《原神》惊传 15 万用户帐号外泄,外国用户公开部分外泄资料
https://news.xfastest.com/game/87176/enshin-impact-leaks-15w-user-acc/
在《原神》即将发表 1.1 版本的更新同时,在大约前天的时间,有外国用户指出《原神
》有大约 15 万用户的帐号外泄,并且在论坛上与 Github 公开了部分已打马赛克的数据
。
https://i.imgur.com/xRsA96P.jpg
↑ 被公布的部分数据列表,其中包含游戏使用者名称、UID、如果该帐户有绑定 E-Mail
则会在后方加上该资讯。
虽然声称有 15 万,但实际上这些被公布的数据大约仅有 1 万 5000 笔左右,该用户表
示目前仅公布部分已打马赛克的数据,并希望开发商米哈游能够有更进一步的动作。
从被公布的数据来看,应该全部都不是中国大陆服务器的资料 (使用 qq.com、163.com、
sina.com 这些 email 的资料非常少或几乎没有),此外如果以原神的下载量来说,若真
的仅有 15 万笔的帐号应该不可能是直接自游戏的帐密数据库外泄出来导致。
笔者以手上已外泄的帐密 data breach 来进行部分对比,确实能够找到部分前后三码都
相对应的 email,甚至里面有些被公布且未打码的还有办法找到一样的 email 资料,以
这样的数据量来看或许有可能是单纯以密码撞库 (即在将他处泄漏的帐密填入并尝试) 而
导致帐密外泄的,而非《原神》本身资安的问题。
当然基于法律与道德因素,笔者并没有做出任何的尝试登入的动作来验证是否如此。
当然,该用户也表示《原神》这款游戏在帐密保护上确实相当不够扎实,包含没有针对单
一 IP 限制尝试帐密的次数、没有 2FA 两阶段验证、没有针对在异常国家 IP 登入的限
制或警告等等,仅有使用 Geetest (极验) 的 CAPTCHA 作为防止机器人登入的唯一关卡
,但以极验拼图的验证方案来说,采用网络上开源的 Python 程序也能有着一定机率来以
机器人成功通过验证。
目前该外泄数据的 Github 已被作者下架。如果作为一个数位货币交易所,这样的安全机
制的确是完全不合格,但作为一个在市场上还会有许多玩家贩售与交换帐号的游戏来说吗
(纵使官方宣导并明文禁止用户买卖与交换帐号) … 是否要将安全机制做到最好,其实
好像也是个有趣的问号。
截至目前,《原神》官方尚未对该事件做出进一步的解释或声明。
====
有点罗生门的意味....
先泡好茶看热闹。