анрил энжин), и проблемы были только с попыткой входа. Приходило письмо на почту, мол, это вы? А это не я. И пароль у меня 21-символьный, надёжный. Логин откуда-то из Сингапура был, вроде.
Так было примерно в районе запуска форточки и ещё спустя полгода. Оба раза менял пароль и пока что прекратилось

Ответить
0

Советую двухфакторку на мобильный через Google Authenticator привязать, у эпиков это есть

Ответить
2

Добрые стимобои пытаются донести мысль, что пора отречься от лжепророка EGS :D

Ответить
0

Такая же фигня, еще с начала 2018-го года сыпется, но я просто отфильтровал эти письма.

Ответить
0

Ошибся, с 2016 года даже.

Ответить
1

И никому из вас троих не пришло в ваши светлые умы написать в техподдержку эпиков и разобраться в чем дело?!

Ответить
7

Как бы похуй на них

Ответить
7

А с какой такой радости я должен разбираться в их системе аутентификации?
Если они не способны отфильтровать брутфорс, то о чем тут вообще говорить?

Ответить
0

И каждый раз добрые, светлые чувства к этому магазину испытываешь, да?

Ответить
–6

Я знаю что делают хакеры. Они дают понять, что сервис егс - ГАВНО.

Ответить
15

Я знаю что делают хакеры. Они дают понять, что сервис егс - ГАВНО.

Но ведь что бы это понять не нужно быть хакером!

Ответить
7

Если вкратце, хакеры хотят, чтобы эпики добавили верификацию по мейлу при регистрации.

Ответить
0

Она есть ...

Ответить
6

Не тут-то было: ни одно письмо от Эпиков не пришло (даже спам проверил), но какой-то чел из Тайланда зарегал акк на меня. Нужно мнение Сержа Галенье на этот счет

Ответить
6

А мне неделю назад защитники ЕГС втирали, что "Вы все врети, никто не ломает, это хейтеры ЕГС придумали утку!!!111"...

Ответить
–12

Epic Games вслед за Шрайером роняет отварную сосиску

Ответить
5

А могли бы потом всем сказать мол посмотрите сколько зарегестрированных пользователей в нашем магазинчике! Сколько этих молодых ребят которые пошли против тоталитаризма стима!)) Но нет, это просто дыра в системе, которой нет наверное больше и нигде :D

Ответить

Комментарий удален

–5

Ты доволен, Галенкин?

Ответить
3

А может EGS в боты записывает еще и тех, кто зарегался в их магазине, забирает игры на раздаче, а денег не платит?..

Ответить
1

Чем больше пользователей, тем выше акции.... но я вам этого не говорил.

Ответить
1

Epic Games — приватная компания. Нельзя их акций прикупить.

Ответить
2

Скажи это китайцам :D

Ответить
1

Ты просто не понимаешь, то, что купили часть компании — совсем не значит, что акции торгуются на бирже.

Смотри: https://www.bloomberg.com/research/stocks/private/snapshot.asp?privcapId=6095321

Если компания публичная, то тут курс акций, например: https://www.bloomberg.com/profile/company/NFLX:US

А так бы очень многие хотели бы сейчас их акций купить, очевидно, что после открытия магазина они вырастут.

Ответить
0

В июне 2012 года Tencent приобрела 40% бумаг за $330 млн. С тех пор в Epic вложились Disney и Endeavour.

Ответить
0

Я конечно это знаю, но ещё раз повторю — Epic Games не публичная компания, их акции нельзя пойти на биржу и купить. Если бы было можно, я бы давно купил, т.к. с таким количеством хайпа они бы дали за год процентов 100.

Ответить
0

С таким количеством скандалов я бы не советовал )
Однако фейковая клиентская база тоже часть этого хайпа. Как там они говорили " 85 миллионов и 40 процентов не пользует Стим"....

Ответить
0

Сейчас акции отлично торгуются на новостях, а новостей у EGS хоть попкой жуй и будет ещё больше.

Ответить
0

Только вот рынок умеет отличать негативные новости от позитивных

Ответить
0

Это не подкол и не наезд: у тебя есть акции? Просто то, что ты пишешь не очень к реальности имеет отношение.

Сейчас рынок сдвигается всё больше в сторону непрофессиональных частных инвесторов, которые следуют за хайпом и новостями, время профессиональных управляющих осталось в 90-х.

Ответить
0

И горят эти инвесторы как осенняя листва

Ответить
0

Ценное мнение о фондовом рынке. 😊

Ответить
0

Ну так

Ответить
1

Может, кто-то собирает на эти аккаунты временно бесплатные игры, чтобы в будущем торговать ими.

Ответить
3

Да там цена таких аккаунтов рублей 10

Ответить
2

Допустим, через пару лет EGS "взлетит", а ротации бесплатно раздаваемых игр не будет.

Ответить
1

В стиме таких видел

Ответить
0

Аккаунт кто-то мне так создал, игр на нем не было.

Ответить
2

Так вот значит в чем дело, у меня как раз почта оказалась там уже зарегистрирована, но писем никаких не приходило. Пароль от почты сложный и нигде больше не используется, да и меняю я его каждые несколько месяцев.

К одному из прошлых постов где отписывался сам Галенкин, этот вопрос с левыми регистрациями уже поднимали, несколько человек ему нам написали, спросили, но ответа не последовало.

Ответить
2

Потому что в эпике работают дауны. Об этой проблеме я писал им в службу поддержки. В ответ получал лишь отписки. Там до сих пор еще много багов. А в саппорте работают невменяемые аутисты.

Ответить
1

Когда твой реальный аккаунт у эпиков очень похож на это - tNpPldH7g, и ты сидишь и ждешь удаления.

Ответить
0

Наверняка можно будет переименовать аккаунт.

Ответить
1

Можно. Я как раз на таком аккаунте сменил пароль и переименовал.

Ответить
1

хакерами аккаунтов Fortnite

Че за формулировка

Ответить
1

Интересно. А не продавцы бесплатных игр это?

Ответить
1

Ещё в 2018 году некоторые пользователи обнаружили

12 апреля Epic Games сообщила Kotaku, что причина проблемы — до сих пор продолжающаяся кибератака

Т.е. с 2018 года они пинали Галекина, пытались разработать план по свержению стима, а кибератаку на свою платформу не остановили... И после этого они что-то хотят?

Ответить
0

У них что, при регистрации подтверждение на почту не отправляется? Как так то.

Ответить
2

Как-бы, у них даже поиска не было долгое время.

Ответить
1

Отправляется после регистрации. А с учётом недавней новости об одноразовых кодах со сроком протухания в 30 минут их вполне реально сбрутить.

Ответить
0

Сегодня суббота, а не воскресение... дайте отдохнуть.

Ответить
1

пришли более веселую картинку....со всем цитатниками Галенкина и Суини, пусть люди просвещаются... им надоело просвещаться от них.

Ответить
0

Если тебе так надоела тема егс, то почему ты заходишь и оставляешь комментарии, делая тем самым тему более популярной?

Ответить
1

обвешаюсь с тобой.

Ответить
0

Для общения предпочитаю вк и дискорд. Первое ты можешь найти у меня в профиле

Ответить
0

Но его главная особенность далеко не то, что там написано...

Ответить
0

Не всё коту масленица.

Ответить
0

Ни дня без новости про EGS, и слава богу!

Ответить

Комментарий удален

0

Через почту @epic.com? ( ͡° ͜ʖ ͡°)

Ответить
–2

На самом деле это тоже может быть выдумкой. Эпики сейчас посмотрят аккаунты - и те, где нет ни одной купленной игры, а только бесплатные, и где в фортнайте наиграно меньше 100 часов - те аккаунты забанят под предлогом, что они фейковые.

От эпиков запросто можно такого ожидать, вот запросто.

Ответить
0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjog" } } }, { "id": 10, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-250597-0", "render_to": "inpage_VI-250597-0-1134314964", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=clmf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudo", "p2": "ftjf" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvc" } } } ]
Хидео Кодзима оказался алгоритмом
машинного обучения
Подписаться на push-уведомления