編譯／鄭智懷 繼知名遊戲《英雄聯盟》開發商Riot Games在上周證實遭到網路攻擊，包含《英雄聯盟》、《聯盟 …

編譯／鄭智懷

繼知名遊戲《英雄聯盟》開發商Riot Games在上周證實遭到網路攻擊，包含《英雄聯盟》、《聯盟戰棋》及舊版的反作弊系統Packman原始碼被竊取，駭客在本周稍早於駭客論壇上以100萬美元公開拍賣「英雄聯盟」原始碼和Packman，或是以50 萬美元的價格單獨出售後者。

Riot Games在公開聲明中證實收到駭客的贖金通知，要求支付1,000萬美元贖回外流的原始碼；同時，該公司的聲明也強烈譴責其不法行為，並指出不會支付贖金。

資安組織VX-Underground指出，攻擊者是通過簡訊服務（SMS）對Riot Games某名員工進行社交工程（Social Engineering）攻擊，並鎖定竊取遊戲公司的反作弊軟體 Riot Vanguard。在該公司的資訊安全監控中心 （SOC） 發現之前，整個攻擊行動持續36小時。

報導指出，駭客在論壇上公布了一份近千頁的PDF檔文件，包含被竊取的原始碼目錄；同時向以製作《英雄聯盟》為主題的知名YouTuber「Ryscu」分享部分洩漏原始碼的截圖，並拍攝相關影影片。

而針對媒體詢問有關洩漏原始碼，且被駭客出售的細節，Riot Games並未作出近一步的回應。

對於外界擔憂外洩的原始碼是否會被用於製作針對遊戲的作弊程式，或是駭客藉此創建可遠端控制玩家電腦的疑慮，Riot Games在推文上表示：「任何原始碼的外流都會增加新的作弊行為出現的可能性。自攻擊事件發生以來，我們一直在努力評估其對反作弊的影響，並準備在必要時盡快更新、修復程式。」

資料來源：Bleeping Computer

這篇文章 英雄聯盟原始碼  駭客100萬美元出售 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

編譯／鄭智懷 微軟（Microsoft）旗下的原始碼代管平台 GitHub在本周五公告調整公司營運政策，在20 …

編譯／鄭智懷

微軟（Microsoft）旗下的原始碼代管平台 GitHub在本周五公告調整公司營運政策，在2023年1月將原先僅開放給企業用戶的原始碼掃描服務，轉為免費提供給所有申請的用戶。使用該服務的用戶將可得知其原始碼是否有遭外洩的風險。

據GitHub的統計，該公司在2022年以來，已經向參與「秘密掃描合作夥伴計劃」的成員通報超過170萬筆託管在其名下資料庫的原始碼可能有導致資料外洩風險。該計劃使用全球兩百種以上的「通行證」（token）格式，或是客戶自行設定的格式掃描託管的原始碼，接著提醒合作夥伴是否有潛在的外洩可能。

Uber旗下的美國外送平台Postmates安全工程師David Ross指出，私下的掃描工作有助於公司解決大量的資安問題，「在App的資安領域，這也是發現程式碼問題的最佳方案。」

據GitHub公告，用戶在該公司於2023年1月原始碼託管與掃描服務全面開放後，只要在GitHub的安全設定開啟功能，即可使用該項服務。這也意味著用戶即使未參與「秘密掃描合作夥伴計劃」，只要將原始碼交由GitHub託管，即可在沒有合作夥伴通知的情況下收到有關原始碼的警報。

目前，除了GitHub提供掃描託管的原始碼以了解其中是否存有外洩風險的服務外，尚有Gitleaks等線上掃描工具，以及Nightfall和 CheckPoint 旗下的Spectral等資安公司提供類似的服務。不過，GitHub是當前唯一向所有用戶，而非僅限於向企業開放者。

資料來源：TechCrunch

這篇文章 原始碼代管平台GitHub 全面開放免費原始碼掃描服務 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。