EPIC拒绝支付承诺的100万美元漏洞赏金，以发现漏洞

到3月底，群组视频聊天应用Houseparty的情况看起来很好，因为被隔离的年轻人可能是因为Zoom无情的安全故障而望而却步，他们正在寻找一个看起来不那么企业化的平台，以便与朋友和家人保持联系。随着史诗运动会旗下的这款应用在苹果应用商店的日下载量接近15万次，Vogue滔滔不绝地说这是“你需要立即下载的隔离应用”。

但很快，事情变得很奇怪。一个接一个地，用户开始在社交媒体上声称，在下载这款广受欢迎的应用程序后，他们在银行对账单上发现了奇怪的购买行为，或者他们的电子邮件被黑客入侵了。一条推文写道：“所有人现在就删除家庭派对应用程序，侵入我的账户，把钱花在Bet365、Dominos和Porn Hub Premium上，简直是彻底崩溃了。”

EPIC游戏公司做出了有力而不同寻常的回应，声称这些谣言相当于对Houseparty的有偿商业诽谤，并在他们的Twitter账户上宣布，将向“第一个提供此类活动证据的人”提供100万美元的赏金。

由于没有确凿的证据证实窃听传言，媒体基本上忘记了这一离奇的事件。然而，分析公司胜利媒体的创始人扎克·爱德华兹的一份新报告可能会揭示实际发生的事情。报告称，这些黑客攻击不是企业破坏，而是Houseparty自己制造的-疏忽导致了一个漏洞，让数十万人暴露在试图获取凭证和信用卡信息的骗子面前。

在Medium上的一篇详细帖子中，爱德华兹讲述了一个全球黑客组织的故事，该组织据称征用了数十个属于Houseparty的域名，利用这些域名托管数十个恶意PDF文件，如果这些文件被访问，会将毫无戒备的Houseparty用户重定向到试图提取他们信用卡信息和凭据的虚假服务。

根据爱德华兹的说法，史诗游戏淡化了在其子域名背后发现的恶意PDF的存在，声称爱德华兹的担忧纯粹是“理论上的”。然而，毫无疑问，这几十个恶意PDF确实存在，仍然出现在缓存的谷歌搜索结果中，供任何有互联网连接的人查找。

爱德华兹通过史诗游戏的黑客一号漏洞赏金项目提交了他的发现。爱德华兹表示，作为回应，该公司否认“我们的环境受到了损害”。相反，该公司表示，根据爱德华兹的说法，“有问题的子域指向被遗弃的DNS记录，而这些记录又被托管电子书的第三方自动继承。”换句话说，由于该公司不再使用诈骗者劫持的IP地址，这实际上不是HouseParty的问题-也不是该公司所说的“有针对性的妥协”。

Gizmodo联系了Houseparty，目前正在等待评论。一位发言人告诉“纪事报”：“世界相信家庭党会在他们最需要的时候联系他们，我们不会让他们失望的。我们收到了这名个人试图索要赏金的信件，并彻底检查了这封信，以确认这封信不是成立的。个人没有为他的理论错误提供概念证明，这是所有错误赏金计划都需要的。HouseParty应用程序在任何移动设备上使用都是安全的，并且受到行业可信加密的保护，因此您的数据和体验都得到了保护。“

黑客使用的方案被称为子域劫持-理论上，它是这样运作的：在某个时候，Houseparty注册了数十个可能供内部使用的子域名(例如；subdomain.thehouse partyapp.com)，以托管某种普通的基于网络的服务。当这些服务运行时，子域被注册到Etic Games从主机提供商那里租用的虚拟服务器的IP地址。一旦HouseParty不再需要这些服务，他们就停止在此虚拟服务器上租用空间。然而，根据爱德华兹的说法，因为他们的子域仍然绑定到这个现在已经解放的IP地址，黑客能够出于自己的目的机会主义地夺取它，在这种情况下，托管恶意PDF旨在诱使用户用他们的信用卡注册虚假服务。

根据爱德华兹的说法，家庭聚会用户可能被重定向到的网站网络主要是承诺“免费媒体/下载/图书/电影等”的网站。他们的设计和复制虽然非常简单，但很容易就能骗过技术不那么精通的Houseparty用户，他们可能在寻找电子书时，偶然发现了这些看似与HouseParty有关联的网站。

爱德华兹将对这次黑客攻击负责的组织称为“Pickaflick.com Crew”，这是一个多产的信用卡诈骗者，与互联网上超过8400个被破坏的PDF文件有关。

爱德华兹声称，一旦他通知了EpicGames这个漏洞，他们立即取消了被劫持的子域的配置，告诉他他们正在“实施进一步的工具来解决退役的子域问题”，并再次强调，有问题的子域并没有托管EpicGame的内容。尽管如此，似乎在这些黑客指控流传的同时，Houseparty的数十个子域名连接到了该公司不控制的服务器，使得毫无戒备的用户容易受到信用卡盗窃的影响。