《原神》惊传 15 万用户帐号外泄，外国用户公开部分外泄资料
https://news.xfastest.com/game/87176/enshin-impact-leaks-15w-user-acc/
在《原神》即将发表 1.1 版本的更新同时，在大约前天的时间，有外国用户指出《原神
》有大约 15 万用户的帐号外泄，并且在论坛上与 Github 公开了部分已打马赛克的数据
。
https://i.imgur.com/xRsA96P.jpg
↑ 被公布的部分数据列表，其中包含游戏使用者名称、UID、如果该帐户有绑定 E-Mail
则会在后方加上该资讯。
虽然声称有 15 万，但实际上这些被公布的数据大约仅有 1 万 5000 笔左右，该用户表
示目前仅公布部分已打马赛克的数据，并希望开发商米哈游能够有更进一步的动作。
从被公布的数据来看，应该全部都不是中国大陆服务器的资料 (使用 qq.com、163.com、
sina.com 这些 email 的资料非常少或几乎没有)，此外如果以原神的下载量来说，若真
的仅有 15 万笔的帐号应该不可能是直接自游戏的帐密数据库外泄出来导致。
笔者以手上已外泄的帐密 data breach 来进行部分对比，确实能够找到部分前后三码都
相对应的 email，甚至里面有些被公布且未打码的还有办法找到一样的 email 资料，以
这样的数据量来看或许有可能是单纯以密码撞库 (即在将他处泄漏的帐密填入并尝试) 而
导致帐密外泄的，而非《原神》本身资安的问题。
当然基于法律与道德因素，笔者并没有做出任何的尝试登入的动作来验证是否如此。
当然，该用户也表示《原神》这款游戏在帐密保护上确实相当不够扎实，包含没有针对单
一 IP 限制尝试帐密的次数、没有 2FA 两阶段验证、没有针对在异常国家 IP 登入的限
制或警告等等，仅有使用 Geetest (极验) 的 CAPTCHA 作为防止机器人登入的唯一关卡
，但以极验拼图的验证方案来说，采用网络上开源的 Python 程序也能有着一定机率来以
机器人成功通过验证。
目前该外泄数据的 Github 已被作者下架。如果作为一个数位货币交易所，这样的安全机
制的确是完全不合格，但作为一个在市场上还会有许多玩家贩售与交换帐号的游戏来说吗
(纵使官方宣导并明文禁止用户买卖与交换帐号) … 是否要将安全机制做到最好，其实
好像也是个有趣的问号。
截至目前，《原神》官方尚未对该事件做出进一步的解释或声明。
====
有点罗生门的意味....
先泡好茶看热闹。

这好像贴过了？

蛤 这不是玩之前就知道的事情吗

中国游戏，很正常吧，反正都要给党的

op

噗

这跟后门是两件事，之前贴过了，这是用暴力硬破，不是米哈游泄漏，也看一下内文

中国游戏很正常不是吗

个资在中国0.001NTD的样子~忘记了!之前有人算过

意外吗？

好像有人贴过了

有人看到中国支付宝就高潮了，没想过都是无视人民隐私和人权强行推广的产物

暴力刷有办法刷15万笔 这锅原神也要背吧通常会捧支付宝的 不会管你后面什么隐私人权的议题...

原神那下载量 15算真的算小数目搞不好里面密码还有123456 qwerasdf qazwsx这种低能密码

OP，我懒了

反正没有限制单一IP尝试次数 用年月日去赌那些用生日当密码的智障也能撞到一堆

以后可以不用农了 直接去交易平台买课长的帐号了

中国本来也根本没有强化防火的习惯吧?强化防火投入大量的成本只能换来信用，对中国人而言他们根本不在乎吧?中国的软件有在强化防火的嘛?

昨天那篇的米卫兵怎么还没来喷钱包理论

还敢玩原神啊XD

泄了

玩的就不要在乎阿，给网络随机有心人看与被维尼看有差吗?

早就辟谣了 还更新密码错误太多次会有锁帐时间觉青继续愤怒黑

@npc776 我懒！

暴力破解法然后说资安不足 咲死 资安不足的是密码被暴力破解的那些人吧

2FA 应该是要标配了，不过以一个炒短线的手游而言，做不到也是合情合理

原神炒短线XD 幽默

OP

手游2FA什么时后变成标配了…？

就跟在台湾却用支付宝的心态一样啊，明明没多好用又要扛一堆风险

这也算新闻？

哪几个手游在用2FA啊？几乎都是ID 引继码 或是ID 加密码吧？能不能举例一下？

呃，意外吗？

很意外吗？

原神玩家根本不在意，早就全都奉献给党了

不意外

2FA 在跟你讲帐号验证机制避免被暴力法破解/重设帐号，谁在跟你讨论 ID 引继码