“电竞第一股”雷蛇资料外泄，波及 10 万游戏玩家个资

灯大灯亮灯会闪！这是很多游戏发烧友对雷蛇周边的调侃。因为主打电竞，缤纷的 RGB 炫彩灯效几乎成了标配，甚至因此获得“电竞第一股”称号。

不过，最近雷蛇却被贴上资料外泄的标签。

据外媒报导，雷蛇由于错误设置云端服务器，导致大量用户个资泄露。泄露内容包含用户姓名、电话、电子信箱、送货资讯、内部 ID 及送货地址。安全研究人员表示，这可能导致 10 万游戏用户的隐私泄露。

更严重的是，泄露个资不仅是开放的，甚至搜索引擎都能搜到。

雷蛇发表紧急道歉声明：

相关问题已修复，可能暴露用户的订单资讯及寄送资讯，但如信用卡号或密码等敏感资料没有暴露，雷蛇也全面检查了 IT 安全和系统。

网友也很淡定，表示游戏账号没什么重要内容，无需担心。

资料泄露始末

这最早是安全专家 Volodymyr “Bob" Diachenko 8 月18 日发现。他发现储存 Elasticsearch 云端集群的日志块（log chunk）错误设为公开存取，意味大量用户资讯可用搜索引擎直接检视。

Bob 发现这件事以后立刻写信给雷蛇，希望共同处理，但雷蛇并没将风险转告技术人员。Bob 与各种不相关员工沟通 3 周无效后，讯息就被公开了。

直到 9 月12 日，雷蛇才在 Linkedin 回复 Bob，表示已修复系统，并针对安全性全方位检查。雷蛇还表示，此次泄露只包括订单详细资讯、用户和运送资讯，并没有泄漏信用卡、密码及其他隐私内容。

此时距离资料外泄过去将近一个月。

游戏资料外泄事件频发

此次雷蛇玩家资料外泄事件，暴露相关游戏公司对用户隐私资料管理不足，这起事件也绝非首例。

今年 4 月起，匿名论坛 4chan 的用户便开始不定期曝光任天堂存档资料，涉及任天堂主机操作系统、艺术设计与游戏程式码等。

《超级玛利欧》、《萨尔达传说》、《宝可梦》、《星际火狐》、《动物森友会》等系列的开发资料都在外泄之列。

当时有分析称：

资料外泄让一些可能永远不为人知的游戏彩蛋与开发秘闻重见天日；至于这些老游戏的 MOD 制作者与模拟器开发者，程式码应该能为他们的工作提供充分便利。

但“大泄露”本质，仍是资料窃取与不正当使用。无论任天堂的知识产权和商业利益，还是开发者的个人隐私，都将产生负面影响。

再往前，去年 10 月，足球游戏《 FIFA 20》玩家资料也曾外泄，约含 1,600 多名玩家资讯。

《 FIFA 20 》是由 EA 制作发行的足球游戏《 FIFA 》系列续作，英格兰足球运动员 George Hughes 在网站注册账号时发现，自己提交个人资讯时页面显示是其他玩家的资讯，包括生日、电子邮件等私人资讯。

外泄的游戏资料能做什么？

游戏资料究竟有什么用？主要影响有 3 种：

一是透过购买用户资料，如年龄、性别、收入等，帮助购买者透过特定软件开启图表，上方清晰记载受众群体的细节。也就是说，收集分析玩家资讯，可为游戏开发带来不少好处。

以《CS: GO》为例，购买者可能会针对每张地图，统计警匪双方的胜率和获胜方式。谁赢得多？结束战斗的方式是射杀、炸弹还是拖时间？接着再用研究资料平衡地图，或制作新地图。

又如《CS: GO》2013 年更新名为 M4A1-S 的新武器，结果使用率 5 个月后激增到约 33%，这让官方确信 M4A1-S 太强，需要削弱，不然就用涨价限制。

二是统计用户行为，往往会用于投放广告。

今年 1 月，中国游戏平台 TapTap 收到大量玩家投诉，声称隐私遭外泄，被手游广告商频频用电话、简讯骚扰。

有玩家表示，由于在 TapTap 预约《英雄联盟手游》时填写手机号码，第二天就收到手游推销电话。有玩家甚至称，只要注册过 TapTap 的用户，就会接到游戏推销电话。

TapTap 联合创始人回应，经调查，涉及骚扰用户为全网各类游戏爱好者。

报案准备过程，TapTap 发现骚扰电话／资讯有一些共同特征，如对手游用户投放精准、反复拨打同号码、通话的是机器人、骚扰模式类似（先来电，挂断后马上发简讯）、简讯推广的游戏为特定几款（多为网游下载页面，且集中某几款游戏）。

所以，知道为什么手机总能收到一些莫名其妙的简讯了吧。

三是用钓鱼信件诈骗。

雷蛇这次外泄事件，安全研究人员提醒用户，犯罪者可能利用用户纪录发起有针对性的网络钓鱼攻击，其中诈骗者会冒充雷蛇或其他公司，用户应随时注意传送到电话或信箱的网络钓鱼连结。

从这角度来说，资料外泄一旦涉及个资隐私，就不是小事了。

• Private data gone public: Razer leaks 100,000+ gamers’ personal info
• Razer data breach indexed by search engines
• Thousands of Razer customers order and shipping details exposed on the web without password

（本文由 雷锋网 授权转载；首图来源：Flickr/Patrick CC BY 2.0）

延伸阅读：

• 李开复惹祸上身！蚂蚁集团、旷视资料互通有无？个资隐私议题又再浮出
• 在家工作 VPN 遭网攻，全球 900 家企业资讯外泄
• Twitter 承认有人利用漏洞配对用户电话号码
• 俄罗斯个资黑市猖獗，手机纪录到护照资料都买得到