灯大灯亮灯会闪!这是很多游戏发烧友对雷蛇周边的调侃。因为主打电竞,缤纷的 RGB 炫彩灯效几乎成了标配,甚至因此获得“电竞第一股”称号。
不过,最近雷蛇却被贴上资料外泄的标签。
据外媒报导,雷蛇由于错误设置云端服务器,导致大量用户个资泄露。泄露内容包含用户姓名、电话、电子信箱、送货资讯、内部 ID 及送货地址。安全研究人员表示,这可能导致 10 亿游戏用户的隐私泄露。
更严重的是,泄露个资不仅是开放的,甚至搜索引擎都能搜到。
雷蛇发表紧急道歉声明:
相关问题已修复,可能暴露用户的订单资讯及寄送资讯,但如信用卡号或密码等敏感资料没有暴露,雷蛇也全面检查了 IT 安全和系统。
网友也很淡定,表示游戏账号没什么重要内容,无需担心。
资料泄露始末
这最早是安全专家 Volodymyr “Bob" Diachenko 8 月18 日发现。他发现储存 Elasticsearch 云端集群的日志块(log chunk)错误设为公开存取,意味大量用户资讯可用搜索引擎直接检视。
Bob 发现这件事以后立刻写信给雷蛇,希望共同处理,但雷蛇并没将风险转告技术人员。Bob 与各种不相关员工沟通 3 周无效后,讯息就被公开了。
直到 9 月12 日,雷蛇才在 Linkedin 回复 Bob,表示已修复系统,并针对安全性全方位检查。雷蛇还表示,此次泄露只包括订单详细资讯、用户和运送资讯,并没有泄漏信用卡、密码及其他隐私内容。
此时距离资料外泄过去将近一个月。
游戏资料外泄事件频发
此次雷蛇玩家资料外泄事件,暴露相关游戏公司对用户隐私资料管理不足,这起事件也绝非首例。
今年 4 月起,匿名论坛 4chan 的用户便开始不定期曝光任天堂存档资料,涉及任天堂主机操作系统、艺术设计与游戏程式码等。
《超级玛利欧》、《萨尔达传说》、《宝可梦》、《星际火狐》、《动物森友会》等系列的开发资料都在外泄之列。
当时有分析称:
资料外泄让一些可能永远不为人知的游戏彩蛋与开发秘闻重见天日;至于这些老游戏的 MOD 制作者与模拟器开发者,程式码应该能为他们的工作提供充分便利。
但“大泄露”本质,仍是资料窃取与不正当使用。无论任天堂的知识产权和商业利益,还是开发者的个人隐私,都将产生负面影响。
再往前,去年 10 月,足球游戏《 FIFA 20》玩家资料也曾外泄,约含 1,600 多名玩家资讯。
《 FIFA 20 》是由 EA 制作发行的足球游戏《 FIFA 》系列续作,英格兰足球运动员 George Hughes 在网站注册账号时发现,自己提交个人资讯时页面显示是其他玩家的资讯,包括生日、电子邮件等私人资讯。
外泄的游戏资料能做什么?
游戏资料究竟有什么用?主要影响有 3 种:
一是透过购买用户资料,如年龄、性别、收入等,帮助购买者透过特定软件开启图表,上方清晰记载受众群体的细节。也就是说,收集分析玩家资讯,可为游戏开发带来不少好处。
以《CS: GO》为例,购买者可能会针对每张地图,统计警匪双方的胜率和获胜方式。谁赢得多?结束战斗的方式是射杀、炸弹还是拖时间?接着再用研究资料平衡地图,或制作新地图。
又如《CS: GO》2013 年更新名为 M4A1-S 的新武器,结果使用率 5 个月后激增到约 33%,这让官方确信 M4A1-S 太强,需要削弱,不然就用涨价限制。
二是统计用户行为,往往会用于投放广告。
今年 1 月,中国游戏平台 TapTap 收到大量玩家投诉,声称隐私遭外泄,被手游广告商频频用电话、简讯骚扰。
有玩家表示,由于在 TapTap 预约《英雄联盟手游》时填写手机号码,第二天就收到手游推销电话。有玩家甚至称,只要注册过 TapTap 的用户,就会接到游戏推销电话。
TapTap 联合创始人回应,经调查,涉及骚扰用户为全网各类游戏爱好者。
报案准备过程,TapTap 发现骚扰电话/资讯有一些共同特征,如对手游用户投放精准、反复拨打同号码、通话的是机器人、骚扰模式类似(先来电,挂断后马上发简讯)、简讯推广的游戏为特定几款(多为网游下载页面,且集中某几款游戏)。
所以,知道为什么手机总能收到一些莫名其妙的简讯了吧。
三是用钓鱼信件诈骗。
雷蛇这次外泄事件,安全研究人员提醒用户,犯罪者可能利用用户纪录发起有针对性的网络钓鱼攻击,其中诈骗者会冒充雷蛇或其他公司,用户应随时注意传送到电话或信箱的网络钓鱼连结。
从这角度来说,资料外泄一旦涉及个资隐私,就不是小事了。
- Private data gone public: Razer leaks 100,000+ gamers’ personal info
- Razer data breach indexed by search engines
- Thousands of Razer customers order and shipping details exposed on the web without password
(本文由 雷锋网 授权转载;首图来源:Flickr/Patrick CC BY 2.0)
延伸阅读:
- 李开复惹祸上身!蚂蚁集团、旷视资料互通有无?个资隐私议题又再浮出
- 在家工作 VPN 遭网攻,全球 900 家企业资讯外泄
- Twitter 承认有人利用漏洞配对用户电话号码
- 俄罗斯个资黑市猖獗,手机纪录到护照资料都买得到