Herní průmysl ve válce s hackery

Počet kyberútoků roste napříč všemi organizacemi bez ohledu na odvětví nebo velikost. Na konci září dosáhl průměrný týdenní počet kyberútoků na jednu organizaci historického maxima.

Roste i počet rekreačních hráčů i profesionálních týmů, herní hity se prodávají po milionech a YouTubeři, točící o hrách, stejně jako závodní hráči, jsou celebritami. A kam se přesouvají peníze, tam se přelévá i zájem hackerských skupin.

V posledních týdnech, měsících a letech jsme viděli řadu bezpečnostních incidentů a útoků. Hrozby můžeme rozdělit do několika kategorií. Hráči i herní společnosti by měli znát rizika, aby se proti nim mohli bránit.

• Ransomwarové útoky: Hackeři dobře vidí, kolik peněz se v herním průmyslu točí, a že se jedná o lukrativní cíle. Zašifrovat data, ukrást zdrojové kódy a jiné citlivé informace a vydírat herní společnosti není bohužel v posledních letech ojedinělé. Výkupné se přitom pohybuje v milionech dolarů. Oběťmi ransomwarových útoků byly například Capcom, tvůrce populárních her Street Fighter, Mega Man, Resident Evil, Devil May Cry a Monster Hunter, nebo společnost CD Projekt Red, která vytvořila hity jako Zaklínač nebo Cyberpunk 2077.

• Úniky dat: Jiný přístup zvolili hackeři, kteří napadli Electronic Arts nebo Rockstar. Ze systémů herního giganta Electronic Arts (EA) bylo ukradeno 780 gigabajtů dat, včetně herního enginu Frostbite, na kterém běží oblíbené hry jako FIFA, Madden, Battlefield a řada dalších. Jak ukázal nedávný případ, na podobné útoky není potřeba ani dobře placená a organizovaná skupina. Například 17letý hacker, který dříve napadl Uber, vydíral autory očekávaného herního megahitu GTA VI. Nejdříve zveřejnil desítky videí a vyhrožoval zveřejněním dalších citlivých materiálů. Sice byl dopaden, ale jeho útok měl vliv na cenu akcií i důvěru hráčů.

• DDoS útoky: V posledních měsících sledujeme DDoS útoky ve jménu politických cílů, ale pořádnou komplikací mohou být i pro herní společnosti. Naposledy se o tom přesvědčil Blizzard při představení multiplayer hitu Overwatch 2. Problémy s připojením a výpadky mohou řadu hráčů odradit a mohou se odrazit i na negativním hodnocení. Motiv není zřejmý, ať už se jednalo o snahu pomstít se za změny v herním designu, tedy sofistikovanější alternativu k review bombingu, nebo to mohla být snaha o vydírání, případně konkurenční boj. Jak velký problém mohou být přehlcené servery jsme viděli třeba u Outriders. A pokud se k náporu hráčů přidají i hackeři, může být i rozjezd slibného titulu ohrožen.

Přečtěte si také:

Růst mezd nedožene inflaci, IT specialisté stále chybí

• Krádeže účtů a herních předmětů: Na hráče číhá v herním světě řada hrozeb. Phishing, sociální inženýrství i zranitelnosti. Útočníci se snaží vylákat z obětí přihlašovací údaje nebo platební informace a napodobují při tom oficiální zprávy a stránky známých společností a organizací a nabízí nejrůznější odměny a novinky. Některé phishingové podvody jsou ale podstatně sofistikovanější. Útočníkům se například povedlo hacknout přímo podporu významné herní společnosti 2K, takže podvodné e-maily byly rozesílané oficiální cestou. Někdy hráči nemusí útočníkům ani skočit na jejich triky, aby přišly o své virtuální bohatství.
  • Check Point v minulosti odhalil zranitelnosti v populární hře Fortnite, které mohli hackeři zneužít ke krádeži účtů, dat a peněz nebo k odposlechům a špehování.
  • Zranitelnosti byly objevené také v herním klientovi Origin společnosti Electronic Arts. Ohroženo bylo více než 300 milionů hráčů a v případě zneužití by zranitelnosti mohly vést ke krádeži hráčských účtů a identit.
  • Čtyři nebezpečné zranitelnosti měla také síťová knihovna Steam, populární online platforma od Valve, která nabízí hry jako Counter Strike: Global Offensive, Dota 2 nebo Playerunkown´s Battlegrounds. Steam využívají miliony hráčů a na platformě jsou tisíce her od velkých i nezávislých vývojářů. Pokud by zranitelnosti nebyly opravené, mohli by útočníci zneužít chyby k pádu herních klientů, převzetí kontroly nad protihráčovým počítačem nebo všemi počítači připojenými k herním serverům třetích stran.
  • Své o riziku ztráty účtu a herních předmětů ví i čeští hráči. Například Martin „zur1s“ Sláma na turnaji CS:GO přišel v živém přenosu o herní účet. Nejen že nemohl pokračovat v turnaji, ale ještě mu byly ukradeny herní předměty za 300 tisíc korun.

• Krádeže platebních údajů: Herní komunita je zvyklá používat moderní technologie a má zkušenosti s mikrotransakcemi a online platbami, což je pro útočníky velmi lákavý cíl. Hackeři jsou chytří a když se dostanou k finančním informacím, často převádí malé částky po dlouhou dobu, aby se minimalizovalo riziko odhalení. Hráči by tak měli být dobře zabezpečení, aby je nenachytal žádný malware sledující stisknuté klávesy nebo bankovní trojan.

• Žádosti o přátelství: Na žádosti o přátelství na Facebooku od nejrůznějších falešných účtů jsme si zvykli, ale v herním světě, speciálně u dětí, to nemusí vyvolat stejné podezření. Společný zájem o videohry totiž zvyšuje důvěru a snižuje obezřetnost. Falešní herní přátelé mohou zkoušet různé triky, včetně žádostí o dárečky ve hrách koupené za reálné peníze a podobně nebo přesměrování přátel na podvodné hry.

• Těžba kryptoměn: Herní počítače jsou i vděčným terčem různých malwarů těžících kryptoměny, takže by hráči měli být velmi obezřetní, aby nepřišli o významnou část výkonu, kterou někdo jiný využije pro svoje obohacení.

• Chytrá herní příslušenství: Moderní klávesnice, kamery a další herní příslušenství by mohlo být v případě úspěšného útoků zneužito k odposlouchávání hráčů, špehování kamerou a podobně. Je nutné si uvědomit, že z herního světa to do toho reálného může být jen na vzdálenost pár kliknutí.

• Nebezpečí může číhat i ve hrách: například v letošním megahitu Elden Ring bylo v multiplayer verzi možné najít část zbroje „Deathbed Smalls“. Jednalo se o spodní prádlo, kterým hráči mohli ukázat, že si věří a jsou tak zkušení, že nepotřebují brnění. Problém byl, že Deathbed Smalls v Elden Ring vůbec neměly být a byly součástí sady, která byla ze hry před vydáním vyškrtnuta. Některým hráčům se ale povedlo toto vybavení do hry vrátit a když jiný hráč ve hře Deathbed Smalls zahodil a jiný našel, hrozilo mu zabanování, protože předmět spustil ochranu proti podvodům. Následně sice byla vydána záplata a aktualizace, ale i když v tomto případě hráči mohli přijít „jen“ o svůj progres a desítky odehraných hodin, je to ukázka, že by v budoucnu mohly hrozby a vydírání směrovat i tímto směrem.