燈大燈亮燈會(huì)閃！這是很多游戲發(fā)燒友對(duì)雷蛇外設(shè)的調(diào)侃。因?yàn)橹鞔螂姼?jìng)，其靚麗的 RGB 炫彩燈效幾乎已經(jīng)成了標(biāo)配，甚至因此獲得了電競(jìng)第一股的稱號(hào)。

不過(guò)，最近雷蛇卻被貼上了數(shù)據(jù)泄露的標(biāo)簽。

近日，據(jù)外媒報(bào)道，雷蛇由于錯(cuò)誤配置了云服務(wù)器，導(dǎo)致大量用戶的個(gè)人信息被泄露。泄露內(nèi)容包含了客戶的姓名、電話、郵件、送貨信息、內(nèi)部 ID 以及送貨地址。安全研究人員表示，這可能導(dǎo)致 10 億游戲用戶的隱私信息被泄露。

更為嚴(yán)重的是，這些泄露的數(shù)據(jù)不僅向公眾開放，還被公共搜索引擎索引。

事后，雷蛇也發(fā)布了緊急道歉聲明：

相關(guān)問(wèn)題已修復(fù)，可能會(huì)暴露客戶的訂單信息及寄送信息，但如信用卡號(hào)或密碼等敏感數(shù)據(jù)沒(méi)有暴露，雷蛇也對(duì) IT 安全和系統(tǒng)進(jìn)行了全面審查。

網(wǎng)友們也很淡定，表示游戲賬號(hào)內(nèi)沒(méi)什么重要的內(nèi)容，無(wú)需擔(dān)心。

數(shù)據(jù)泄露始末

這起數(shù)據(jù)泄露事件最早是一位安全專家 Volodymyr“ Bob” Diachenko 8 月18 日發(fā)現(xiàn)的。他發(fā)現(xiàn)儲(chǔ)存在 Elasticsearch 云集群的日志塊（log chunk）被錯(cuò)誤配置為公開訪問(wèn)狀態(tài)，這就意味著大量用戶信息能夠通過(guò)搜索引擎直接查看。

Bob 在發(fā)現(xiàn)這件事以后就立刻向雷蛇寫了郵件，希望能共同處理這個(gè)問(wèn)題，可是雷蛇方面并沒(méi)將該風(fēng)險(xiǎn)報(bào)告給相關(guān)的技術(shù)處理人員。在 Bob 與各種不相關(guān)員工溝通三周無(wú)效后，該集群被公開訪問(wèn)。

直到 9 月12 日，雷蛇官方才在 Linkedin 上回復(fù)了 Bob，表示他們已經(jīng)修復(fù)了該問(wèn)題，并且針對(duì)系統(tǒng)安全性做了全方位的檢查。雷蛇還表示，此次的泄露只包括訂單詳細(xì)信息，客戶和運(yùn)輸信息，并沒(méi)有涉及到信用卡、密碼以及其他隱私內(nèi)容。

而此時(shí)，距離數(shù)據(jù)泄露之時(shí)，已經(jīng)過(guò)去近一個(gè)月。

游戲數(shù)據(jù)泄露事件頻發(fā)

此次的雷蛇玩家數(shù)據(jù)泄露事件，暴露了游戲相關(guān)公司對(duì)于用戶隱私數(shù)據(jù)管理的不足，而這起數(shù)據(jù)泄露事件也絕非孤例。

今年 4 月起，匿名論壇 4chan 的用戶便開始不定期地曝光任天堂的內(nèi)部存檔數(shù)據(jù)，曝光的內(nèi)容涉及任天堂的主機(jī)操作系統(tǒng)、藝術(shù)設(shè)計(jì)與游戲源代碼等方面。

《超級(jí)馬里奧》《塞爾達(dá)傳說(shuō)》《寶可夢(mèng)》《星際火狐》《動(dòng)森》等游戲系列的開發(fā)資料都在泄露之列。

當(dāng)時(shí)有分析稱：

這些數(shù)據(jù)的泄露讓一些可能永遠(yuǎn)都不為人知的游戲彩蛋與開發(fā)秘聞重見天日；至于這些老游戲的 MOD 制作者與模擬器開發(fā)者，泄露的源代碼應(yīng)該能為他們的工作提供充分的便利。

但是“大泄露”事件的本質(zhì)，仍是對(duì)數(shù)據(jù)的竊取與不正當(dāng)使用。無(wú)論是對(duì)于任天堂的知識(shí)產(chǎn)權(quán)和商業(yè)利益，還是對(duì)于開發(fā)者的個(gè)人隱私，都將產(chǎn)生或多或少的負(fù)面影響。

再往前，去年 10 月，足球游戲《 FIFA 20》玩家資料也曾遭遇泄露，涉及 1600 多名玩家信息。

《 FIFA 20 》是由 EA 制作發(fā)行的足球游戲《 FIFA 》系列的續(xù)作，英格蘭足球運(yùn)動(dòng)員 George Hughes在該網(wǎng)站注冊(cè)賬號(hào)時(shí)發(fā)現(xiàn)，自己提交個(gè)人信息時(shí)頁(yè)面中顯示的是其他玩家的信息，其中包括了生日、電子郵件等私人信息。

被泄露的游戲數(shù)據(jù)能用來(lái)做什么？

那么，這些泄露的游戲數(shù)據(jù)究竟有什么用呢？

主要影響無(wú)非三種：

一是通過(guò)購(gòu)買用戶數(shù)據(jù)，諸如年齡、性別、收入等等?？梢詭椭?gòu)買者通過(guò)特定軟件打開圖表，上方清晰記載著受眾群體的細(xì)枝末節(jié)。

也就是說(shuō)，通過(guò)對(duì)玩家信息的收集和分析，可以為游戲開發(fā)帶來(lái)可見的好處。

以《CS：GO》為例，購(gòu)買者可能會(huì)針對(duì)每一張地圖，統(tǒng)計(jì)警匪雙方的勝率和獲勝方式。誰(shuí)贏得多？結(jié)束戰(zhàn)斗的方式是射殺、炸彈還是拖時(shí)間？接著再用研究所得來(lái)平衡地圖，或是制作新的地圖。

又比如，《CS：GO》在 2013 年更新了一把名為 M4A1-S 的新武器，結(jié)果它的使用占比 5 個(gè)月后激增到三分之一，這讓官方確信 M4A1-S 過(guò)于強(qiáng)力，需要一定程度的削弱，要么就用漲價(jià)的方式加以限制。

二是統(tǒng)計(jì)用戶行為的分類，往往會(huì)被用于定向廣告。

今年 1 月，國(guó)內(nèi)游戲平臺(tái) TapTap 曾收到大量玩家的投訴和反饋，聲稱個(gè)人隱私遭到了泄露，被手游推廣商頻頻以電話、短信騷擾。

有玩家表示，由于在 TapTap 預(yù)約《英雄聯(lián)盟手游》時(shí)填寫了自身手機(jī)號(hào)碼，第二天就收到了手游推廣的電話。有玩家甚至稱，只要注冊(cè)過(guò) TapTap 的用戶就會(huì)開始接到游戲推廣的電話。

對(duì)此，TapTap 聯(lián)合創(chuàng)始人回應(yīng)道，經(jīng)調(diào)查，涉及被騷擾用戶為全網(wǎng)各類游戲內(nèi)容相關(guān)愛好者。

在報(bào)案準(zhǔn)備過(guò)程中，TapTap 發(fā)現(xiàn)騷擾電話/信息有一些共有特征，比如對(duì)手游用戶投放精準(zhǔn)、對(duì)同一號(hào)碼反復(fù)撥打、通話的是機(jī)器人、騷擾模式類似（先來(lái)電，掛斷后馬上來(lái)短信）、短信中推廣的游戲內(nèi)容集中（多為網(wǎng)游下載頁(yè)面，且集中在某幾款游戲)。

所以，你知道為什么你的手機(jī)上總能收到一些莫名其妙的短信了吧。

三是通過(guò)釣魚郵件進(jìn)行詐騙。

在雷蛇的這次泄露事件中。安全研究人員就提醒用戶，犯罪分子可能利用客戶記錄發(fā)起有針對(duì)性的網(wǎng)絡(luò)釣魚攻擊，其中詐騙者會(huì)冒充雷蛇或相關(guān)公司，用戶應(yīng)隨時(shí)注意發(fā)送到其電話或電子郵件地址的網(wǎng)絡(luò)釣魚鏈接。

所以，從這個(gè)角度來(lái)說(shuō)，數(shù)據(jù)泄露一旦涉及個(gè)人信息隱私就無(wú)小事。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

參考資料：

【1】https://www.linkedin.com/pulse/thousands-razer-customers-order-shipping-details-web-diachenko

【2】https://arstechnica.com/information-technology/2020/09/100000-razer-users-data-leaked-due-to-misconfigured-elasticsearch/

【3】https://www.slashgear.com/razer-data-breach-indexed-by-search-engines-14637967/

【4】https://www.huxiu.com/article/307039.html

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。