《英雄联盟》外服曝重大漏洞 无需登录账号即可使用浏览器进入商店
近日有许多在各种直播平台直播的外服玩家“被黑”,帐号的金币和点券被一扫而光。根据玩家透露,这似乎并不是因为直播玩家的账号密码被盗,而是因为Riot客户端商店的漏洞允许他人在无需登录帐号的情况下使用浏览器登录商店。
某位玩家在Reddit上透露:“此漏洞允许你从浏览器进入商店使用金币和点券,你不需要登录帐号,只要你知道某个玩家正确的id即可。”
同时该玩家也附上2年前其他玩家的旧帖的链接,此旧帖早就已经透露过此漏洞以及利用此漏洞的大致方法,只需要获得对应id的一串字符串就可以登录商店并洗劫该玩家的财产。
而设计师Hawknet也回应道:“我们正在修复此漏洞,我们无法说明该漏洞的细节或者其他玩家的解释。不过能肯定的是,我们会全额补偿所有被黑的玩家。对于商店事件我们还想消除大家的疑虑,这个漏洞不会曝光你任何的个人信息,例如银行卡号,你的所有信息都是安好的。”
不过有玩家不服,说“如果两年前Riot重视了这个问题现在就不会发生了”,设计师回应:
“好问题,我们内部也会跟进的。明天早上我们会开一个会讨论一下本次事件(以及其他内容),同时也仔细探讨一下如何避免此类问题的发生。”
“接着说吧。我已经和我们商店团队的伙计们讨论了一下,两年前的事情与本次事件无关。客户端里面正常情况下不可见的数据(如总购买金额)是可以通过Html来获得的,我们已经采取措施移除这些信息了。
现在我们面临这个紧急事件了,虽然与两年前的无关,不过我们仍旧需要探究到底,同时吸取教训。”