「電競第一股」雷蛇資料外洩,波及 10 萬遊戲玩家個資

作者 | 發布日期 2020 年 09 月 26 日 15:06 | 分類 伺服器 , 周邊 , 資訊安全 Telegram share ! follow us in feedly


燈大燈亮燈會閃!這是很多遊戲發燒友對雷蛇周邊的調侃。因為主打電競,繽紛的 RGB 炫彩燈效幾乎成了標配,甚至因此獲得「電競第一股」稱號。

不過,最近雷蛇卻被貼上資料外洩的標籤。

據外媒報導,雷蛇由於錯誤設置雲端伺服器,導致大量用戶個資洩露。洩露內容包含用戶姓名、電話、電子信箱、送貨資訊、內部 ID 及送貨地址。安全研究人員表示,這可能導致 10 萬遊戲用戶的隱私洩露。

更嚴重的是,洩露個資不僅是開放的,甚至搜尋引擎都能搜到。

雷蛇發表緊急道歉聲明:

相關問題已修復,可能暴露用戶的訂單資訊及寄送資訊,但如信用卡號或密碼等敏感資料沒有暴露,雷蛇也全面檢查了 IT 安全和系統。

網友也很淡定,表示遊戲帳號沒什麼重要內容,無需擔心。

資料洩露始末

這最早是安全專家 Volodymyr “Bob" Diachenko 8 月18 日發現。他發現儲存 Elasticsearch 雲端集群的日誌塊(log chunk)錯誤設為公開存取,意味大量用戶資訊可用搜尋引擎直接檢視。

Bob 發現這件事以後立刻寫信給雷蛇,希望共同處理,但雷蛇並沒將風險轉告技術人員。Bob 與各種不相關員工溝通 3 週無效後,訊息就被公開了。

直到 9 月12 日,雷蛇才在 Linkedin 回覆 Bob,表示已修復系統,並針對安全性全方位檢查。雷蛇還表示,此次洩露只包括訂單詳細資訊、用戶和運送資訊,並沒有洩漏信用卡、密碼及其他隱私內容。

此時距離資料外洩過去將近一個月。

遊戲資料外洩事件頻發

此次雷蛇玩家資料外洩事件,暴露相關遊戲公司對用戶隱私資料管理不足,這起事件也絕非首例。

今年 4 月起,匿名論壇 4chan 的用戶便開始不定期曝光任天堂存檔資料,涉及任天堂主機操作系統、藝術設計與遊戲程式碼等。

《超級瑪利歐》、《薩爾達傳說》、《寶可夢》、《星際火狐》、《動物森友會》等系列的開發資料都在外洩之列。

當時有分析稱:

資料外洩讓一些可能永遠不為人知的遊戲彩蛋與開發祕聞重見天日;至於這些老遊戲的 MOD 製作者與模擬器開發者,程式碼應該能為他們的工作提供充分便利。

但「大洩露」本質,仍是資料竊取與不正當使用。無論任天堂的知識產權和商業利益,還是開發者的個人隱私,都將產生負面影響。

再往前,去年 10 月,足球遊戲《 FIFA 20》玩家資料也曾外洩,約含 1,600 多名玩家資訊。

《 FIFA 20 》是由 EA 製作發行的足球遊戲《 FIFA 》系列續作,英格蘭足球運動員 George Hughes 在網站註冊帳號時發現,自己提交個人資訊時頁面顯示是其他玩家的資訊,包括生日、電子郵件等私人資訊。

外洩的遊戲資料能做什麼?

遊戲資料究竟有什麼用?主要影響有 3 種:

一是透過購買用戶資料,如年齡、性別、收入等,幫助購買者透過特定軟體開啟圖表,上方清晰記載受眾群體的細節。也就是說,收集分析玩家資訊,可為遊戲開發帶來不少好處。

以《CS: GO》為例,購買者可能會針對每張地圖,統計警匪雙方的勝率和獲勝方式。誰贏得多?結束戰鬥的方式是射殺、炸彈還是拖時間?接著再用研究資料平衡地圖,或製作新地圖。

又如《CS: GO》2013 年更新名為 M4A1-S 的新武器,結果使用率 5 個月後激增到約 33%,這讓官方確信 M4A1-S 太強,需要削弱,不然就用漲價限制。

二是統計用戶行為,往往會用於投放廣告。

今年 1 月,中國遊戲平台 TapTap 收到大量玩家投訴,聲稱隱私遭外洩,被手遊廣告商頻頻用電話、簡訊騷擾。

有玩家表示,由於在 TapTap 預約《英雄聯盟手遊》時填寫手機號碼,第二天就收到手遊推銷電話。有玩家甚至稱,只要註冊過 TapTap 的用戶,就會接到遊戲推銷電話。

TapTap 聯合創始人回應,經調查,涉及騷擾用戶為全網各類遊戲愛好者。

報案準備過程,TapTap 發現騷擾電話/資訊有一些共同特徵,如對手遊用戶投放精準、反覆撥打同號碼、通話的是機器人、騷擾模式類似(先來電,掛斷後馬上發簡訊)、簡訊推廣的遊戲為特定幾款(多為網遊下載頁面,且集中某幾款遊戲)。

所以,知道為什麼手機總能收到一些莫名其妙的簡訊了吧。

三是用釣魚信件詐騙。

雷蛇這次外洩事件,安全研究人員提醒用戶,犯罪者可能利用用戶紀錄發起有針對性的網路釣魚攻擊,其中詐騙者會冒充雷蛇或其他公司,用戶應隨時注意傳送到電話或信箱的網路釣魚連結。

從這角度來說,資料外洩一旦涉及個資隱私,就不是小事了。

(本文由 雷鋒網 授權轉載;首圖來源:Flickr/Patrick CC BY 2.0)

延伸閱讀: