На Blizzard подали в суд из-за защиты Battle.net

Компания Blizzard, занимавшаяся разработкой и поддержкой компьютерной ролевой игры Diablo, внезапно оказалась на скамье подсудимый. Всему виной инструменты безопасности, которые она продает игрокам, беспокоящимся о хакерских атаках.



Игроки могут приобрести специальную программу для аутентификации от Blizzard. Приложение позволяет обеспечить безопасность учетных записей в игровом сервисе Battle.net. Данный продукт привязан к учетной записи пользователя и регулярно генерирует случайные числа, которые необходимо вводить в специальном окошке, чтобы активизировать игру.

В материалах иска говорится, что заставлять пользователей использовать Battle.net и программное обеспечение для аутентификации попросту нечестно. Такая практика вводит клиентов в заблуждение, считают юристы. Blizzard не согласна с обвинениями и говорит, что будет защищать себя от любых юридических претензий.

В 2009 Blizzard полностью перезапустила Battle.net, сделав эту систему обязательной для всех клиентов, которые хотят играть в ее продукты. Сервис позволяет управлять платежами, подписками для таких игр как Diablo 3, Starcraft 2 и World of Warcraft.

Аутентификатор от Blizzard.

Коллективный иск был подан от имени Бенджамина Белла. Он сказал, что Blizzard не имела права заставлять людей использовать Battle.net, чтобы играть в современные хиты. Господин Белл говорит, что компания сумела заработать миллионы долларов благодаря продаже аутентификаторов игрокам уже после того, как они купили сам проект. В Европе такой аутентификатор стоит £8,99 (€9,99). Компания также предлагает бесплатную версию этой программы для смартфонов.

По мнению обвинителя, разработчикам лучше защищать свои продукты, а не вытягивать деньги из геймеров, пытаясь залатать дырки в защите своих систем. В судебной документации неоднократно упоминаются случаи, когда личные данные игроков крали напрямую из Battle.net.

Обвинители также утверждают, что Blizzard не предприняла предусмотренные законом меры по оповещению потребителей о проблемах с системой безопасности. Господин Белл хочет отсудить у Blizzard солидную компенсацию, а также получить запрет на то, чтобы компания продавала защитное программное обеспечение, вместо того, чтобы раздавать его пользователям бесплатно.

Представители Blizzard сказали, что иск базируется на неверной информации. В частности студия отметила, что аутентификатор не обязателен для работы с сервисом Battle.net.

Напомним, что несколько недель назад в сети разгорелся настоящий скандал, связанный со взломом компьютерной ролевой игры World of Warcraft. Хакер проникнул в этот сетевой мир и убил там почти всех пользовательских персонажей. Данный инцидент привлек внимание общественности к незащищенности многих игровых продуктов.

занимавшаяся разработкой и поддержкой компьютерной ролевой игры Diablo, внезапно оказалась на скамье подсудимый. Всему виной инструменты безопасности, которые она продает игрокам, беспокоящимся о хакерских атаках.

" />

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google устранила опасную уязвимость в Java-клиенте OAuth

В прошлом месяце Google выпустила новую сборку клиентской Java-библиотеки, обеспечивающей авторизацию по протоколу OAuth. В продукте закрыта уязвимость, эксплуатация которой позволяет подменить токен для доступа к API и развернуть на атакуемой платформе полезную нагрузку по своему выбору.

Степень опасности проблемы CVE-2021-22573 в Google оценили в 8,7 балла по шкале CVSS. Автору находки было выплачено $5 тыс. в рамках программы bug bounty.

Согласно официальному описанию, причиной появления уязвимости является неадекватная верификация криптографической подписи токенов — удостоверения провайдера полезной нагрузки. В результате автор атаки сможет предъявить скомпрометированный токен с кастомным пейлоадом, и тот успешно пройдет проверку на стороне клиента.

Использование кода OAuth-библиотеки Google позволяет приложению или юзеру войти в любой веб-сервис, поддерживающий этот протокол авторизации. Во избежание неприятностей пользователям рекомендуется обновить пакет google-oauth-java-client до версии 1.33.3.

OAuth-авторизация пользуется большой популярностью у веб-серферов. Протокол избавляет от необходимости доверять приложению логин и пароль, а также позволяет сократить число аккаунтов в Сети, то есть аудиторию с доступом к персональным данным.

К сожалению, спецификации OAuth не предусматривают обязательных функций безопасности, и надежность в этом плане всецело зависит от усилий разработчика, реализующего эту технологию. Небрежная защита клиентского приложения или сервиса с поддержкой OAuth провоцирует атаки и грозит утечкой конфиденциальных данных.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru