到3月底,群组视频聊天应用Houseparty的情况看起来很好,因为被隔离的年轻人可能是因为Zoom无情的安全故障而望而却步,他们正在寻找一个看起来不那么企业化的平台,以便与朋友和家人保持联系。随着史诗运动会旗下的这款应用在苹果应用商店的日下载量接近15万次,Vogue滔滔不绝地说这是“你需要立即下载的隔离应用”。
但很快,事情变得很奇怪。一个接一个地,用户开始在社交媒体上声称,在下载这款广受欢迎的应用程序后,他们在银行对账单上发现了奇怪的购买行为,或者他们的电子邮件被黑客入侵了。一条推文写道:“所有人现在就删除家庭派对应用程序,侵入我的账户,把钱花在Bet365、Dominos和Porn Hub Premium上,简直是彻底崩溃了。”
EPIC游戏公司做出了有力而不同寻常的回应,声称这些谣言相当于对Houseparty的有偿商业诽谤,并在他们的Twitter账户上宣布,将向“第一个提供此类活动证据的人”提供100万美元的赏金。
由于没有确凿的证据证实窃听传言,媒体基本上忘记了这一离奇的事件。然而,分析公司胜利媒体的创始人扎克·爱德华兹的一份新报告可能会揭示实际发生的事情。报告称,这些黑客攻击不是企业破坏,而是Houseparty自己制造的-疏忽导致了一个漏洞,让数十万人暴露在试图获取凭证和信用卡信息的骗子面前。
在Medium上的一篇详细帖子中,爱德华兹讲述了一个全球黑客组织的故事,该组织据称征用了数十个属于Houseparty的域名,利用这些域名托管数十个恶意PDF文件,如果这些文件被访问,会将毫无戒备的Houseparty用户重定向到试图提取他们信用卡信息和凭据的虚假服务。
根据爱德华兹的说法,史诗游戏淡化了在其子域名背后发现的恶意PDF的存在,声称爱德华兹的担忧纯粹是“理论上的”。然而,毫无疑问,这几十个恶意PDF确实存在,仍然出现在缓存的谷歌搜索结果中,供任何有互联网连接的人查找。
爱德华兹通过史诗游戏的黑客一号漏洞赏金项目提交了他的发现。爱德华兹表示,作为回应,该公司否认“我们的环境受到了损害”。相反,该公司表示,根据爱德华兹的说法,“有问题的子域指向被遗弃的DNS记录,而这些记录又被托管电子书的第三方自动继承。”换句话说,由于该公司不再使用诈骗者劫持的IP地址,这实际上不是HouseParty的问题-也不是该公司所说的“有针对性的妥协”。
Gizmodo联系了Houseparty,目前正在等待评论。一位发言人告诉“纪事报”:“世界相信家庭党会在他们最需要的时候联系他们,我们不会让他们失望的。我们收到了这名个人试图索要赏金的信件,并彻底检查了这封信,以确认这封信不是成立的。个人没有为他的理论错误提供概念证明,这是所有错误赏金计划都需要的。HouseParty应用程序在任何移动设备上使用都是安全的,并且受到行业可信加密的保护,因此您的数据和体验都得到了保护。“
黑客使用的方案被称为子域劫持-理论上,它是这样运作的:在某个时候,Houseparty注册了数十个可能供内部使用的子域名(例如;subdomain.thehouse partyapp.com),以托管某种普通的基于网络的服务。当这些服务运行时,子域被注册到Etic Games从主机提供商那里租用的虚拟服务器的IP地址。一旦HouseParty不再需要这些服务,他们就停止在此虚拟服务器上租用空间。然而,根据爱德华兹的说法,因为他们的子域仍然绑定到这个现在已经解放的IP地址,黑客能够出于自己的目的机会主义地夺取它,在这种情况下,托管恶意PDF旨在诱使用户用他们的信用卡注册虚假服务。
根据爱德华兹的说法,家庭聚会用户可能被重定向到的网站网络主要是承诺“免费媒体/下载/图书/电影等”的网站。他们的设计和复制虽然非常简单,但很容易就能骗过技术不那么精通的Houseparty用户,他们可能在寻找电子书时,偶然发现了这些看似与HouseParty有关联的网站。
爱德华兹将对这次黑客攻击负责的组织称为“Pickaflick.com Crew”,这是一个多产的信用卡诈骗者,与互联网上超过8400个被破坏的PDF文件有关。
爱德华兹声称,一旦他通知了EpicGames这个漏洞,他们立即取消了被劫持的子域的配置,告诉他他们正在“实施进一步的工具来解决退役的子域问题”,并再次强调,有问题的子域并没有托管EpicGame的内容。尽管如此,似乎在这些黑客指控流传的同时,Houseparty的数十个子域名连接到了该公司不控制的服务器,使得毫无戒备的用户容易受到信用卡盗窃的影响。