“电竞第一股”雷蛇发生数据泄露,波及 10 亿游戏玩家个人信息
灯大灯亮灯会闪!这是很多游戏发烧友对雷蛇外设的调侃。因为主打电竞,其靓丽的 RGB 炫彩灯效几乎已经成了标配,甚至因此获得了电竞第一股的称号。
不过,最近雷蛇却被贴上了数据泄露的标签。
近日,据外媒报道,雷蛇由于错误配置了云服务器,导致大量用户的个人信息被泄露。泄露内容包含了客户的姓名、电话、邮件、送货信息、内部 ID 以及送货地址。安全研究人员表示,这可能导致 10 亿游戏用户的隐私信息被泄露。
更为严重的是,这些泄露的数据不仅向公众开放,还被公共搜索引擎索引。
事后,雷蛇也发布了紧急道歉声明:
相关问题已修复,可能会暴露客户的订单信息及寄送信息,但如信用卡号或密码等敏感数据没有暴露,雷蛇也对 IT 安全和系统进行了全面审查。
网友们也很淡定,表示游戏账号内没什么重要的内容,无需担心。
数据泄露始末
这起数据泄露事件最早是一位安全专家 Volodymyr“ Bob” Diachenko 8 月18 日发现的。他发现储存在 Elasticsearch 云集群的日志块(log chunk)被错误配置为公开访问状态,这就意味着大量用户信息能够通过搜索引擎直接查看。
Bob 在发现这件事以后就立刻向雷蛇写了邮件,希望能共同处理这个问题,可是雷蛇方面并没将该风险报告给相关的技术处理人员。在 Bob 与各种不相关员工沟通三周无效后,该集群被公开访问。
直到 9 月12 日,雷蛇官方才在 Linkedin 上回复了 Bob,表示他们已经修复了该问题,并且针对系统安全性做了全方位的检查。雷蛇还表示,此次的泄露只包括订单详细信息,客户和运输信息,并没有涉及到信用卡、密码以及其他隐私内容。
而此时,距离数据泄露之时,已经过去近一个月。
游戏数据泄露事件频发
此次的雷蛇玩家数据泄露事件,暴露了游戏相关公司对于用户隐私数据管理的不足,而这起数据泄露事件也绝非孤例。
今年 4 月起,匿名论坛 4chan 的用户便开始不定期地曝光任天堂的内部存档数据,曝光的内容涉及任天堂的主机操作系统、艺术设计与游戏源代码等方面。
《超级马里奥》《塞尔达传说》《宝可梦》《星际火狐》《动森》等游戏系列的开发资料都在泄露之列。
当时有分析称:
这些数据的泄露让一些可能永远都不为人知的游戏彩蛋与开发秘闻重见天日;至于这些老游戏的 MOD 制作者与模拟器开发者,泄露的源代码应该能为他们的工作提供充分的便利。
但是“大泄露”事件的本质,仍是对数据的窃取与不正当使用。无论是对于任天堂的知识产权和商业利益,还是对于开发者的个人隐私,都将产生或多或少的负面影响。
再往前,去年 10 月,足球游戏《 FIFA 20》玩家资料也曾遭遇泄露,涉及 1600 多名玩家信息。
《 FIFA 20 》是由 EA 制作发行的足球游戏《 FIFA 》系列的续作,英格兰足球运动员 George Hughes在该网站注册账号时发现,自己提交个人信息时页面中显示的是其他玩家的信息,其中包括了生日、电子邮件等私人信息。
被泄露的游戏数据能用来做什么?
那么,这些泄露的游戏数据究竟有什么用呢?
主要影响无非三种:
一是通过购买用户数据,诸如年龄、性别、收入等等。可以帮助购买者通过特定软件打开图表,上方清晰记载着受众群体的细枝末节。
也就是说,通过对玩家信息的收集和分析,可以为游戏开发带来可见的好处。
以《CS:GO》为例,购买者可能会针对每一张地图,统计警匪双方的胜率和获胜方式。谁赢得多?结束战斗的方式是射杀、炸弹还是拖时间?接着再用研究所得来平衡地图,或是制作新的地图。
又比如,《CS:GO》在 2013 年更新了一把名为 M4A1-S 的新武器,结果它的使用占比 5 个月后激增到三分之一,这让官方确信 M4A1-S 过于强力,需要一定程度的削弱,要么就用涨价的方式加以限制。
二是统计用户行为的分类,往往会被用于定向广告。
今年 1 月,国内游戏平台 TapTap 曾收到大量玩家的投诉和反馈,声称个人隐私遭到了泄露,被手游推广商频频以电话、短信骚扰。
有玩家表示,由于在 TapTap 预约《英雄联盟手游》时填写了自身手机号码,第二天就收到了手游推广的电话。有玩家甚至称,只要注册过 TapTap 的用户就会开始接到游戏推广的电话。
对此,TapTap 联合创始人回应道,经调查,涉及被骚扰用户为全网各类游戏内容相关爱好者。
在报案准备过程中,TapTap 发现骚扰电话/信息有一些共有特征,比如对手游用户投放精准、对同一号码反复拨打、通话的是机器人、骚扰模式类似(先来电,挂断后马上来短信)、短信中推广的游戏内容集中(多为网游下载页面,且集中在某几款游戏)。
所以,你知道为什么你的手机上总能收到一些莫名其妙的短信了吧。
三是通过钓鱼邮件进行诈骗。
在雷蛇的这次泄露事件中。安全研究人员就提醒用户,犯罪分子可能利用客户记录发起有针对性的网络钓鱼攻击,其中诈骗者会冒充雷蛇或相关公司,用户应随时注意发送到其电话或电子邮件地址的网络钓鱼链接。
所以,从这个角度来说,数据泄露一旦涉及个人信息隐私就无小事。
雷锋网 (公众号:雷锋网) 雷锋网雷锋网
参考资料:
【1】 https://www.linkedin.com/pulse/thousands-razer-customers-order-shipping-details-web-diachenko
【2】 https://arstechnica.com/information-technology/2020/09/100000-razer-users-data-leaked-due-to-misconfigured-elasticsearch/
【3】 https://www.slashgear.com/razer-data-breach-indexed-by-search-engines-14637967/
【4】 https://www.huxiu.com/article/307039.html
。