Dział bezpieczeństwa Epic Games:

BIULETYN DOT. BEZPIECZEŃSTWA KONTA

Niedawno pewna liczba kont padła ofiarą szeroko znanych praktyk hakerów. Zamieszczamy ten oto artykuł zespołu odpowiedającego za bezpieczeństwo, aby wyjaśnić, co właściwie miało miejsce i jak możecie zabezpieczyć konto Epic oraz inne konta internetowe.

Wspólne hasła

Choć powszechną praktyką jest używanie identycznego hasła w wielu stronach internetowych, stwarza to zagrożenie i należy tego unikać. Jeśli któraś z tych stron padnie ofiarą ataku hakerów, mogą oni wykorzystać wasz e-mail i hasło, aby przy ich pomocy uzyskać dostęp do innych stron korzystających z tego samego hasła.

Oto, jak to wygląda: Intruzi często pobierają zbiory ujawnionych haseł – listy kombinacji „użytkownik+hasło” – ze stron osób trzecich, po czym metodą „upychania danych” (ang. „credential stuffing” – https://www.owasp.org/index.php/Credential_stuffing) dowiadują się, na jakich innych stronach działają zdobyte hasła. Gdy uda im się zalogować na te konta, sprawdzają, jakich kłopotów mogą przysporzyć ich posiadaczowi. W wielu przypadkach przejawią się one jako nieuczciwe zakupy V-dolców.

Fałszywe oferty Fortnite

Wielokrotnie byliśmy świadkami przypadków kradzieży kont i oszustw związanych ze stronami oferującymi darmowe V-dolce bądź możliwość dzielenia lub zakupu kont. Prosimy nigdy nie podawać innym osobom danych dotyczących konta Epic. Firma Epic nigdy nie poprosi was o hasło poprzez e-mail, media społecznościowe ani strony osób trzecich. Grupy oferujące tego rodzaju specjalne oferty wiązane z Fortnite dopuszczają się oszustwa.

JAK MOŻNA SPRAWDZIĆ, CZY JEST SIĘ W GRUPIE RYZYKA

Istnieje znakomita strona Have I Been Pwned, na której możecie wpisać swój adres e-mail i sprawdzić, czy należy on do znanych przecieków danych. Jeżeli tak jest, najlepiej będzie założyć, że hasło związane z tą usługą jest publicznie znane i natychmiast je zmienić we wszystkich kontach, które z tego hasła korzystają (nie tylko na koncie Epic!).

Nawet jeśli wasze dane konta nie zostały publicznie uznane za zagrożone, być może będą narażone na przecieki w przyszłości, więc proponujemy przedsięwziąć pewne kroki w celu zmniejszenia tego ryzyka. Dobrym sposobem jest zapisanie się do usługi powiadomienia serwisu Have I Been Pwned, żeby natychmiast otrzymać wiadomość, jeśli wasz adres e-mail znajdzie się w jakimś zbiorze ujawnionych haseł.

CO EPIC ROBI W TEJ KWESTII

W naszej firmie ciężko pracujemy nad tropieniem zbiorów ujawnionych haseł, aby móc prewencyjnie resetować hasła naszych graczy, gdy stwierdzimy prawdopodobieństwo ich przecieku. Choć takie podejście wymaga dużej ilości ręcznej pracy z naszej strony, uważamy, że w znacznym stopniu zmniejsza ono ryzyko oszustwa. Proces ten nie wykryje jednak każdego zagrożonego hasła, gdyż możliwe jest, że utworzyliście konto Epic już po tym, jak sprawdziliśmy zbiór zawierający wasze hasło.

W związku z powyższym pracujemy nad automatyzacją procesu sprawdzania baz danych pod kątem zbiorów ujawnionych haseł, aby jak najszybciej identyfikować zagrożonych użytkowników i resetować ich hasła. Pracujemy również ciężko nad wdrożeniem wieloskładnikowego uwierzytelniania w ciągu najbliższych tygodni i zamierzamy wkrótce opublikować artykuł, w którym podamy więcej szczegółów na ten temat.

WŁAŚCIWE PRAKTYKI DOT. BEZPIECZEŃSTWA

UNIKATOWE HASŁA

Radzimy stosować unikatowe hasła, gdyż w ten sposób zabezpieczycie się przed atakami typu „upychanie danych”. Stosowanie osobnego hasła dla każdej usługi zagwarantuje, że jedno zagrożone hasło nie doprowadzi do kradzieży wszystkiego, co posiadacie.

Oczywiście ciężko może być wam zapamiętać tyle różnych haseł. Zastanówcie się nad skorzystaniem z menadżera haseł. Przy jego pomocy możecie wygenerować unikatowe hasło dla każdej usługi, a wy będziecie musieli zapamiętać tylko jedno mocne hasło (do menadżera haseł).

POŁĄCZENIE KONT SERWISÓW SPOŁECZNOŚCIOWYCH W CELU DODATKOWEJ OCHRONY

Niedawno w ramach systemu kont Epic wprowadziliśmy obsługę logowania poprzez Facebook i Google. Zapewnia wam ona parę korzyści:

Po pierwsze, będziecie mogli się zalogować bez potrzeby użycia hasła do konta Epic, o ile będziecie zalogowani w swojej przeglądarce do serwisu Facebook lub Google. Pojawi się tylko komunikat z prośbą o potwierdzenie tej czynności, po czym otrzymacie dostęp do konta.

Po drugie, zawsze będziecie mogli użyć tych metod logowania, aby odzyskać dostęp do konta w razie zablokowania go na skutek wpisania nieprawidłowego hasła. Z powodu dodatkowych zabezpieczeń logowania stosowanych przez Facebook i Google możecie wymyślić odpowiednio mocniejsze hasło do konta Epic, a następnie nie przejmować się potrzebą pamiętania go, ponieważ będziecie mieć dostęp poprzez uwierzytelnianie przez Google lub Facebooka.

INSTALACJA I AKTUALIZACJA PROGRAMU ANTYWIRUSOWEGO

Choć programy antywirusowe nie rozwiążą każdego problemu, pomogą wam w ochronie komputera przed wieloma zagrożeniami. Firma Epic nie poleca żadnego konkretnego produktu, lecz tu znajdziecie listę dostępnych programów wraz z zestawieniem ich parametrów. Ochrona komputera przed niepożądanym oprogramowaniem jest kolejnym sposobem na zmniejszenie ryzyka zagrożenia konta.

AKTUALIZACJA SYSTEMU

Zawsze powinniście aktualizować system operacyjny, zainstalowane oprogramowanie i sterowniki do najnowszej wersji. Drobne błędy w starych wersjach sterowników lub aplikacji mogą spowodować pogorszenie wydajności lub stabilności gry, zaś niezainstalowane poprawki zabezpieczeń mogą spowodować zagrożenie całego waszego komputera. Firma Epic zawsze zaleca aktualizację systemu operacyjnego i programów do najnowszej bezpiecznej wersji.

NIEUFNOŚĆ DO WSPÓŁDZIELONYCH KOMPUTERÓW

Logowanie ze współdzielonego z innymi użytkownikami komputera (np. w kawiarence internetowej, bibliotece, z komputera kolegi) wprowadza dodatkowe ryzyko. Logujcie się na wspólnych komputerach tylko wtedy, gdy należą one do zaufanych osób. Zalogowanie się do konta na cudzym komputerze wystarczy, aby paść ofiarą kradzieży danych, a nie macie możliwości sprawdzenia, jak bezpieczne są naprawdę te urządzenia.

Jeśli w przeszłości korzystaliście już z przypadkowych, cudzych komputerów, zalecamy zmianę hasła z uwagi na ryzyko jego ujawnienia. Jeśli regularnie gracie na wspólnym komputerze, ogromne znaczenie ma używanie unikatowego hasła do
konta Epic i każdorazowe wylogowywanie się po zakończeniu gry.

AKTYWACJA WIELOSKŁADNIKOWEGO UWIERZYTELNIANIA

Konto Epic jeszcze nie oferuje możliwości wieloskładnikowego uwierzytelniania, lecz pracujemy nad tym, aby wprowadzić ją jak najszybciej. Przepraszamy, że jeszcze tego nie zrobiliśmy. W ciągu dwóch tygodni powiadomimy was o stanie prac w tym temacie.

Wieloskładnikowe uwierzytelnianie pomaga zachować bezpieczeństwo konta poprzez wprowadzenie dodatkowego wymogu ponad podanie hasła. Zalecamy włączenie tej opcji na wszystkich serwisach, które ją oferują. Ta strona pomoże wam przejrzeć różne usługi i sprawdzić, gdzie ta opcja jest dostępna.

DODATKOWE INFORMACJE

NIE DZIELCIE SIĘ KONTEM Z INNYMI

Nawet jeśli macie problem z ukończeniem jakiegoś zadania i przydałaby się wam pomoc kolegi lub członka rodziny, odradzamy udostępnianie innym danych konta. Osobiście odpowiadacie za wszelkie postępowanie dokonane przy pomocy waszego konta. Jeżeli ktoś dopuści się na waszym koncie oszustwa i zostanie wykluczony z gry, to wy jako posiadacze konta poniesiecie za to odpowiedzialność.

NIE KUPUJCIE KONT

Czasami gracze mają dość gry i chcą zakończyć ją na dobre, a przy okazji otrzymać trochę pieniędzy za czas zainwestowany w grę. Wtedy wystawiają konto na sprzedaż w Internecie. Choć możliwość zakupu takiego konta i jego wspaniałych skórek może stanowić sporą pokusę, nie róbcie tego. Jako oryginalny posiadacz konta, taki użytkownik ma dostęp do wielu danych, dzięki którym może odzyskać konto poprzez dział obsługi gracza (np. historię transakcji, historię adresów itp.), jeśli zgłosi wasze przejęcie konta jako kradzież.

NIE ISTNIEJĄ DARMOWE V-DOLCE

My też widzieliśmy te strony. Ponoć wystarczy kliknąć, wpisać nazwę użytkownika, odpowiedzieć na pytanie lub dwa, a dostaniecie V-dolców do woli. To tak nie działa. Te strony chcą tylko zdobyć wasze dane konta (co pozwoli im zalogować się na wasze konta i dokonać nieuczciwych zakupów) lub też skierować was śladem szeregu reklamowych odnośników, za co otrzymają prowizję od reklamodawcy. Z całą pewnością te strony nie mają możliwości przesłania wam V-dolców, a nasz dział prawny nieustannie tropi tego typu oszustów.

Jeśli skorzystaliście już kiedyś z usług tego typu serwisów, radzimy jak najszybciej zmienić hasło.

POTWIERDŹCIE ADRES E-MAIL

Choć na razie jest to opcjonalne, prosimy was o potwierdzenie adresu e-mail przypisanego do waszego konta Epic. Pomoże nam to chronić wasze konto, gdy wprowadzimy wieloetapowe uwierzytelnianie, a także ułatwi naszemu działowi pomocy kontakt z wami w przypadku podejrzanej aktywności na waszym koncie.

KONTAKT Z DZIAŁEM POMOCY

Nadal potrzebujecie porady? Nasz dział pomocy jest do waszej dyspozycji. Na naszym Portalu pomocy Fortnite znajdziecie odpowiedzi na wiele z waszych pytań.

Jeśli potrzebujecie pomocy lub wyjaśnienia w jakiejś sprawie, nie krępujcie się wysłać nam zapytania mailem.