SG.hu·
Már nem csak fiókokat, hanem teljes Roblox-játékokat lopnak el a hackerek
A hackerek régóta támadják a Roblox-fiókokat, hogy megszerezzék a játékosok értékes tárgyait, amelyek olykor több tízezer valódi dollárt is érhetnek. Egyeseknek azonban ez már nem volt elég. Mostanra a támadók Roblox-fejlesztői fiókokat törnek fel, és teljes videojátékok, illetve digitális világok tulajdonjogát lopják el.
Több Roblox-fejlesztő - vagyis olyan ember, aki a Roblox platformra készít játékokat, és sok esetben ebből él - számolt be újságíróknak arról, hogy ez történt velük. Több esetben a fejlesztők azt állították, hogy a Roblox ügyfélszolgálata addig nem segített visszaszerezni a játékaikat, amíg egy lap nem fordult a vállalathoz hivatalos megkereséssel.
Ioannis Matziaris elmondta, hogy két húszéves fia öt éven keresztül építette a több mint 12 ezer taggal rendelkező The Shadow Network nevű játékot. Áprilisban valaki állásajánlattal kereste meg Christost, az egyik fiút, és rábeszélte, hogy futtasson egy bizonyos fájlt. A fájl valójában kártevőt tartalmazott. „Néhány órán belül megszerezték a teljes Roblox-csoportunk tulajdonjogát, áthelyezték a fő játékunkat egy általuk létrehozott új csoportba, és ellopták a Robuxunkat” - mondta Matziaris. Elmondása szerint a család felvette a kapcsolatot a Roblox ügyfélszolgálatával, valamint DMCA-alapú eltávolítási kérelmet is benyújtott a vállalathoz, de semmilyen választ nem kaptak. „Ez már nem egyszerű beaming” - mondta Matziaris arra a gyakorlatra utalva, amikor a hackerek feltörik az áldozatok fiókjait, hogy ellopják a tárgyaikat. „Ez egy szervezett csoport, amely játékokat lop el, újra közzéteszi őket, és gyanútlan fejlesztőket toboroz arra, hogy lopott munkákon dolgozzanak.”
A Roblox sok ember számára jóval több egy játéknál: üzlet. Miközben maga a Roblox vállalat a platformot működteti, gyakorlatilag bárki készíthet rá saját játékot. Egyes ilyen alkotások rendkívül népszerűvé válnak. Ilyen például a Grow a Garden, amely nemcsak a Roblox egyik legsikeresebb játéka, hanem önmagában is a videojáték-ipar egyik nagy sikertörténete. A fejlesztők ezeket a játékokat játékon belüli tranzakciókkal monetizálják. Egyes Roblox-fejlesztők millió dollárokat keresnek, és saját stúdiókat hoznak létre.
Nem teljesen világos, hogy a támadók pontosan mit akartak kezdeni az ellopott játékokkal: egyszerűen csak a Robuxot akarták megszerezni (ez a Roblox hivatalos virtuális pénzneme), vagy a játékok népszerűségét próbálták volna pénzzé tenni. Az azonban könnyen érthető, miért lehet vonzó célpont egy sikeres játék átvétele. Matziaris szerint a támadás után a Roblox elutasította a család tulajdonjogi igényét a játékra, mondván: „Nincs arra utaló jel, hogy a csoport tulajdonjogát a fiók kompromittálása miatt ruházták volna át.” Amikor a 404Media megkereste a Robloxot az ügyben, a vállalat megváltoztatta álláspontját. „Aggasztónak találtuk ezt a konkrét esetet, és visszaállítottuk a játékot a tulajdonosának” - közölte nyilatkozatában a cég.
A Roblox hozzátette, hogy több biztonsági mechanizmust is alkalmaz. „Több biztonsági mechanizmussal rendelkezünk, köztük az Enhanced Protectionnel, amely a kétlépcsős hitelesítés legbiztonságosabb változata, és kifejezetten arra szolgál, hogy kiküszöbölje az olyan hitelesítési pontokon alapuló támadásokat, mint az adathalászat vagy a hitelesítő adatok tömeges kipróbálása. Az Account Session Protection alapértelmezetten minden felhasználónál aktív, és azáltal védi a webes munkameneteket, hogy azokat egy adott eszközhöz köti. Sajnos egyik módszer sem képes teljesen megszüntetni a fióklopások kockázatát, különösen akkor, ha a rosszindulatú szereplők ráveszik a felhasználókat arra, hogy saját eszközeiken kártékony szoftvereket futtassanak vagy nem megbízható kódokat hajtsanak végre. Folyamatosan dolgozunk új megelőzési megoldásokon, és aktívan ösztönözzük a felhasználókat a biztonsági ajánlások betartására, beleértve azt is, hogy ne kattintsanak ismeretlen feladóktól érkező hivatkozásokra, és ne töltsenek le tőlük fájlokat.”
Matziaris családja nem az egyetlen érintett. Mohamed Kaparoza, egy másik fejlesztő azt mondta a 404Mediának, hogy őt is feltörték. „Discordon keresztül kerestek meg olyan személyek, akik azt állították, hogy projektmenedzserként szeretnének alkalmazni a játékukhoz. A beszélgetés során arra kértek, hogy telepítsek egy robase nevű Python-csomagot, amelyet az adatbázisukhoz és projektkezelő eszközeikhez kapcsolódó komponensként mutattak be. Nem sokkal a telepítés után kijelentkeztettek a Roblox-fiókomból mind a számítógépemen, mind a telefonomon. Azt is észrevettem, hogy a Discord-fiókomat ugyanebben az időszakban kompromittálták. Ezután a kétlépcsős hitelesítést és a passkey-beállításokat is megváltoztatták az engedélyem nélkül, a játékomat és a csoportomat pedig egy másik felhasználóhoz helyezték át. Mindez előtt semmilyen értesítést nem kaptam arról, hogy új helyről vagy új eszközről jelentkeztek volna be a fiókomba.” Kaparoza szerint a Roblox a mai napig nem adta vissza a játékát.
Egy másik fejlesztő, Jovan Rai arról számolt be, hogy neki szintén projektmenedzseri állást ajánlottak, és arra kérték, hogy futtasson egy fájlt. Ironikus módon ezúttal a támadók a Cheesy Studios képviselőinek adták ki magukat, és azt állították, hogy a The Shadow Network projekten dolgoznak, amely valójában a Matziaris testvérek tulajdona. A hackerek megszerezték Rai csoportjának, az Overcoding Overseersnek a tulajdonjogát is. „A játék naponta körülbelül 10 000 Robux bevételt termelt (ez nagyjából 100-150 amerikai dollárnak megfelelő összeg), 1100 egyidejű játékosig jutott, és ez volt az elsődleges, sőt az egyetlen bevételi forrásom. Kiskorú vagyok, egy 15 éves kanadai fiú, aki teljesen önállóan készítette ezt a játékot” - mondta Rai. Rai elmondása szerint több mint 30 napig „harcolt” a Roblox ügyfélszolgálatával. A vállalat csak azután állította vissza a játékát, hogy a 404Media hivatalos megkeresést küldött az ügyben.
Amikor a 404 Media ismertette Kaparoza és Rai eseteinek részleteit a Robloxszal, a vállalat a következő nyilatkozatot adta: „A Roblox ügyfélszolgálati csapata minden bejelentést kivizsgál, és helyreállítja a tulajdonjogot, amennyiben ezt megfelelően igazolni tudja az ügyfél.”
Több Roblox-fejlesztő - vagyis olyan ember, aki a Roblox platformra készít játékokat, és sok esetben ebből él - számolt be újságíróknak arról, hogy ez történt velük. Több esetben a fejlesztők azt állították, hogy a Roblox ügyfélszolgálata addig nem segített visszaszerezni a játékaikat, amíg egy lap nem fordult a vállalathoz hivatalos megkereséssel.
Ioannis Matziaris elmondta, hogy két húszéves fia öt éven keresztül építette a több mint 12 ezer taggal rendelkező The Shadow Network nevű játékot. Áprilisban valaki állásajánlattal kereste meg Christost, az egyik fiút, és rábeszélte, hogy futtasson egy bizonyos fájlt. A fájl valójában kártevőt tartalmazott. „Néhány órán belül megszerezték a teljes Roblox-csoportunk tulajdonjogát, áthelyezték a fő játékunkat egy általuk létrehozott új csoportba, és ellopták a Robuxunkat” - mondta Matziaris. Elmondása szerint a család felvette a kapcsolatot a Roblox ügyfélszolgálatával, valamint DMCA-alapú eltávolítási kérelmet is benyújtott a vállalathoz, de semmilyen választ nem kaptak. „Ez már nem egyszerű beaming” - mondta Matziaris arra a gyakorlatra utalva, amikor a hackerek feltörik az áldozatok fiókjait, hogy ellopják a tárgyaikat. „Ez egy szervezett csoport, amely játékokat lop el, újra közzéteszi őket, és gyanútlan fejlesztőket toboroz arra, hogy lopott munkákon dolgozzanak.”
A Roblox sok ember számára jóval több egy játéknál: üzlet. Miközben maga a Roblox vállalat a platformot működteti, gyakorlatilag bárki készíthet rá saját játékot. Egyes ilyen alkotások rendkívül népszerűvé válnak. Ilyen például a Grow a Garden, amely nemcsak a Roblox egyik legsikeresebb játéka, hanem önmagában is a videojáték-ipar egyik nagy sikertörténete. A fejlesztők ezeket a játékokat játékon belüli tranzakciókkal monetizálják. Egyes Roblox-fejlesztők millió dollárokat keresnek, és saját stúdiókat hoznak létre.
Nem teljesen világos, hogy a támadók pontosan mit akartak kezdeni az ellopott játékokkal: egyszerűen csak a Robuxot akarták megszerezni (ez a Roblox hivatalos virtuális pénzneme), vagy a játékok népszerűségét próbálták volna pénzzé tenni. Az azonban könnyen érthető, miért lehet vonzó célpont egy sikeres játék átvétele. Matziaris szerint a támadás után a Roblox elutasította a család tulajdonjogi igényét a játékra, mondván: „Nincs arra utaló jel, hogy a csoport tulajdonjogát a fiók kompromittálása miatt ruházták volna át.” Amikor a 404Media megkereste a Robloxot az ügyben, a vállalat megváltoztatta álláspontját. „Aggasztónak találtuk ezt a konkrét esetet, és visszaállítottuk a játékot a tulajdonosának” - közölte nyilatkozatában a cég.
A Roblox hozzátette, hogy több biztonsági mechanizmust is alkalmaz. „Több biztonsági mechanizmussal rendelkezünk, köztük az Enhanced Protectionnel, amely a kétlépcsős hitelesítés legbiztonságosabb változata, és kifejezetten arra szolgál, hogy kiküszöbölje az olyan hitelesítési pontokon alapuló támadásokat, mint az adathalászat vagy a hitelesítő adatok tömeges kipróbálása. Az Account Session Protection alapértelmezetten minden felhasználónál aktív, és azáltal védi a webes munkameneteket, hogy azokat egy adott eszközhöz köti. Sajnos egyik módszer sem képes teljesen megszüntetni a fióklopások kockázatát, különösen akkor, ha a rosszindulatú szereplők ráveszik a felhasználókat arra, hogy saját eszközeiken kártékony szoftvereket futtassanak vagy nem megbízható kódokat hajtsanak végre. Folyamatosan dolgozunk új megelőzési megoldásokon, és aktívan ösztönözzük a felhasználókat a biztonsági ajánlások betartására, beleértve azt is, hogy ne kattintsanak ismeretlen feladóktól érkező hivatkozásokra, és ne töltsenek le tőlük fájlokat.”
Matziaris családja nem az egyetlen érintett. Mohamed Kaparoza, egy másik fejlesztő azt mondta a 404Mediának, hogy őt is feltörték. „Discordon keresztül kerestek meg olyan személyek, akik azt állították, hogy projektmenedzserként szeretnének alkalmazni a játékukhoz. A beszélgetés során arra kértek, hogy telepítsek egy robase nevű Python-csomagot, amelyet az adatbázisukhoz és projektkezelő eszközeikhez kapcsolódó komponensként mutattak be. Nem sokkal a telepítés után kijelentkeztettek a Roblox-fiókomból mind a számítógépemen, mind a telefonomon. Azt is észrevettem, hogy a Discord-fiókomat ugyanebben az időszakban kompromittálták. Ezután a kétlépcsős hitelesítést és a passkey-beállításokat is megváltoztatták az engedélyem nélkül, a játékomat és a csoportomat pedig egy másik felhasználóhoz helyezték át. Mindez előtt semmilyen értesítést nem kaptam arról, hogy új helyről vagy új eszközről jelentkeztek volna be a fiókomba.” Kaparoza szerint a Roblox a mai napig nem adta vissza a játékát.
Egy másik fejlesztő, Jovan Rai arról számolt be, hogy neki szintén projektmenedzseri állást ajánlottak, és arra kérték, hogy futtasson egy fájlt. Ironikus módon ezúttal a támadók a Cheesy Studios képviselőinek adták ki magukat, és azt állították, hogy a The Shadow Network projekten dolgoznak, amely valójában a Matziaris testvérek tulajdona. A hackerek megszerezték Rai csoportjának, az Overcoding Overseersnek a tulajdonjogát is. „A játék naponta körülbelül 10 000 Robux bevételt termelt (ez nagyjából 100-150 amerikai dollárnak megfelelő összeg), 1100 egyidejű játékosig jutott, és ez volt az elsődleges, sőt az egyetlen bevételi forrásom. Kiskorú vagyok, egy 15 éves kanadai fiú, aki teljesen önállóan készítette ezt a játékot” - mondta Rai. Rai elmondása szerint több mint 30 napig „harcolt” a Roblox ügyfélszolgálatával. A vállalat csak azután állította vissza a játékát, hogy a 404Media hivatalos megkeresést küldött az ügyben.
Amikor a 404 Media ismertette Kaparoza és Rai eseteinek részleteit a Robloxszal, a vállalat a következő nyilatkozatot adta: „A Roblox ügyfélszolgálati csapata minden bejelentést kivizsgál, és helyreállítja a tulajdonjogot, amennyiben ezt megfelelően igazolni tudja az ügyfél.”