就在前幾天,來自香港的《GameApps.hk》首當其衝地發表了一篇名為「《原神》15 萬用戶帳號外泄 外國用戶公開被盜帳戶列表 看看你有沒有中招」的新聞,其內容說道:
米哈游旗下遊戲《原神》吸金力強勁,首月勁賺 2 億美元,不過近日在外國米哈游官方論壇上,有用戶爆出了《原神》安全問題,並表示有 15 萬用戶資料已經被流出到網絡上。
事情看似非常有根據,而這一切都來自於一位名為「Baseult」的德國網友所為。該網友表示米哈游的網站安全性在多個標準裡只有符合其中一種,那就是:在登入的時候加入驗證碼;沒了。
並表明整個資料庫與登入系統都已經被暴力破解出至少 15 萬筆使用者資料且已經上傳到 GitHub 名為「Genshin-Impact-Leaks—Stored-by-Baseult」程式碼倉庫(現今已遭到移除)供許多人做驗證。不過當然…這麼嚴重的資料,仍可以在網路上找到備份。
事件一出,台灣的網友馬上就在 PTT、巴哈姆特、Facebook 爭先恐後地分享這則消息。不少人以為是帳號資料庫外洩,但根據原文表示以「暴力破解」來形容這次的事件會更為準確(暴力破解即為不斷地猜測使用者的密碼,直到能夠登入為止)。
亦有一位名為「穎珊菲熊」在 Facebook 中貼文,其文章的留言紛紛表示:自己的朋友已經被盜刷卡、有自己在名單裡。當然也有不少人用揶揄的方式說著:「玩正版薩爾達都不會被盜」「笑死被盜一盜活該」。
原神才剛登上下載與收益的排行榜甚至名列前茅,令上千萬位玩家一夕之間成為受害者。但事實真的是這樣嗎?就在事件發生的幾天後,整個案情的風向出現了轉折。
原作者是真的好心,還是在釣魚?
就在事件發生的幾天後,那位來自德國的始作俑者「Baseult」非常好心地建立了一個名為「mihoyo.digital」的官方網站(現已被徹下),並歡迎大家輸入自己的電子信箱來查詢自己是否在資料庫裡。多數人可能不明白,但這就是所謂的「網路釣魚」而你的資料很有可能就會被騙走。
根據 mihoyo.digital 的網頁資料統計表示:資料庫裡已有 156,218 筆帳號資料、搜尋按鈕已被按下 16,214 次、已經有 1,986 位使用者被警告資料已經外洩。但這是真正的資料嗎?
透過檢視網頁原始碼來看,Baseult 使用的是 PHP 作為程式語言替玩家們輸入電子信箱來搜尋自己的資料。奇怪的是…首頁網頁的副檔名為「.html」這意味著這個網頁的資料基本上是寫死的。
因此統計數據可能並非真正的資料,而是事先人為鍵入的;這個網頁唯一會做的事情就只有把你輸入的資料傳送到 Baseult 的網站。沒有人知道資料送出後實際上會發生什麼事。
就在 Baseult 告訴大家可以透過自己的網站以電子信箱地址查詢自己的原神帳號是否有外洩時——Reddit 出現了一篇名為「If you have used a website which claims that it can check whether your miHoYo account info has been leaked, change your password right now」的置頂文章,表示:這種行為很有可能是在進行個資釣魚,不要把你的資料交出去。
對於 Baseult 的一番好心,不少人抱持懷疑的態度。有人認為洩漏的帳號都已經透過 GitHub 呈現了,何必自行架設一個網站用來讓使用者再次輸入個資,而非直接在 GitHub 中的洩漏名單查詢?
那些洩漏的資料幾乎都不正確
很快地,在 Reddit 的另一個名為「Genshin Impact 150,000 User Data Breach」中就有人發現洩漏的那份名單裡,有某些事情不對勁。
- 使用者編號開頭編號不正確:美國玩家為 6 開頭、歐洲玩家為 7 而亞洲玩家則為 8。
- 使用者編號長度不正確:長度通常為 9 位數,但洩漏名單裡竟然出現 7 位數的長度。
- 電子信箱的關聯性偏低:有位使用 samdalton.co.uk 作為電子信箱的使用者,該網站竟然是多年前沒在更新的部落格。
當我們實際把那些清單的部份使用者編號拿到《原神》遊戲裡做查詢的時候,能夠得到的也只有「UID不存在」表示找不到該使用者。這很有可能只是因為伺服器跨區而無法找到該使用者,但已經在嘗試至少 10 個來自洩漏清單的使用者編號後,這就是唯一能夠得到的結果。
然而在那幾天後,巴哈姆特也出現了一篇「【討論】(帳號外洩)假消息證明請自行服用」表示此次事件可能為假消息的相關證據,基本與上方的論述大同小異。
看似一場煽動的騙局,而你站在哪方?
這次的資料洩漏事件在一番查證之後,似乎沒有真正的受害者出來說話(當然,如果你不計那些 Facebook 的揶揄或反串言論的話)雖然我們無從得知到底有沒有人的資料受到侵害,但可以證明一件事情:來自中國的東西,無論事情的真相為何,先罵再說。
令人意外的是這件事情在 Reddit 上,有許多網友看似都保持中立的態度。事實的真相還未揭穿之前,這位香港網友就遭到 Reddit 版主刪除文章,並且被多數網友一致 Downvote(按噓)。
吵得很兇的後門事件,你還記得嗎?
這次的事件如同先前《原神》的防外掛監聽程式一樣。大多數人意識到遊戲關閉之後仍會有背景程式在執行,並且在未經查證的情況下就直指為惡意間諜軟體,同時表示《原神》會將你電腦的所有資料都送回中國。
雖然吵的沸沸揚揚,卻完全沒有人可以出來證實資料確實被竊盜且回傳至中國。不過有趣的是,擁有相同設計的並非僅有《原神》。屬於 RIOT 旗下的 Valorant 也擁有著開機常駐的防外掛監聽程式,則意外地沒有遭受到那麼大的輿論抨擊。
我們的現在發展到哪了?
《原神》是款抄襲的遊戲,對——毋庸置疑。無論是從遊戲中的「寶箱」(薩爾達)或是近期最新的「元素烘爐」(Destiny 2)甚至是人物的移動方式(尼爾:自動人形)還有更多…數不盡的抄襲對象。
但多數人以「來自中國的糞作」還有「不費一絲力氣抄襲來的遊戲」把 《原神》說的一文不值且故步自封地拒絕體驗這款「糞作」;倘若靜下心來仔細看待…則會發現更多這款遊戲上檯面沒有告訴你的事情。
也許正如「《原神》最糟的不是抄襲,而是希望你覺得它有抄襲」一文提到的:若能把《原神》與《薩爾達傳說—曠野之息》兩者相提並論,想必是兩者其中有一款沒玩過。比起隨著風向任由他人擺佈,自己跳下來體驗一番看看這款遊戲到底抄的有多「爛」又何妨?相信你會找到許多樂趣;當然,也有可能會讓你覺得它更糞。
台灣目前的遊戲公司又有什麼能力可以做到這樣的程度呢?先前網銀砸重本研發的 《CODE2040》 最後因為遊戲效能最佳化的問題,導致還未正式開放就已經令玩家興致缺缺;雷亞遊戲也因為「ICE 事件」讓不少人感到失望;希萌創意代理的某些遊戲雖然小有人氣,但仍在試水溫的階段。
但願…有天我們可以集結起來做出一款比《原神》還要更令人感到轟動的遊戲;當然——盡量不要抄襲啦。