Sicurezza degli account Epic Games

16.4.2019
Più di 250 milioni di persone in tutto il mondo hanno attivato un account Epic. La sicurezza degli account è una delle maggiori priorità di Epic Games. Con questa comunicazione vogliamo illustrare gli ultimi sviluppi delle funzioni per la sicurezza, le prospettive future e i nostri metodi per la protezione degli account.

Gli attacchi agli account Epic
La rete di account Epic include Fortnite, il negozio Epic Games e Unreal Engine. Finora questa rete non era mai stata violata. Gli attacchi sono stati diretti verso singoli account da parte di hacker che hanno utilizzato mailing list e password ottenute attaccando altri siti. 

Il tuo account potrebbe essere vulnerabile agli attacchi se utilizzi lo stesso indirizzo e-mail e la stessa password del tuo account Epic su siti che sono stati compromessi. Per mettere in sicurezza il tuo account Epic utilizza una password unica e attiva l'autenticazione a più fattori (MFA).

Il tuo account non è vulnerabile se utilizzi lo stesso indirizzo e-mail, ma non la stessa password del tuo account Epic su siti che sono stati compromessi. Considerata la situazione attuale, potresti ricevere delle notifiche tramite e-mail da parte di Epic di eventuali accessi insoliti al tuo account.

Inoltre, alcuni nuovi utenti hanno notato che il loro indirizzo e-mail era già associato a un account Epic. Questa è la conseguenza del recente attacco effettuato tramite un botnet che ha creato milioni di account Epic inattivi utilizzando indirizzi e-mail esistenti. Al momento siamo al lavoro per cancellare questi account. Se hai creato un nuovo account Epic e hai notato che ce n'è già uno collegato al tuo indirizzo e-mail, resetta la password in modo da poterlo recuperare.

Attivazione dell'autenticazione a più fattori
L'autenticazione a più fattori (MFA) è uno strumento cruciale per la protezione del tuo account dagli accessi non autorizzati. Attualmente il nostro sistema supporta due procedure MFA: autenticazione tramite e-mail e autenticazione tramite app. L'autenticazione a più fattori richiede l'immissione di un codice unico se si effettua l'accesso da un nuovo dispositivo o dopo un periodo di inattività.

Si consiglia l'utilizzo di un'app di autenticazione per smartphone come Authy, Google Authenticator o altri servizi per la conservazione e la gestione dei codici MFA.

Epic supporta anche l'autenticazione via e-mail. Ricorda di proteggere la tua e-mail, perché la sicurezza del tuo account Epic dipende da questo, se utilizzi l'autenticazione per e-mail MFA.

In futuro verrà anche implementata l'autenticazione tramite SMS.

Attivando la funzione di protezione MFA per un account Fortnite, riceverai gratuitamente l'emote Boogie Down. Leggi subito la guida per impostare la protezione MFA per il tuo account Epic!

Sicurezza della password
È bene scegliere sempre una password complessa quando si creano account online per Epic Games o per qualunque altra piattaforma. Usa sempre una password diversa per ogni account. Non creare mai password corte o semplici, ma utilizza un generatore casuale per crearle e un programma per la gestione e la memorizzazione delle password.

Per garantire un livello ulteriore di protezione monitoriamo costantemente gli indirizzi e-mail e le password che sono state diffuse pubblicamente da altre fonti e blocchiamo automaticamente gli account creati con queste combinazioni in modo che richiedano il ripristino della password per l'accesso successivo. Il sistema di sicurezza di Epic utilizza le password crittografate, in modo che i dati non possano essere in alcun modo divulgati.

Inoltre stiamo iniziando a comparare le nuove password con le liste di Have I Been Pwned. (v4) prima che vengano associate a un nuovo account, in modo che gli utenti non utilizzino delle password già in possesso degli hacker.

Sicurezza degli account esterni
Fai attenzione agli account che colleghi a quello Epic, perché se un account esterno viene compromesso le credenziali di accesso possono essere utilizzate per violare il tuo account Epic. Utilizza sempre le stesse modalità per la sicurezza anche per gli account esterni al tuo account Epic. Il modo migliore per tutelare il tuo account Epic è di utilizzare password uniche e la protezione MFA anche per gli account esterni di Playstation Network, Xbox Live Nintendo, Facebook e Google.

Verifica via e-mail
A breve Epic richiederà la verifica via e-mail di tutti i nuovi account. Intanto puoi effettuare la verifica manualmente tramite le istruzioni che trovi qui.

Rilevamento degli account violati
Il sistema degli account Epic è in grado di rilevare molti metodi per la compromissione degli account e siamo al lavoro per aggiungerne altri. Se il tuo indirizzo e-mail è stato verificato e il nostro sistema rileva che il tuo account è stato compromesso, verrà attivata una procedura di sicurezza che prevede il blocco dell'account per impedire accessi non autorizzati e il ripristino della password via e-email.

Nel corso del 2019 implementeremo altri metodi per il rilevamento degli attacchi e la loro prevenzione.

Casi precedenti di attacchi al sistema Epic
In precedenza Epic ha gestito altri servizi online non collegati al sistema dell'account Epic. Abbiamo il caso del 2016 in cui il notiziario dei forum di Epic è stato compromesso in modo da rivelare le credenziali di accesso degli utenti del forum, che sono poi state resettate. Dopo questo incidente abbiamo aggiornato tutti i nostri forum in modo da implementarli nel sistema degli account Epic Games.