總被黑客“惦記”的游戲廠商，還有什么好辦法嗎

本文來自微信公眾號：觸樂 （ID：chuappgame），作者：祝思齊

俗話說，“只有千日做賊，哪有千日防賊的”。意思是，哪怕一個人警惕性很高，但被賊人隨時惦記著，也難免會有疏漏。

不幸的是，在游戲廠商身上，這句話似乎總在得到應(yīng)驗。

1 月 21 日，拳頭游戲（Riot Games）發(fā)表聲明稱，公司的內(nèi)部資料遭到黑客竊取，隨后收到了涉事黑客的勒索郵件。當(dāng)然，拳頭拒絕了對方以贖金挽回損失的交涉要求。與此同時，拳頭承諾：“可以確定，沒有任何用戶的資料和個人信息因為此事件受到影響?！?/p>

據(jù)第三方數(shù)據(jù)安全機構(gòu)透露，拳頭被竊取的資料涉及游戲《英雄聯(lián)盟》《云頂之弈》的源代碼，以及一個應(yīng)用于《無畏契約》的反作弊平臺的源代碼。黑客為此索要的“封口費”高達 1000 萬美元。因為拳頭無意交涉，勒索不成的黑客將源代碼文件放在某論壇上拍賣，還把文件目錄做成了 PDF 文件供人參閱。源代碼的打包起拍價為 100 萬美元。

這個事件甚至沒有大肆傳播開來，也許是因為，廠商類似的遭遇逐漸不再成為新聞。大廠遭黑客攻擊的事件在這幾年層出不窮，而且過程都差不多。

黑客們最普通、最常見的手段可能是 DDoS 攻擊。簡單來說，這種攻擊相當(dāng)于生成一大堆數(shù)據(jù)包，讓線上游戲的服務(wù)器對數(shù)據(jù)的處理量短時間內(nèi)激增，不堪重負。在此期間，正常玩家?guī)缀鯚o法上線，十分影響游戲體驗，嚴(yán)重的可以導(dǎo)致游戲關(guān)服。2021 年 9 月發(fā)布的《2021 上半年全球 DDoS 威脅報告》顯示，全球范圍內(nèi)，這類攻擊的受害方有 39% 都是游戲公司。值得一提的是，攻擊者不僅是有組織的專業(yè)黑客，也有概率來自惡意作弊的游戲玩家。由于網(wǎng)絡(luò)黑產(chǎn)的存在，即使普通人也有渠道買到發(fā)起這類攻擊的工具。

一些更大型的、后果更嚴(yán)重的數(shù)據(jù)安全危機也頻頻進入玩家視野。這類攻擊中的黑客往往更為專業(yè)，偷竊的數(shù)據(jù)對游戲公司來說更加機密。他們最初的目的往往是拿數(shù)據(jù)敲詐勒索。如果游戲公司拒絕支付贖金，有的黑客會像本次拳頭事件一樣，企圖轉(zhuǎn)手把數(shù)據(jù)賣給別人，有的也會選擇公開把數(shù)據(jù)分享出來。

從這些黑客牟利不成就公開數(shù)據(jù)的行為來看，在威逼以獲得金錢之外，他們也許很享受這種行徑給自身帶來的注目感，也樂于見到各種機密信息被公之于眾給游戲公司帶來的難堪局面。再加上玩家們天然的好奇心和對廠商新動向的密切關(guān)注，游戲公司越出名、規(guī)模越大，整件事就變得越來越偏離信息犯罪的本質(zhì)，仿佛一場離奇的嘉年華。

深受其害的游戲公司

從以往案例來看，叫得出名字的一線游戲大廠幾乎都遭受過大型的黑客入侵。就算只看最近幾年，很多事件玩家們也耳熟能詳。

2020 年，任天堂在一次黑客攻擊事件中有 30 萬用戶信息被盜，黑客操縱被盜賬戶進行各種游戲內(nèi)交易，不少玩家遭受了金錢損失。也是在這一年，頑皮狗的服務(wù)器被入侵，導(dǎo)致《最后生還者：第二部》的劇情嚴(yán)重泄露。同年年底，育碧的內(nèi)網(wǎng)遭到攻擊，《看門狗：軍團》的源代碼泄露，黑客將代碼免費發(fā)布上網(wǎng)，可以公開下載。

2021 年 2 月，CD Projekt Red 的內(nèi)網(wǎng)被入侵，黑客盜取了《賽博朋克 2077》和《巫師 3：狂獵》的源代碼。在 CDPR 拒絕支付勒索金后，數(shù)據(jù)被以 700 萬美金的價格拍賣。6 月，EA 公司有超過 780GB 的數(shù)據(jù)被盜，包括旗下眾多游戲的源代碼，甚至還包括“寒霜”引擎和一些開發(fā)工具的代碼。EA 同樣拒絕與黑客談判，這些數(shù)據(jù)后來都被違法地公之于眾。

2020 年 11 月卡普空遭受的黑客攻擊，可能是最常被玩家群體談起的事件，不僅是因為那次數(shù)據(jù)泄露非常嚴(yán)重，還因為黑客在勒索不成之后一系列非常具有戲劇性的操作。11 月 2 日，卡普空總部的內(nèi)網(wǎng)遭到入侵，黑客竊取了約 1TB 的機密資料，其中包括各類通常是商業(yè)機密的銷售信息、一些員工和會員的個人信息，以及卡普空旗下各大系列游戲的發(fā)售計劃。

以這些極為敏感的數(shù)據(jù)為要挾，黑客向卡普空公開發(fā)出郵件，勒令卡普空在有限的時間內(nèi)作出回應(yīng)，支付巨額報酬。但就和其他同行一樣，不管是從大廠的尊嚴(yán)，還是從法律層面考慮，卡普空沒有與黑客們談判，只是向被泄露了信息的玩家和客戶群體發(fā)布了風(fēng)險提示。

黑客似乎有些惱羞成怒。在之后近一周的時間里，始作俑者每天在線上放出一點“猛料”，其中有不少關(guān)于新作的消息。一時間，玩家群體當(dāng)中出現(xiàn)了一陣“舅舅黨”的狂歡熱潮，比看 TGA 發(fā)布預(yù)告片還熱鬧?？ㄆ湛崭鞔?IP 新作的消息傳遍網(wǎng)絡(luò)，許多人將這次泄露戲稱為黑客提前替卡普空辦了一場“文字版發(fā)布會”。

當(dāng)時泄露的不少重磅內(nèi)容都被時間證明是真實的，或者說非常接近于事實。比如，《生化危機：村莊》在 2021 年 5 月發(fā)售，只比泄露的消息晚了一個月；原本是 NS 獨占的《怪物獵人：崛起》也果然如黑客所言，移植到了 PC 以及其他平臺上；《大逆轉(zhuǎn)裁判：編年史》的多平臺移植也如期而至。

其他一些消息就和實際情況有所出入了。比如，泄露資料顯示，《街霸 6》和《逆轉(zhuǎn)裁判 7》將會在 2021 年第三季度發(fā)售。目前看來，《街霸 6》仍處在宣傳階段，尚未正式與玩家見面；新作《逆轉(zhuǎn)裁判 7》和移植合集《逆轉(zhuǎn)裁判 456》則連影子都沒有。一些未公開項目的發(fā)布計劃也沒有得到印證。當(dāng)然，開發(fā)中的游戲何時上市本來就存在變數(shù)，卡普空自己也不可能百分百按計劃執(zhí)行。

一些玩家戲稱，黑客的行為是對卡普空的“反向爆破”，意思是，這么一出鬧劇的最終效果，像是幫游戲公司免費打了一通廣告，但外界也很難判斷，那些變更了的計劃是不是這次泄露事件的后果，那些被泄露的個人信息，也許還造成了許多未公開的損失。

另一次重磅泄密來自 Rockstar Games。2022 年 9 月，90 段“三男一狗 6”的開發(fā)中實機影像被非法公開在網(wǎng)絡(luò)上。這部續(xù)作玩家們已經(jīng)翹首期盼多年，卻一直缺乏官方消息解饞。理所當(dāng)然地，泄露視頻在社交網(wǎng)絡(luò)上迅速傳播，并且引發(fā)了極大的輿論風(fēng)波。部分玩家對著開發(fā)中影像評頭論足，批評畫質(zhì)和玩法設(shè)計，認為續(xù)作不符合預(yù)期。R 星的官方公告則表示，很遺憾新作以這種方式與玩家見面，他們正在全力確保開發(fā)進度不會受到影響。

事件發(fā)酵到一定程度后，R 星之外的大廠從業(yè)者們也坐不住了，紛紛站出來力挺同行。他們說，R 星面臨的局面 —— 對開發(fā)中片段斷章取義的輿論狀況 —— 就是數(shù)據(jù)泄露最大的惡果之一，也是很多開發(fā)者不愿意太早公開新作消息的原因之一。某種意義上，這次泄露揭開了開發(fā)者與玩家群體關(guān)系中矛盾的一面。雖然大部分開發(fā)者樂于與玩家積極溝通，維護良好的關(guān)系，但在一般玩家缺乏專業(yè)知識的背景下，哪怕是有極少數(shù)的“網(wǎng)絡(luò)噴子”和騷擾者存在，有時候也會對開發(fā)進度以及開發(fā)者們的身心造成負面影響。

中小廠商的困境

上面的這些事大多出現(xiàn)在頗具規(guī)模的游戲大廠身上。黑客們樂于瞄準(zhǔn)大廠，也許不光是因為財大氣粗，付得起幾百上千萬的贖金，大廠作品知名、玩家眾多，一旦數(shù)據(jù)或服務(wù)器出現(xiàn)問題，影響范圍廣，很容易搞出爆炸性新聞，躲在暗處的始作俑者一不小心還能“名利雙收”。

但另一方面，大廠往往會拒絕敲詐。它們底盤穩(wěn)固，本身的開發(fā)和運營不會因此受到特別大的直接沖擊。在眾多事件發(fā)生后廠商發(fā)布的官方通告中，“沒有用戶信息泄露”和“開發(fā)仍在穩(wěn)步進行”是最為常見的兩條說辭。

一些小廠就沒這么幸運了。一方面，小廠影響力沒那么大，黑客造訪只為圖財。圖不到財，沒有什么額外曝光價值的話，廠商很容易被“撕票”，嚴(yán)重的甚至影響旗下游戲的生存。

觸樂曾經(jīng)報道過這類無端遭難的廠商，這些廠商面臨的大多是 DDoS 攻擊造成的服務(wù)器異常。一款 PvP 手游《弈劍行》上線才一天，就因為對戰(zhàn)服務(wù)器被攻擊癱瘓，宣布停服。這類中小廠商開發(fā)成本有限，本來就很難提前購買高級防御服務(wù)，而開服正是游戲生命周期最關(guān)鍵的時候。玩家興沖沖下載了游戲，結(jié)果發(fā)現(xiàn)無法登錄，玩不了，氣得轉(zhuǎn)頭就走，可能就再也不回來了。

不給錢，處理癱瘓服務(wù)器的每一天都意味著損失；給錢，則有可能從此在同行面前抬不起頭來，開發(fā)者內(nèi)心也咽不下這口氣。諷刺的是，上面那篇報道的主人公收到的黑客勒索郵件中，要求的金額是 2 萬元，而當(dāng)時購買高級防御服務(wù)的成本是 5 萬。小型開發(fā)商面臨的選擇中，“破財消災(zāi)”顯然是更理性，但也更屈辱的選項。當(dāng)然，被“黑”本來就是無妄之災(zāi)，這種奇特的選擇本不該出現(xiàn)。

一個沮喪的事實是，在回顧這些新聞的時候，大廠和中小廠商的遭遇顯現(xiàn)出一個令人無奈的共同點 —— 所有的事件最后幾乎都不了了之?？ㄆ湛赵?2021 年 4 月出具了最終調(diào)查報告，聲稱會更新設(shè)備和加強相關(guān)人員的安全培訓(xùn)，其他大部分新聞則找不到什么后續(xù)。網(wǎng)絡(luò)攻擊是個世界性難題，不僅跨國打擊困難重重，互聯(lián)網(wǎng)本身也還有太多法外之地。中小廠商即使報警和備案也不太可能阻止這類事情繼續(xù)發(fā)生，更難以挽回損失。國內(nèi)的開發(fā)者只能寄希望于更靠譜的發(fā)行商以及日漸升級的技術(shù)手段幫助他們未雨綢繆。

這次拳頭遭遇的事件，后續(xù)會如何發(fā)酵尚且未知。期望不被賊惦記實在是有些太難，也許我們更實際的期望是，這類泄露不會再變成“舅舅黨”的狂歡和詭異的玩家群體嘉年華。就讓那些被泄露的數(shù)據(jù)安靜地待在暗處吧。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。