安全違規(guī)后 主要的Speedrunning Hub被迫退回排名

最受歡迎的速度網(wǎng)站Speedrun.com在安全漏洞導致許多排行榜面臨篡改風險后，已將其所有排名恢復到4月1日的狀態(tài)。在2018年11月發(fā)生類似問題后，該網(wǎng)站的所有者正在考慮加強安全措施，以防止未來的違規(guī)行為。

Speedrun.com是一個游戲最新世界紀錄的地方，或者如何打入速度運動場景的提示。Speedrunning，試圖在設(shè)定的條件下盡快擊敗視頻游戲的行為，依賴于維護良好的記錄來跟蹤最佳時間并允許跑步者對他們的個人成績進行編目。

用戶可以創(chuàng)建自己的帳戶來上傳他們的運行視頻，然后由主持人驗證他們將其添加到整個排行榜。

在本周的一份論壇聲明中，該網(wǎng)站的審核小組成員宣布關(guān)鍵審核賬戶已被泄露。

“塞爾達傳說”和“超級馬里奧世界”等主要游戲的排行榜遭到破壞和篡改，迫使該網(wǎng)站將所有記錄還原為4月1日，這是該網(wǎng)站最后一個不妥協(xié)的狀態(tài)。獲得個人最佳和新記錄的Speedrunners將需要再次提交他們的時間。

“一些游戲主持人帳戶在4月1日遭到入侵，與11月發(fā)生的情況非常相似，”工作人員kirkq在一篇論壇帖子中說。

“約有3到5個賬戶主導著名的董事會世界受到了損害。原因仍然是少數(shù)用戶使用或重復使用多年前從其他網(wǎng)站泄露的密碼。“

Speedrun.com在2018年11月處理了類似的違規(guī)行為。工作人員得出結(jié)論認為，許多帳戶的密碼被盜，這是Xsplit Broadcaster 2015年數(shù)據(jù)庫大量電子郵件和密碼轉(zhuǎn)儲的一部分，Xsplit Broadcaster是一個受速度管理員歡迎的可定制的直播節(jié)目。抽搐飄帶。

這些數(shù)據(jù)庫通常用于“憑證填充”，這是一個在盡可能多的站點上嘗試密碼以獲取帳戶訪問權(quán)限的過程。

在那次違規(guī)之后，工作人員將網(wǎng)站的數(shù)據(jù)翻了幾天。用戶被要求使用他們在破壞的網(wǎng)站上沒有使用的密碼，但似乎有些人沒有遵循這個建議。

“我們的理解是，每個被入侵的帳戶都重復使用以前在受感染網(wǎng)站上使用的密碼，”網(wǎng)站所有者Peter Chase通過電子郵件告訴Kotaku。

“我們認識到該網(wǎng)站需要采取更多措施來防止這種形式的帳戶泄露，因此我們正在努力為易受此類妥協(xié)影響的少數(shù)用戶實施額外的保護措施。”

該網(wǎng)站的主持人和工作人員正在積極尋求對網(wǎng)站實施雙因素授權(quán)。這種額外的安全措施可能對所有版主都是強制性的。

“15,000個電路板上的數(shù)據(jù)僅受保護最少的用戶保護，因此該網(wǎng)站需要采取更多措施來保護受保護程度最低的用戶，”Chase說。