雷蛇發生數據泄露：波及10億遊戲玩家

• 2020 年 9 月 25 日
• 資訊
• 泄露, 雷蛇

燈大燈亮燈會閃！這是很多遊戲發燒友對雷蛇外設的調侃。因為主打電競，其靚麗的 RGB 炫彩燈效幾乎已經成了標配，甚至因此獲得了電競第一股的稱號。

不過，最近雷蛇卻被貼上了數據泄露的標籤。

近日，據外媒報道，雷蛇由於錯誤配置了雲伺服器，導致大量用戶的個人資訊被泄露。泄露內容包含了客戶的姓名、電話、郵件、送貨資訊、內部 ID 以及送貨地址。安全研究人員表示，這可能導致 10 億遊戲用戶的隱私資訊被泄露。

更為嚴重的是，這些泄露的數據不僅向公眾開放，還被公共搜索引擎索引。

事後，雷蛇也發布了緊急道歉聲明：

相關問題已修復，可能會暴露客戶的訂單資訊及寄送資訊，但如信用卡號或密碼等敏感數據沒有暴露，雷蛇也對 IT 安全和系統進行了全面審查。

網友們也很淡定，表示遊戲帳號內沒什麼重要的內容，無需擔心。

數據泄露始末

這起數據泄露事件最早是一位安全專家 Volodymyr「 Bob」 Diachenko 8 月18 日發現的。他發現儲存在 Elasticsearch 雲集群的日誌塊（log chunk）被錯誤配置為公開訪問狀態，這就意味著大量用戶資訊能夠通過搜索引擎直接查看。

Bob 在發現這件事以後就立刻向雷蛇寫了郵件，希望能共同處理這個問題，可是雷蛇方面並沒將該風險報告給相關的技術處理人員。在 Bob 與各種不相關員工溝通三周無效後，該集群被公開訪問。

直到 9 月12 日，雷蛇官方才在 Linkedin 上回復了 Bob，表示他們已經修復了該問題，並且針對系統安全性做了全方位的檢查。雷蛇還表示，此次的泄露只包括訂單詳細資訊，客戶和運輸資訊，並沒有涉及到信用卡、密碼以及其他隱私內容。

而此時，距離數據泄露之時，已經過去近一個月。

遊戲數據泄露事件頻發

此次的雷蛇玩家數據泄露事件，暴露了遊戲相關公司對於用戶隱私數據管理的不足，而這起數據泄露事件也絕非孤例。

今年 4 月起，匿名論壇 4chan 的用戶便開始不定期地曝光任天堂的內部存檔數據，曝光的內容涉及任天堂的主機作業系統、藝術設計與遊戲源程式碼等方面。

《超級馬里奧》《塞爾達傳說》《寶可夢》《星際火狐》《動森》等遊戲系列的開發資料都在泄露之列。

當時有分析稱：

這些數據的泄露讓一些可能永遠都不為人知的遊戲彩蛋與開發秘聞重見天日；至於這些老遊戲的 MOD 製作者與模擬器開發者，泄露的源程式碼應該能為他們的工作提供充分的便利。

但是「大泄露」事件的本質，仍是對數據的竊取與不正當使用。無論是對於任天堂的知識產權和商業利益，還是對於開發者的個人隱私，都將產生或多或少的負面影響。

再往前，去年 10 月，足球遊戲《 FIFA 20》玩家資料也曾遭遇泄露，涉及 1600 多名玩家資訊。

《 FIFA 20 》是由 EA 製作發行的足球遊戲《 FIFA 》系列的續作，英格蘭足球運動員 George Hughes在該網站註冊帳號時發現，自己提交個人資訊時頁面中顯示的是其他玩家的資訊，其中包括了生日、電子郵件等私人資訊。

被泄露的遊戲數據能用來做什麼？

那麼，這些泄露的遊戲數據究竟有什麼用呢？

主要影響無非三種：

一是通過購買用戶數據，諸如年齡、性別、收入等等。可以幫助購買者通過特定軟體打開圖表，上方清晰記載著受眾群體的細枝末節。

也就是說，通過對玩家資訊的收集和分析，可以為遊戲開發帶來可見的好處。

以《CS：GO》為例，購買者可能會針對每一張地圖，統計警匪雙方的勝率和獲勝方式。誰贏得多？結束戰鬥的方式是射殺、炸彈還是拖時間？接著再用研究所得來平衡地圖，或是製作新的地圖。

又比如，《CS：GO》在 2013 年更新了一把名為 M4A1-S 的新武器，結果它的使用佔比 5 個月後激增到三分之一，這讓官方確信 M4A1-S 過於強力，需要一定程度的削弱，要麼就用漲價的方式加以限制。

二是統計用戶行為的分類，往往會被用於定向廣告。

今年 1 月，中國遊戲平台 TapTap 曾收到大量玩家的投訴和回饋，聲稱個人隱私遭到了泄露，被手游推廣商頻頻以電話、簡訊騷擾。

有玩家表示，由於在 TapTap 預約《英雄聯盟手游》時填寫了自身手機號碼，第二天就收到了手游推廣的電話。有玩家甚至稱，只要註冊過 TapTap 的用戶就會開始接到遊戲推廣的電話。

對此，TapTap 聯合創始人回應道，經調查，涉及被騷擾用戶為全網各類遊戲內容相關愛好者。

在報案準備過程中，TapTap 發現騷擾電話/資訊有一些共有特徵，比如對手游用戶投放精準、對同一號碼反覆撥打、通話的是機器人、騷擾模式類似（先來電，掛斷後馬上來簡訊）、簡訊中推廣的遊戲內容集中（多為網遊下載頁面，且集中在某幾款遊戲)。

所以，你知道為什麼你的手機上總能收到一些莫名其妙的簡訊了吧。

三是通過釣魚郵件進行詐騙。

在雷蛇的這次泄露事件中。安全研究人員就提醒用戶，犯罪分子可能利用客戶記錄發起有針對性的網路釣魚攻擊，其中詐騙者會冒充雷蛇或相關公司，用戶應隨時注意發送到其電話或電子郵件地址的網路釣魚鏈接。

所以，從這個角度來說，數據泄露一旦涉及個人資訊隱私就無小事。