Az Akamai negyedéves biztonsági jelentésének legújabb kiadása a szokásos statisztikák mellett részletesen tárgyalja a digitális játékokat érintő aggodalmakat, IT-biztonsági fekete lyuknak nevezve magát az iparágat is. A hálózati és cloud szolgáltatásokban utazó amerikai vállalat értékelése alapján az online játékokból eredő támadási vektorok egyre gyakrabban bukkannak fel a biztosági incidensekkel kapcsolatban, és ez nem csak a szegmensen belül működő oldalakat vagy szolgáltatásokat érinti.

Ezek persze önmagukban iis széles felületet kínálnak a támadóknak: az Akamai adatai szerint az elmúlt közel másfél évben 12 milliárd úgynevezett credential stuffing próbálkozást azonosítottak a játékos weboldalak ellen. A credential breach néven is hivatkozott módszer lényege, hogy a bűnözők nem közvetlenül próbálkoznak a magas pénzügyi kockázatot kezelő (és ezért robusztus biztonsági megoldásokat alkalmazó) banki vagy e-kereskedelmi oldalakon, hanem megszerzik a fiókadatokat és jelszavakat a gyengén védett felületekről, aztán azokkal az azonosítókkal kísérleteznek a tényleges célpontoknál.

Az egyre népszerűbb módszer arra a felismerésre épül, hogy még mindig sokan vannak, akik több szolgáltatásban is ugyanazokat a belépési kulcsokat használják: a Google szerint például tízből hat felhasználó újrahasznosítja a jelszavait. Nem véletlen, hogy egy-egy ilyen adatszivárgás nyomán a címek, a felhasználónevek és a hozzájuk tartozó jelszavak megjelennek a neten és a dark weben, ahol eladásra kínálják a listákat. Ezekre támaszkodva aztán robotokkal próbálgatják a belépéseket, hogy siker esetén átvegyék a fiókok irányítását, vagy egyszerűen tovább értékesítsék az így szerzett adatokat.

Mindent a felhasználók kékényelméért

A credential stuffing próbálkozások szempontjából a játékipar két szempontból is vonzó célpont. Egyrészt maguk a kiadók sem kockáztatják saját bevételeiket körülményes azonosítási eljárásokkal, és az új termékek kibocsátásának különlegesen szűkös határidői sem kedveznek a biztonsági szempontoknak. Másrészt a játékipart szinte mindenki alacsony pénzügyi kockázatú területként kezeli, és ennek megfelelő lazasággal bánik a jelszavaival - ehhez jönnek még az olyan csatornák, mint mondjuk a játékos fórumok, amelyeket többnyire hobbiból üzemeltet valaki, és ennek megfelelően esetlegesnek tekinthető, hogy az adminisztrátorok hogy állnak mondjuk a biztonsági frissítésekkel.

Az egész jelenséget összefüggésbe helyezi, hogy a Yahoo vagy a Target évekkel ezelőti adatlopásai a mai napig bizonyíthatóan hatással vannak a máskülönben tőlük teljesen független oldalakra. A VentureBeat vonatkozó riportja arra is felhívja a figyelmet, hogy a BeyondTrust felmérése szerint az üzleti szereplők majdnem kétharmada már tapasztalt az ellopott felhasználói azonosítókkal való visszaéléseket, miközben 62 százalékuk szerint a szóban forgó információt a bűnözők egy harmadik fél rendszeréből szerezték meg valamilyen módon.

A játékipar szereplői mindezek alapján komoly kihívás előtt állnak, ha nem akarják elvadítani az előfizetőiket bonyolult biztonsági procedúrák bevezetésével, mégis számottevően fejleszteni akarják szolgáltatásaik biztonsági szintjét. Minderre a beszámoló éppen a Microsoftot hozza fel pozitív ellenpéldaként, ahol az Xbox-ökoszisztémába már átülteték azokat a szigorú biztonsági gyakorlatokat, amelyek a vállalat más termékeit is jellemzik. Ennek kiváló indikátora, hogy az online feketepiacon szinte nem is találni Xbox-os felhasználói azonosítókat. Az egész iparágra jellemző probléma mindenesetre gyorsan eszkalálódik, és egyelőre nem mutatkozik sok jele egy küszöbön álló változásnak - az Akamai éppen ezért jelentette most be, hogy következő jelentéseiben kiemelt figyelemmel követi majd ezt a területet.