[新聞] 《原神》驚傳 15 萬用戶帳號外泄,外國用戶公開部分外洩資料
《原神》驚傳 15 萬用戶帳號外泄,外國用戶公開部分外洩資料
https://news.xfastest.com/game/87176/enshin-impact-leaks-15w-user-acc/
在《原神》即將發表 1.1 版本的更新同時,在大約前天的時間,有外國用戶指出《原神
》有大約 15 萬用戶的帳號外洩,並且在論壇上與 Github 公開了部分已打馬賽克的數據
。
https://i.imgur.com/xRsA96P.jpg
↑ 被公布的部分數據列表,其中包含遊戲使用者名稱、UID、如果該帳戶有綁定 E-Mail
則會在後方加上該資訊。
雖然聲稱有 15 萬,但實際上這些被公布的數據大約僅有 1 萬 5000 筆左右,該用戶表
示目前僅公佈部分已打馬賽克的數據,並希望開發商米哈游能夠有更進一步的動作。
從被公布的數據來看,應該全部都不是中國大陸伺服器的資料 (使用 qq.com、163.com、
sina.com 這些 email 的資料非常少或幾乎沒有),此外如果以原神的下載量來說,若真
的僅有 15 萬筆的帳號應該不可能是直接自遊戲的帳密資料庫外洩出來導致。
筆者以手上已外洩的帳密 data breach 來進行部分對比,確實能夠找到部分前後三碼都
相對應的 email,甚至裡面有些被公布且未打碼的還有辦法找到一樣的 email 資料,以
這樣的數據量來看或許有可能是單純以密碼撞庫 (即在將他處洩漏的帳密填入並嘗試) 而
導致帳密外洩的,而非《原神》本身資安的問題。
當然基於法律與道德因素,筆者並沒有做出任何的嘗試登入的動作來驗證是否如此。
當然,該用戶也表示《原神》這款遊戲在帳密保護上確實相當不夠紮實,包含沒有針對單
一 IP 限制嘗試帳密的次數、沒有 2FA 兩階段驗證、沒有針對在異常國家 IP 登入的限
制或警告等等,僅有使用 Geetest (極驗) 的 CAPTCHA 作為防止機器人登入的唯一關卡
,但以極驗拼圖的驗證方案來說,採用網路上開源的 Python 程序也能有著一定機率來以
機器人成功通過驗證。
目前該外洩數據的 Github 已被作者下架。如果作為一個數位貨幣交易所,這樣的安全機
制的確是完全不合格,但作為一個在市場上還會有許多玩家販售與交換帳號的遊戲來說嗎
(縱使官方宣導並明文禁止用戶買賣與交換帳號) … 是否要將安全機制做到最好,其實
好像也是個有趣的問號。
截至目前,《原神》官方尚未對該事件做出進一步的解釋或聲明。
====
有點羅生門的意味....
先泡好茶看熱鬧。
--
「仗義十年成英雄,入魔只在一念間。」
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.233.145.31 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1604153046.A.84D.html
→
10/31 22:05,
5年前
, 1F
10/31 22:05, 1F
→
10/31 22:06,
5年前
, 2F
10/31 22:06, 2F
推
10/31 22:06,
5年前
, 3F
10/31 22:06, 3F
→
10/31 22:06,
5年前
, 4F
10/31 22:06, 4F
→
10/31 22:06,
5年前
, 5F
10/31 22:06, 5F
噓
10/31 22:06,
5年前
, 6F
10/31 22:06, 6F
→
10/31 22:07,
5年前
, 7F
10/31 22:07, 7F
→
10/31 22:07,
5年前
, 8F
10/31 22:07, 8F
推
10/31 22:08,
5年前
, 9F
10/31 22:08, 9F
推
10/31 22:09,
5年前
, 10F
10/31 22:09, 10F
→
10/31 22:10,
5年前
, 11F
10/31 22:10, 11F
→
10/31 22:11,
5年前
, 12F
10/31 22:11, 12F
推
10/31 22:12,
5年前
, 13F
10/31 22:12, 13F
→
10/31 22:12,
5年前
, 14F
10/31 22:12, 14F
→
10/31 22:16,
5年前
, 15F
10/31 22:16, 15F
→
10/31 22:17,
5年前
, 16F
10/31 22:17, 16F
推
10/31 22:19,
5年前
, 17F
10/31 22:19, 17F
→
10/31 22:19,
5年前
, 18F
10/31 22:19, 18F
→
10/31 22:21,
5年前
, 19F
10/31 22:21, 19F
推
10/31 22:22,
5年前
, 20F
10/31 22:22, 20F
→
10/31 22:23,
5年前
, 21F
10/31 22:23, 21F
→
10/31 22:29,
5年前
, 22F
10/31 22:29, 22F
推
10/31 22:31,
5年前
, 23F
10/31 22:31, 23F
→
10/31 22:32,
5年前
, 24F
10/31 22:32, 24F
→
10/31 22:32,
5年前
, 25F
10/31 22:32, 25F
→
10/31 22:32,
5年前
, 26F
10/31 22:32, 26F
推
10/31 22:33,
5年前
, 27F
10/31 22:33, 27F
→
10/31 22:35,
5年前
, 28F
10/31 22:35, 28F
推
10/31 22:37,
5年前
, 29F
10/31 22:37, 29F
→
10/31 22:37,
5年前
, 30F
10/31 22:37, 30F
推
10/31 22:38,
5年前
, 31F
10/31 22:38, 31F
→
10/31 22:38,
5年前
, 32F
10/31 22:38, 32F
推
10/31 22:42,
5年前
, 33F
10/31 22:42, 33F
→
10/31 22:50,
5年前
, 34F
10/31 22:50, 34F
→
10/31 22:50,
5年前
, 35F
10/31 22:50, 35F
推
10/31 22:57,
5年前
, 36F
10/31 22:57, 36F
→
10/31 22:57,
5年前
, 37F
10/31 22:57, 37F
→
10/31 23:32,
5年前
, 38F
10/31 23:32, 38F
噓
10/31 23:32,
5年前
, 39F
10/31 23:32, 39F
→
10/31 23:53,
5年前
, 40F
10/31 23:53, 40F
→
11/01 00:01,
5年前
, 41F
11/01 00:01, 41F
→
11/01 00:01,
5年前
, 42F
11/01 00:01, 42F
推
11/01 01:38,
5年前
, 43F
11/01 01:38, 43F
→
11/01 02:26,
5年前
, 44F
11/01 02:26, 44F
→
11/01 02:26,
5年前
, 45F
11/01 02:26, 45F
推
11/01 06:51,
5年前
, 46F
11/01 06:51, 46F
推
11/01 08:10,
5年前
, 47F
11/01 08:10, 47F
推
11/01 09:07,
5年前
, 48F
11/01 09:07, 48F
推
11/01 09:48,
5年前
, 49F
11/01 09:48, 49F
推
11/01 09:51,
5年前
, 50F
11/01 09:51, 50F
→
11/01 09:51,
5年前
, 51F
11/01 09:51, 51F
→
11/01 09:58,
5年前
, 52F
11/01 09:58, 52F
噓
11/01 18:26,
5年前
, 53F
11/01 18:26, 53F
推
11/01 19:13,
5年前
, 54F
11/01 19:13, 54F
→
11/02 14:52,
5年前
, 55F
11/02 14:52, 55F
→
11/02 14:53,
5年前
, 56F
11/02 14:53, 56F
推
11/02 16:24,
5年前
, 57F
11/02 16:24, 57F
→
11/02 16:24,
5年前
, 58F
11/02 16:24, 58F
→
11/02 16:24,
5年前
, 59F
11/02 16:24, 59F
推
11/03 09:15,
5年前
, 60F
11/03 09:15, 60F
討論串 (同標題文章)
以下文章回應了本文:
完整討論串 (本文為第 1 之 2 篇):
