Java史詩級Bug：玩家信息泄露淪為挖礦肉雞 《我的世界》等知名游戲成重災(zāi)區(qū)

攻擊方法極其簡單，在游戲的在線聊天中，發(fā)送一條帶漏洞觸發(fā)指令的消息，就可以對收到這條消息的用戶發(fā)起攻擊。

目前，黑客已從攻擊廠商升級為攻擊個人用戶，且攻擊態(tài)勢仍在加劇。由于Apache Log4j 2的漏洞將會嚴(yán)重影響所有使用Java作為開發(fā)語言研發(fā)產(chǎn)品的安全性，導(dǎo)致該漏洞覆蓋面極廣、利用方式簡單、影響時間深遠(yuǎn)，對整個互聯(lián)網(wǎng)行業(yè)及網(wǎng)民日常生活帶來極大安全威脅。網(wǎng)絡(luò)安全專家預(yù)警，若該漏洞的傳播攻擊范圍未得到及時控制，其破壞力或?qū)⒖氨?017“永恒之藍(lán)”病毒。

Apache Log4j遠(yuǎn)程代碼執(zhí)行漏洞，存在遞歸解析功能，未取得身份認(rèn)證的用戶也可以遠(yuǎn)程發(fā)送數(shù)據(jù)請求，攻擊者僅需要一串代碼，就可以輕松觸發(fā)漏洞，遠(yuǎn)程控制目標(biāo)服務(wù)器，并在目標(biāo)上執(zhí)行任意的代碼。

遠(yuǎn)程控制的黑客可以利用該漏洞引導(dǎo)受害者去做任何指令，包括安裝插件、盜號、盜取資料等等高危行為，危害用戶網(wǎng)絡(luò)、財產(chǎn)安全，風(fēng)險極大。

該漏洞操作之簡單，涉及范圍之光也是罕見的，幾乎90%以上的基于JAVA開發(fā)的平臺都會受到影響。而本次受影響的平臺有Steam、Apple Cloud等，其影響可見一斑。

《我的世界》JAVA版本作為一個基于java平臺開發(fā)的游戲，自然也無法幸免，攻擊者可以在Minecraft的服務(wù)器和終端用戶設(shè)備上執(zhí)行惡意代碼。

12月11日12時起，平均每小時有近5000個mincraft玩家遭到攻擊，最高峰時段每小時有超過10000個玩家遭到了攻擊。

據(jù)傳，游戲中被攻擊的用戶的電腦會變成礦機(jī)，轉(zhuǎn)而為攻擊者盈利。但在昨天，隨著

Apache Log4i 2.15.0正式版本的發(fā)布，安全漏洞已經(jīng)被解決。

除了玩家，別人也在盯著你的游戲

本次攻擊導(dǎo)致海內(nèi)外幾乎所有Minecraft服務(wù)器全部關(guān)服維護(hù)避難，但是由于散播容易，導(dǎo)致很多人都收到了不同程度的影響，尤其有很多游戲主播在直播中，直接被遠(yuǎn)程控制，讓上萬玩家目睹了黑客的操作。

本次Apache Log4j 2漏洞攻擊，Minecraft 可以說是受到影響最大的游戲，這也顯現(xiàn)出來，安全問題無論是多么聲名在外的游戲，一樣需要重點考慮。

其實安全問題，在游戲行業(yè)圈里，太常見了，尤其是DDoS攻擊方式 ，由于成本低，門檻也低的特點，往往成為攻擊者的首選。

2021年針對游戲行業(yè)發(fā)起的DDoS攻擊次數(shù)占比49%，也就是說接近一半的攻擊是針對游戲行業(yè)的。

像微軟、索尼、暴雪等技術(shù)實力強(qiáng)勁的全球巨頭公司，也無法避免遭受黑客攻擊。

11月30日，《帝國神話》官方發(fā)布游戲服務(wù)器遭到了惡意攻擊，服務(wù)器短時間內(nèi)接受到大量偽造的刪除賬號的請求，進(jìn)而導(dǎo)致有部分用戶的角色數(shù)據(jù)丟失。

11月25日，暴雪聲稱遭到DDoS攻擊，導(dǎo)致游戲啟動平臺“戰(zhàn)網(wǎng)（Battle.net）”一直處于離線狀態(tài)，多款游戲均受到影響。而DDoS攻擊似乎已經(jīng)成為暴雪的“年貨”，每年都會被攻擊那么一兩次。

今年6月，游戲大廠EA被黑客竊取公司多個游戲的源代碼和軟件工具，雖未對游戲玩家和公司運(yùn)營造成實質(zhì)影響，但是也對海外游戲市場產(chǎn)生了相當(dāng)大的影響。

與大廠不同，獨(dú)立團(tuán)隊或者小的出海團(tuán)隊對于抗打擊能力明顯更弱一些。比如今年受影響最大的《弈劍行》，現(xiàn)在TapTap上有9.1的高分，可見游戲質(zhì)量上乘，但是就是這樣一個潛心研發(fā)3年的誠意之作，在游戲開服后不久，《弈劍行》的服務(wù)器就遭到了一個名為ACCN的黑客組織進(jìn)行的DDoS攻擊，導(dǎo)致服務(wù)器陷入癱瘓狀態(tài)，最后一款買斷制游戲團(tuán)隊只能忍痛免費(fèi)發(fā)布，經(jīng)濟(jì)損失無法估量。

今年遭受打擊的還有涼屋游戲的元?dú)怛T士，貓步游戲的通感紀(jì)元以及盛趣游戲旗下多款游戲等。一些游戲廠商也直接展示了黑客組織向自己發(fā)來的勒索郵件以及與黑客組織的對話。

可以看出，針對游戲行業(yè)的攻擊一直非常突出，如何防范針對游戲的DDoS攻擊和應(yīng)用層攻擊，防范用戶數(shù)據(jù)泄露的風(fēng)險，確保業(yè)務(wù)在當(dāng)?shù)氐臄?shù)據(jù)合規(guī)，保障游戲的連續(xù)性和穩(wěn)定性，是游戲出海成功的重中之重。

所以，游戲作為攻擊重災(zāi)區(qū)，在出海之前一定要選擇合適的服務(wù)商，保護(hù)好自己的產(chǎn)品，才能讓出海之路暢通無阻，打下過億流水的夯實基礎(chǔ)。