阅读模式/普通模式

游戏新闻 < 新闻

来源:网络 作者:CBIgame综合 编辑:微良

LOL外服爆漏洞,无需密码直接洗账号

发布时间:2015-02-04
由于Riot客户端商店有漏洞,只要记得玩家ID,不需密码就能消费其金币和点券。

吃惊2副本.jpg只需要获得对应id的一串字符串就可以登录商店并洗劫该玩家的财产。这样的漏洞居然在两年前就有人发现了……细思恐极!


主播被盗号,引出巨大漏洞

近日有许多在各种直播平台直播的外服玩家“被黑”,帐号的金币和点券被一扫而光。根据玩家透露,这似乎并不是因为直播玩家的账号密码被盗,而是因为Riot客户端商店的漏洞允许他人在无需登录帐号的情况下使用浏览器登录商店。

两年前就有人曝光这个漏洞

某位玩家在Reddit上透露:“此漏洞允许你从浏览器进入商店使用金币和点券,你不需要登录帐号,只要你知道某个玩家正确的id即可。”

同时该玩家也附上2年前其他玩家的旧帖的链接,此旧帖早就已经透露过此漏洞以及利用此漏洞的大致方法,只需要获得对应id的一串字符串就可以登录商店并洗劫该玩家的财产。

设计师:正在修复漏洞

而设计师Hawknet也回应道:“我们正在修复此漏洞,我们无法说明该漏洞的细节或者其他玩家的解释。不过能肯定的是,我们会全额补偿所有被黑的玩家。对于商店事件我们还想消除大家的疑虑,这个漏洞不会曝光你任何的个人信息,例如银行卡号,你的所有信息都是安好的。”

LOL网页商店

玩家愤慨:两年前就该重视这个漏洞

不过有玩家不服,说“如果两年前Riot重视了这个问题现在就不会发生了”,设计师回应:

“好问题,我们内部也会跟进的。明天早上我们会开一个会讨论一下本次事件(以及其他内容),同时也仔细探讨一下如何避免此类问题的发生。”

“接着说吧。我已经和我们商店团队的伙计们讨论了一下,两年前的事情与本次事件无关。客户端里面正常情况下不可见的数据(如总购买金额)是可以通过Html来获得的,我们已经采取措施移除这些信息了。

现在我们面临这个紧急事件了,虽然与两年前的无关,不过我们仍旧需要探究到底,同时吸取教训。”

(来源:腾讯游戏 原标题:《LOL外服曝大漏洞:多名玩家遭扫号》)

漏洞代码

编辑点评:LOL真算好运了

无需密码,直接在网页商店盗刷金币和点券,这么严重的漏洞,已经曝光两年了,居然才发生这么点盗号事故。拳头公司真的该庆幸!

当然,LOL之所以没有因为这个漏洞产生大规模盗号行为,大概也是跟游戏机制有关。这游戏的ID,真没什么盗窃价值。


编 辑 介 绍

微良

前业界版编辑,2015年初离职。


游客
玩家登录
提交
最新评论
    加载数据...
 
app小图标
app下载二维码