Pandemi 2020’de insanları evde tuttuğunda milyonlarca kişi kaçmak için oyunlara yöneldi. Dalgalanma her konsolu, bilgisayarı ve telefonu geniş bir çevrimiçi ağın parçası haline getirdi. Daha fazla oyuncu, daha fazla oturum açma, ödeme ve kişisel veri anlamına geliyordu. Bu, sektörün karşılaştığından daha büyük bir hedef yarattı.
Yeni sorumluluklarla büyüyen bir sektör
Küresel oyun pazarının 2025 yılında bir önceki yıla göre %3,4 artışla 188,8 milyar dolara ulaşması bekleniyor.
Oyuncular çevrimiçi profillerine çok fazla zaman ve para harcıyorlar, bu yüzden onları korunmaya değer bir şey olarak görmeleri şaşırtıcı değil. Bir oyun gerçek para içermese bile sanal öğeler genellikle gerçek dünya değerini taşır.
Özellikle genç kullanıcıların korumayı nadiren düşünmesi, onları kimlik avı ve kötü amaçlı yazılımlara karşı kolay hedef haline getiriyor. Zayıf şifreler, hesap paylaşımı ve aynı şifrenin platformlar arasında yeniden kullanılması yalnızca riski artırır.
DDoS saldırıları oyun genelinde yoğunlaşıyor
2024’te HTTP DDoS saldırılarının en çok hedef alındığı sektör oyun sektörü oldu ve Katman 7 vakaları yıldan yıla yüzde 94 arttı.
Ekim ayında birçok büyük oyun platformu aynı anda çevrimdışı oldu. Güvenlik araştırmacılarından gelen ilk raporlar büyük bir DDoS kampanyasına işaret ediyor. Daha önceki yüksek hacimli saldırılarla bilinen Aisuru botnet’inden olası bir kaynak olarak bahsedilmişti.
Blizzard Entertainment kısa süre önce Battle.net platformuna, çeşitli oyunlarda oturum açma sorunlarına, yüksek gecikmeye ve bağlantı kesintilerine neden olan bir DDoS saldırısı gerçekleştirdiğini doğruladı. Şirketin böyle bir kesinti yaşaması ilk kez değildi.
NETSCOUT Kıdemli Tehdit İstihbaratı Müdürü Richard Hummel, “DDoS saldırıları, çevrimiçi kumar ve oyun endüstrileri için ciddi bir tehdit oluşturuyor; çünkü mali veya rekabetçi çıkarları olanların, sonuçları kendi lehlerine değiştirecek veya geciktirecek kadar uzun süre operasyonları kesintiye uğratması nispeten kolaydır” dedi.
Hedefli ihlaller yeni zayıf noktaları ortaya çıkarıyor
Nintendo, bilgisayar korsanlarının sistemlerinin bazı bölümlerine eriştiğini doğruladı ancak hiçbir oyuncu veya ödeme verilerinin etkilenmediğini söyledi. Crimson Collective adlı bir grup sorumluluğu üstlendi ve dahili klasör ve dosyaları gösteren ekran görüntüleri de dahil olmak üzere internette kanıt gibi görünen şeyleri paylaştı.
Şirket, ihlalin kamuya açık siteleri barındırmak için kullanılan harici web sunucularıyla sınırlı olduğunu ve geliştirme veya iş sistemleriyle bağlantılı olmadığını söyledi. Yine de olay, saldırganlar bulut kurulumlarına ve kamu altyapısına odaklandığında büyük yayıncıların bile ne kadar açığa çıktığını gösteriyor.
Saldırganlar, kötü amaçlı yazılım yaymak için oyuncuların güvenini istismar ediyor
Yasadışı hile programları genellikle kullanıcının bilgisi olmadan binlerce cihaza bulaşan kötü amaçlı yazılımları gizler. Ancak bu kötü amaçlı yazılım genellikle tanıdık, güvenilir kanallar aracılığıyla yayılır.
Valve, araştırmacıların oyunculara bilgi çalan kötü amaçlı yazılım yaydığını tespit ettikten sonra kötü amaçlı bir oyun demosunu Steam’den kaldırdı.
Ayrı bir kampanyada Check Point araştırmacıları, süresi dolmuş ve Discord davet bağlantılarını yayınlayan aktif bir kötü amaçlı yazılım kampanyası tespit etti. Saldırganlar, kullanıcıları güvenilir topluluklardan kötü amaçlı sunuculara yönlendirmek için bu özel bağlantıları yeniden kaydettirdi.
Üçüncü taraf sistemlerle ilgili sorunlar
Birçok üçüncü taraf site, hizmetlerini kullanmanın risklerini açıklamamaktadır. Bazıları, uygulama indirme, reklam izleme veya kişisel ayrıntıları paylaşma karşılığında kullanıcıları indirimli oyun parası veya nadir öğelerle cezbeder. Bu tür teklifler, oyuncuları kredi kartı sahtekarlığına, kötü amaçlı yazılımlara ve kimlik hırsızlığına maruz bırakabilir.
Bu siteler ayrıca e-posta adresleri, oyun kullanıcı adları, IP adresleri ve tarayıcı ayrıntıları gibi kişisel verileri de toplar. Ödemeleri Stripe veya PayPal gibi hizmetler aracılığıyla gerçekleştirmek için banka veya kart bilgilerini isteyebilirler. Bu pazar yerlerinden bazıları zaten veri ihlallerinden etkilendi.
Kara para aklama oyun dünyasına taşınıyor
Araştırmacılar, oyun pazarlarının kara para aklamak için kullanılabileceğini buldu. Ortak bir kurulumda, birisi farklı platformlarda birkaç hesap açar, oyun içi öğeler veya para birimi satın almak için yasa dışı fonları kullanır, bu varlıkları hesaplar arasında aktarır ve ardından bunları üçüncü taraf pazarlarda nakit olarak satar. Her transferde para izini takip etmek zorlaşıyor.
Oyun geliştirme o kadar hızlı ilerliyor ki güvenlik ekipleri yetişemiyor
Oyun stüdyoları, oyunun istikrarını ve oyuncuların güvenini korumaya çalışırken, son teslim tarihlerine yetişmek için yarışıyor.
Güvenlik ekipleri sürekli kod değişiklikleri, hızlı sürüm döngüleri ve sürekli yeni güvenlik açıkları akışıyla uğraşır. Geleneksel güvenlik açığı yönetimi buna ayak uydurmak için çabalıyor. Manuel incelemeler, bağlantısız araçlar ve ekipler arasındaki sınırlı görünürlük, yanıt sürelerini yavaşlatır ve görünürlüğü artırır. Stüdyoların güvende kalabilmesi için geliştirme ve yayınlamanın her aşamasına uygun güvenlik uygulamalarına ihtiyacı vardır.
Mevzuat ve uyumluluk bilinci
Oyunlardaki siber saldırılar, özellikle kullanıcı verilerinin açığa çıkması durumunda yasal ve düzenleyici sonuçlara yol açabilir. Dünyanın dört bir yanındaki hükümetler, Avrupa’da GDPR, Amerika Birleşik Devletleri’nde Kaliforniya Tüketici Gizliliği Yasası ve ödeme verileri için PCI DSS 4.0 dahil olmak üzere gizlilik ve güvenlik yasalarını güçlendirdi.
EQS Group Genel Müdürü Marco Goldberg, “Uyum başarısızlığının itibar riski yalnızca yasal veya mali bir sorun değil, aynı zamanda temel bir güven ihlalidir” dedi. “Tek bir veri ihlali veya uyumlulukla ilgili yanlış adım, dünya çapındaki müşteriler, düzenleyiciler ve ortaklar tarafından anında görünür hale geliyor. İtibarın zarar görmesi, herhangi bir mali cezadan çok daha maliyetli ve daha uzun süreli olabilir.”