本文来自微信公众号:触乐 (ID:chuappgame),作者:祝思齐,题图来自:视觉中国
俗话说,“只有千日做贼,哪有千日防贼的”。意思是,哪怕一个人警惕性很高,但被贼人随时惦记着,也难免会有疏漏。
不幸的是,在游戏厂商身上,这句话似乎总在得到应验。
1月21日,拳头游戏(Riot Games)发表声明称,公司的内部资料遭到黑客窃取,随后收到了涉事黑客的勒索邮件。当然,拳头拒绝了对方以赎金挽回损失的交涉要求。与此同时,拳头承诺:“可以确定,没有任何用户的资料和个人信息因为此事件受到影响。”
据第三方数据安全机构透露,拳头被窃取的资料涉及游戏《英雄联盟》《云顶之弈》的源代码,以及一个应用于《无畏契约》的反作弊平台的源代码。黑客为此索要的“封口费”高达1000万美元。因为拳头无意交涉,勒索不成的黑客将源代码文件放在某论坛上拍卖,还把文件目录做成了PDF文件供人参阅。源代码的打包起拍价为100万美元。
这个事件甚至没有大肆传播开来,也许是因为,厂商类似的遭遇逐渐不再成为新闻。大厂遭黑客攻击的事件在这几年层出不穷,而且过程都差不多。
黑客们最普通、最常见的手段可能是DDoS攻击。简单来说,这种攻击相当于生成一大堆数据包,让线上游戏的服务器对数据的处理量短时间内激增,不堪重负。在此期间,正常玩家几乎无法上线,十分影响游戏体验,严重的可以导致游戏关服。2021年9月发布的《2021上半年全球DDoS威胁报告》显示,全球范围内,这类攻击的受害方有39%都是游戏公司。
值得一提的是,攻击者不仅是有组织的专业黑客,也有概率来自恶意作弊的游戏玩家。由于网络黑产的存在,即使普通人也有渠道买到发起这类攻击的工具。
一些更大型的、后果更严重的数据安全危机也频频进入玩家视野。这类攻击中的黑客往往更为专业,偷窃的数据对游戏公司来说更加机密。他们最初的目的往往是拿数据敲诈勒索。如果游戏公司拒绝支付赎金,有的黑客会像本次拳头事件一样,企图转手把数据卖给别人,有的也会选择公开把数据分享出来。
从这些黑客牟利不成就公开数据的行为来看,在威逼以获得金钱之外,他们也许很享受这种行径给自身带来的注目感,也乐于见到各种机密信息被公之于众给游戏公司带来的难堪局面。再加上玩家们天然的好奇心和对厂商新动向的密切关注,游戏公司越出名、规模越大,整件事就变得越来越偏离信息犯罪的本质,仿佛一场离奇的嘉年华。
深受其害的游戏公司
从以往案例来看,叫得出名字的一线游戏大厂几乎都遭受过大型的黑客入侵。就算只看最近几年,很多事件玩家们也耳熟能详。
2020年,任天堂在一次黑客攻击事件中有30万用户信息被盗,黑客操纵被盗账户进行各种游戏内交易,不少玩家遭受了金钱损失。也是在这一年,顽皮狗的服务器被入侵,导致《最后生还者:第二部》的剧情严重泄露。同年年底,育碧的内网遭到攻击,《看门狗:军团》的源代码泄露,黑客将代码免费发布上网,可以公开下载。
2021年2月,CD Projekt Red的内网被入侵,黑客盗取了《赛博朋克2077》和《巫师3:狂猎》的源代码。在CDPR拒绝支付勒索金后,数据被以700万美金的价格拍卖。6月,EA公司有超过780GB的数据被盗,包括旗下众多游戏的源代码,甚至还包括“寒霜”引擎和一些开发工具的代码。EA同样拒绝与黑客谈判,这些数据后来都被违法地公之于众。
2020年11月卡普空遭受的黑客攻击,可能是最常被玩家群体谈起的事件,不仅是因为那次数据泄露非常严重,还因为黑客在勒索不成之后一系列非常具有戏剧性的操作。11月2日,卡普空总部的内网遭到入侵,黑客窃取了约1TB的机密资料,其中包括各类通常是商业机密的销售信息、一些员工和会员的个人信息,以及卡普空旗下各大系列游戏的发售计划。
以这些极为敏感的数据为要挟,黑客向卡普空公开发出邮件,勒令卡普空在有限的时间内作出回应,支付巨额报酬。但就和其他同行一样,不管是从大厂的尊严,还是从法律层面考虑,卡普空没有与黑客们谈判,只是向被泄露了信息的玩家和客户群体发布了风险提示。
黑客似乎有些恼羞成怒。在之后近一周的时间里,始作俑者每天在线上放出一点“猛料”,其中有不少关于新作的消息。一时间,玩家群体当中出现了一阵“舅舅党”的狂欢热潮,比看TGA发布预告片还热闹。卡普空各大IP新作的消息传遍网络,许多人将这次泄露戏称为黑客提前替卡普空办了一场“文字版发布会”。
当时泄露的不少重磅内容都被时间证明是真实的,或者说非常接近于事实。比如,《生化危机:村庄》在2021年5月发售,只比泄露的消息晚了一个月;原本是NS独占的《怪物猎人:崛起》也果然如黑客所言,移植到了PC以及其他平台上;《大逆转裁判:编年史》的多平台移植也如期而至。
其他一些消息就和实际情况有所出入了。比如,泄露资料显示,《街霸6》和《逆转裁判7》将会在2021年第三季度发售。目前看来,《街霸6》仍处在宣传阶段,尚未正式与玩家见面;新作《逆转裁判7》和移植合集《逆转裁判456》则连影子都没有。一些未公开项目的发布计划也没有得到印证。当然,开发中的游戏何时上市本来就存在变数,卡普空自己也不可能百分百按计划执行。
一些玩家戏称,黑客的行为是对卡普空的“反向爆破”,意思是,这么一出闹剧的最终效果,像是帮游戏公司免费打了一通广告,但外界也很难判断,那些变更了的计划是不是这次泄露事件的后果,那些被泄露的个人信息,也许还造成了许多未公开的损失。
另一次重磅泄密来自Rockstar Games。2022年9月,90段“三男一狗6”的开发中实机影像被非法公开在网络上。这部续作玩家们已经翘首期盼多年,却一直缺乏官方消息解馋。理所当然地,泄露视频在社交网络上迅速传播,并且引发了极大的舆论风波。部分玩家对着开发中影像评头论足,批评画质和玩法设计,认为续作不符合预期。R星的官方公告则表示,很遗憾新作以这种方式与玩家见面,他们正在全力确保开发进度不会受到影响。
事件发酵到一定程度后,R星之外的大厂从业者们也坐不住了,纷纷站出来力挺同行。他们说,R星面临的局面——对开发中片段断章取义的舆论状况——就是数据泄露最大的恶果之一,也是很多开发者不愿意太早公开新作消息的原因之一。
某种意义上,这次泄露揭开了开发者与玩家群体关系中矛盾的一面。虽然大部分开发者乐于与玩家积极沟通,维护良好的关系,但在一般玩家缺乏专业知识的背景下,哪怕是有极少数的“网络喷子”和骚扰者存在,有时候也会对开发进度以及开发者们的身心造成负面影响。
中小厂商的困境
上面的这些事大多出现在颇具规模的游戏大厂身上。黑客们乐于瞄准大厂,也许不光是因为财大气粗,付得起几百上千万的赎金,大厂作品知名、玩家众多,一旦数据或服务器出现问题,影响范围广,很容易搞出爆炸性新闻,躲在暗处的始作俑者一不小心还能“名利双收”。
但另一方面,大厂往往会拒绝敲诈。它们底盘稳固,本身的开发和运营不会因此受到特别大的直接冲击。在众多事件发生后厂商发布的官方通告中,“没有用户信息泄露”和“开发仍在稳步进行”是最为常见的两条说辞。
一些小厂就没这么幸运了。一方面,小厂影响力没那么大,黑客造访只为图财。图不到财,没有什么额外曝光价值的话,厂商很容易被“撕票”,严重的甚至影响旗下游戏的生存。
触乐曾经报道过这类无端遭难的厂商,这些厂商面临的大多是DDoS攻击造成的服务器异常。一款PvP手游《弈剑行》上线才一天,就因为对战服务器被攻击瘫痪,宣布停服。这类中小厂商开发成本有限,本来就很难提前购买高级防御服务,而开服正是游戏生命周期最关键的时候。玩家兴冲冲下载了游戏,结果发现无法登录,玩不了,气得转头就走,可能就再也不回来了。
不给钱,处理瘫痪服务器的每一天都意味着损失;给钱,则有可能从此在同行面前抬不起头来,开发者内心也咽不下这口气。讽刺的是,上面那篇报道的主人公收到的黑客勒索邮件中,要求的金额是2万元,而当时购买高级防御服务的成本是5万。小型开发商面临的选择中,“破财消灾”显然是更理性,但也更屈辱的选项。当然,被“黑”本来就是无妄之灾,这种奇特的选择本不该出现。
一个沮丧的事实是,在回顾这些新闻的时候,大厂和中小厂商的遭遇显现出一个令人无奈的共同点——所有的事件最后几乎都不了了之。卡普空在2021年4月出具了最终调查报告,声称会更新设备和加强相关人员的安全培训,其他大部分新闻则找不到什么后续。
网络攻击是个世界性难题,不仅跨国打击困难重重,互联网本身也还有太多法外之地。中小厂商即使报警和备案也不太可能阻止这类事情继续发生,更难以挽回损失。国内的开发者只能寄希望于更靠谱的发行商以及日渐升级的技术手段帮助他们未雨绸缪。
这次拳头遭遇的事件,后续会如何发酵尚且未知。期望不被贼惦记实在是有些太难,也许我们更实际的期望是,这类泄露不会再变成“舅舅党”的狂欢和诡异的玩家群体嘉年华。就让那些被泄露的数据安静地待在暗处吧。
本文来自微信公众号:触乐 (ID:chuappgame),作者:祝思齐