燈大燈亮燈會閃！這是很多游戲發(fā)燒友對雷蛇外設(shè)的調(diào)侃。因為主打電競，其靚麗的 RGB 炫彩燈效幾乎已經(jīng)成了標(biāo)配，甚至因此獲得了電競第一股的稱號。

不過，最近雷蛇卻被貼上了數(shù)據(jù)泄露的標(biāo)簽。

近日，據(jù)外媒報道，雷蛇由于錯誤配置了云服務(wù)器，導(dǎo)致大量用戶的個人信息被泄露。泄露內(nèi)容包含了客戶的姓名、電話、郵件、送貨信息、內(nèi)部 ID 以及送貨地址。安全研究人員表示，這可能導(dǎo)致 10 億游戲用戶的隱私信息被泄露。

更為嚴(yán)重的是，這些泄露的數(shù)據(jù)不僅向公眾開放，還被公共搜索引擎索引。

事后，雷蛇也發(fā)布了緊急道歉聲明：

相關(guān)問題已修復(fù)，可能會暴露客戶的訂單信息及寄送信息，但如信用卡號或密碼等敏感數(shù)據(jù)沒有暴露，雷蛇也對 IT 安全和系統(tǒng)進行了全面審查。

網(wǎng)友們也很淡定，表示游戲賬號內(nèi)沒什么重要的內(nèi)容，無需擔(dān)心。

數(shù)據(jù)泄露始末

這起數(shù)據(jù)泄露事件最早是一位安全專家 Volodymyr“ Bob” Diachenko 8 月18 日發(fā)現(xiàn)的。他發(fā)現(xiàn)儲存在 Elasticsearch 云集群的日志塊（log chunk）被錯誤配置為公開訪問狀態(tài)，這就意味著大量用戶信息能夠通過搜索引擎直接查看。

Bob 在發(fā)現(xiàn)這件事以后就立刻向雷蛇寫了郵件，希望能共同處理這個問題，可是雷蛇方面并沒將該風(fēng)險報告給相關(guān)的技術(shù)處理人員。在 Bob 與各種不相關(guān)員工溝通三周無效后，該集群被公開訪問。

直到 9 月12 日，雷蛇官方才在 Linkedin 上回復(fù)了 Bob，表示他們已經(jīng)修復(fù)了該問題，并且針對系統(tǒng)安全性做了全方位的檢查。雷蛇還表示，此次的泄露只包括訂單詳細信息，客戶和運輸信息，并沒有涉及到信用卡、密碼以及其他隱私內(nèi)容。

而此時，距離數(shù)據(jù)泄露之時，已經(jīng)過去近一個月。

游戲數(shù)據(jù)泄露事件頻發(fā)

此次的雷蛇玩家數(shù)據(jù)泄露事件，暴露了游戲相關(guān)公司對于用戶隱私數(shù)據(jù)管理的不足，而這起數(shù)據(jù)泄露事件也絕非孤例。

今年 4 月起，匿名論壇 4chan 的用戶便開始不定期地曝光任天堂的內(nèi)部存檔數(shù)據(jù)，曝光的內(nèi)容涉及任天堂的主機操作系統(tǒng)、藝術(shù)設(shè)計與游戲源代碼等方面。

《超級馬里奧》《塞爾達傳說》《寶可夢》《星際火狐》《動森》等游戲系列的開發(fā)資料都在泄露之列。

當(dāng)時有分析稱：

這些數(shù)據(jù)的泄露讓一些可能永遠都不為人知的游戲彩蛋與開發(fā)秘聞重見天日；至于這些老游戲的 MOD 制作者與模擬器開發(fā)者，泄露的源代碼應(yīng)該能為他們的工作提供充分的便利。

但是“大泄露”事件的本質(zhì)，仍是對數(shù)據(jù)的竊取與不正當(dāng)使用。無論是對于任天堂的知識產(chǎn)權(quán)和商業(yè)利益，還是對于開發(fā)者的個人隱私，都將產(chǎn)生或多或少的負面影響。

再往前，去年 10 月，足球游戲《 FIFA 20》玩家資料也曾遭遇泄露，涉及 1600 多名玩家信息。

《 FIFA 20 》是由 EA 制作發(fā)行的足球游戲《 FIFA 》系列的續(xù)作，英格蘭足球運動員 George Hughes在該網(wǎng)站注冊賬號時發(fā)現(xiàn)，自己提交個人信息時頁面中顯示的是其他玩家的信息，其中包括了生日、電子郵件等私人信息。

被泄露的游戲數(shù)據(jù)能用來做什么？

那么，這些泄露的游戲數(shù)據(jù)究竟有什么用呢？

主要影響無非三種：

一是通過購買用戶數(shù)據(jù)，諸如年齡、性別、收入等等。可以幫助購買者通過特定軟件打開圖表，上方清晰記載著受眾群體的細枝末節(jié)。

也就是說，通過對玩家信息的收集和分析，可以為游戲開發(fā)帶來可見的好處。

以《CS：GO》為例，購買者可能會針對每一張地圖，統(tǒng)計警匪雙方的勝率和獲勝方式。誰贏得多？結(jié)束戰(zhàn)斗的方式是射殺、炸彈還是拖時間？接著再用研究所得來平衡地圖，或是制作新的地圖。

又比如，《CS：GO》在 2013 年更新了一把名為 M4A1-S 的新武器，結(jié)果它的使用占比 5 個月后激增到三分之一，這讓官方確信 M4A1-S 過于強力，需要一定程度的削弱，要么就用漲價的方式加以限制。

二是統(tǒng)計用戶行為的分類，往往會被用于定向廣告。

今年 1 月，國內(nèi)游戲平臺 TapTap 曾收到大量玩家的投訴和反饋，聲稱個人隱私遭到了泄露，被手游推廣商頻頻以電話、短信騷擾。

有玩家表示，由于在 TapTap 預(yù)約《英雄聯(lián)盟手游》時填寫了自身手機號碼，第二天就收到了手游推廣的電話。有玩家甚至稱，只要注冊過 TapTap 的用戶就會開始接到游戲推廣的電話。

對此，TapTap 聯(lián)合創(chuàng)始人回應(yīng)道，經(jīng)調(diào)查，涉及被騷擾用戶為全網(wǎng)各類游戲內(nèi)容相關(guān)愛好者。

在報案準(zhǔn)備過程中，TapTap 發(fā)現(xiàn)騷擾電話/信息有一些共有特征，比如對手游用戶投放精準(zhǔn)、對同一號碼反復(fù)撥打、通話的是機器人、騷擾模式類似（先來電，掛斷后馬上來短信）、短信中推廣的游戲內(nèi)容集中（多為網(wǎng)游下載頁面，且集中在某幾款游戲)。

所以，你知道為什么你的手機上總能收到一些莫名其妙的短信了吧。

三是通過釣魚郵件進行詐騙。

在雷蛇的這次泄露事件中。安全研究人員就提醒用戶，犯罪分子可能利用客戶記錄發(fā)起有針對性的網(wǎng)絡(luò)釣魚攻擊，其中詐騙者會冒充雷蛇或相關(guān)公司，用戶應(yīng)隨時注意發(fā)送到其電話或電子郵件地址的網(wǎng)絡(luò)釣魚鏈接。

所以，從這個角度來說，數(shù)據(jù)泄露一旦涉及個人信息隱私就無小事。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

參考資料：

【1】https://www.linkedin.com/pulse/thousands-razer-customers-order-shipping-details-web-diachenko

【2】https://arstechnica.com/information-technology/2020/09/100000-razer-users-data-leaked-due-to-misconfigured-elasticsearch/

【3】https://www.slashgear.com/razer-data-breach-indexed-by-search-engines-14637967/

【4】https://www.huxiu.com/article/307039.html

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。