10 雷蛇发生数据泄露 亿游戏玩家个人信息 电竞第一股 波及 (“雷蛇”)
灯大灯亮灯会闪!这是很多游戏发烧友对雷蛇外设的调侃。因为主打电竞,其靓丽的 RGB 炫彩灯效几乎已经成了标配,甚至因此获得了电竞第一股的称号。
不过,最近雷蛇却被贴上了数据泄露的标签。
近日,据外媒报道,雷蛇由于错误配置了云服务器,导致大量用户的个人信息被泄露。泄露内容包含了客户的姓名、电话、邮件、送货信息、内部 ID 以及送货地址。安全研究人员表示,这可能导致 10 亿游戏用户的隐私信息被泄露。
更为严重的是,这些泄露的数据不仅向公众开放,还被公共搜索引擎索引。
相关问题已修复,可能会暴露客户的订单信息及寄送信息,但如信用卡号或密码等敏感数据没有暴露,雷蛇也对 IT 安全和系统进行了全面审查。
网友们也很淡定,表示游戏账号内没什么重要的内容,无需担心。
这起数据泄露事件最早是一位安全专家 Volodymyr“ Bob” Diachenko 8 月18 日发现的。他发现储存在 Elasticsearch 云集群的日志块(log chunk)被错误配置为公开访问状态,这就意味着大量用户信息能够通过搜索引擎直接查看。
Bob 在发现这件事以后就立刻向雷蛇写了邮件,希望能共同处理这个问题,可是雷蛇方面并没将该风险报告给相关的技术处理人员。在 Bob 与各种不相关员工沟通三周无效后,该集群被公开访问。
直到 9 月12 日,雷蛇官方才在 Linkedin 上回复了 Bob,表示他们已经修复了该问题,并且针对系统安全性做了全方位的检查。雷蛇还表示,此次的泄露只包括订单详细信息,客户和运输信息,并没有涉及到信用卡、密码以及其他隐私内容。
而此时,距离数据泄露之时,已经过去近一个月。
游戏数据泄露事件频发
此次的雷蛇玩家数据泄露事件,暴露了游戏相关公司对于用户隐私数据管理的不足,而这起数据泄露事件也绝非孤例。
今年 4 月起,匿名论坛 4chan 的用户便开始不定期地曝光任天堂的内部存档数据,曝光的内容涉及任天堂的主机操作系统、艺术设计与游戏源代码等方面。
《超级马里奥》《塞尔达传说》《宝可梦》《星际火狐》《动森》等游戏系列的开发资料都在泄露之列。
当时有分析称:
再往前,去年 10 月,足球游戏《 FIFA 20》玩家资料也曾遭遇泄露,涉及 1600 多名玩家信息。
《 FIFA 20 》是由 EA 制作发行的足球游戏《 FIFA 》系列的续作,英格兰足球运动员 George Hughes在该网站注册账号时发现,自己提交个人信息时页面中显示的是其他玩家的信息,其中包括了生日、电子邮件等私人信息。
被泄露的游戏数据能用来做什么?
那么,这些泄露的游戏数据究竟有什么用呢?
主要影响无非三种:
一是通过购买用户数据,诸如年龄、性别、收入等等。可以帮助购买者通过特定软件打开图表,上方清晰记载着受众群体的细枝末节。
也就是说,通过对玩家信息的收集和分析,可以为游戏开发带来可见的好处。
以《CS:GO》为例,购买者可能会针对每一张地图,统计警匪双方的胜率和获胜方式。谁赢得多?结束战斗的方式是射杀、炸弹还是拖时间?接着再用研究所得来平衡地图,或是制作新的地图。
又比如,《CS:GO》在 2013 年更新了一把名为 M4A1-S 的新武器,结果它的使用占比 5 个月后激增到三分之一,这让官方确信 M4A1-S 过于强力,需要一定程度的削弱,要么就用涨价的方式加以限制。
二是统计用户行为的分类,往往会被用于定向广告。
有玩家表示,由于在 TapTap 预约《英雄联盟手游》时填写了自身手机号码,第二天就收到了手游推广的电话。有玩家甚至称,只要注册过 TapTap 的用户就会开始接到游戏推广的电话。
对此,TapTap 联合创始人回应道,经调查,涉及被骚扰用户为全网各类游戏内容相关爱好者。
在报案准备过程中,TapTap 发现骚扰电话/信息有一些共有特征,比如对手游用户投放精准、对同一号码反复拨打、通话的是机器人、骚扰模式类似(先来电,挂断后马上来短信)、短信中推广的游戏内容集中(多为网游下载页面,且集中在某几款游戏)。
所以,你知道为什么你的手机上总能收到一些莫名其妙的短信了吧。
三是通过钓鱼邮件进行诈骗。
在雷蛇的这次泄露事件中。安全研究人员就提醒用户,犯罪分子可能利用客户记录发起有针对性的网络钓鱼攻击,其中诈骗者会冒充雷蛇或相关公司,用户应随时注意发送到其电话或电子邮件地址的网络钓鱼链接。
所以,从这个角度来说,数据泄露一旦涉及个人信息隐私就无小事。
参考资料:
【1】
【2】
【3】
【4】
原创文章,未经授权禁止转载。详情见 转载须知 。