俗話說," 隻有千日做賊,哪有千日防賊的 "。意思是,哪怕一個人警惕性很高,但被賊人随時惦記着,也難免會有疏漏。
不幸的是,在遊戲廠商身上,這句話似乎總在得到應驗。
1 月 21 日,拳頭遊戲(Riot Games)發表聲明稱,公司的内部資料遭到黑客竊取,随後收到了涉事黑客的勒索郵件。當然,拳頭拒絕了對方以贖金挽回損失的交涉要求。與此同時,拳頭承諾:" 可以确定,沒有任何用戶的資料和個人信息因為此事件受到影響。"
據第三方數據安全機構透露,拳頭被竊取的資料涉及遊戲《英雄聯盟》《雲頂之弈》的源代碼,以及一個應用于《無畏契約》的反作弊平台的源代碼。黑客為此索要的 " 封口費 " 高達 1000 萬美元。因為拳頭無意交涉,勒索不成的黑客将源代碼文件放在某論壇上拍賣,還把文件目錄做成了 PDF 文件供人參閱。源代碼的打包起拍價為 100 萬美元。
拳頭在後續的公告中确認源代碼遭洩露
這個事件甚至沒有大肆傳播開來,也許是因為,廠商類似的遭遇逐漸不再成為新聞。大廠遭黑客攻擊的事件在這幾年層出不窮,而且過程都差不多。
黑客們最普通、最常見的手段可能是 DDoS 攻擊。簡單來說,這種攻擊相當于生成一大堆數據包,讓線上遊戲的服務器對數據的處理量短時間内激增,不堪重負。在此期間,正常玩家幾乎無法上線,十分影響遊戲體驗,嚴重的可以導緻遊戲關服。2021 年 9 月發布的《2021 上半年全球 DDoS 威脅報告》顯示,全球範圍内,這類攻擊的受害方有 39% 都是遊戲公司。值得一提的是,攻擊者不僅是有組織的專業黑客,也有概率來自惡意作弊的遊戲玩家。由于網絡黑産的存在,即使普通人也有渠道買到發起這類攻擊的工具。
遊戲行業一直深受 DDoS 攻擊困擾
一些更大型的、後果更嚴重的數據安全危機也頻頻進入玩家視野。這類攻擊中的黑客往往更為專業,偷竊的數據對遊戲公司來說更加機密。他們最初的目的往往是拿數據敲詐勒索。如果遊戲公司拒絕支付贖金,有的黑客會像本次拳頭事件一樣,企圖轉手把數據賣給别人,有的也會選擇公開把數據分享出來。
從這些黑客牟利不成就公開數據的行為來看,在威逼以獲得金錢之外,他們也許很享受這種行徑給自身帶來的注目感,也樂于見到各種機密信息被公之于衆給遊戲公司帶來的難堪局面。再加上玩家們天然的好奇心和對廠商新動向的密切關注,遊戲公司越出名、規模越大,整件事就變得越來越偏離信息犯罪的本質,仿佛一場離奇的嘉年華。
深受其害的遊戲公司
從以往案例來看,叫得出名字的一線遊戲大廠幾乎都遭受過大型的黑客入侵。就算隻看最近幾年,很多事件玩家們也耳熟能詳。
2020 年,任天堂在一次黑客攻擊事件中有 30 萬用戶信息被盜,黑客操縱被盜賬戶進行各種遊戲内交易,不少玩家遭受了金錢損失。也是在這一年,頑皮狗的服務器被入侵,導緻《最後生還者:第二部》的劇情嚴重洩露。同年年底,育碧的内網遭到攻擊,《看門狗:軍團》的源代碼洩露,黑客将代碼免費發布上網,可以公開下載。
2021 年 2 月,CD Projekt Red 的内網被入侵,黑客盜取了《賽博朋克 2077》和《巫師 3:狂獵》的源代碼。在 CDPR 拒絕支付勒索金後,數據被以 700 萬美金的價格拍賣。6 月,EA 公司有超過 780GB 的數據被盜,包括旗下衆多遊戲的源代碼,甚至還包括 " 寒霜 " 引擎和一些開發工具的代碼。EA 同樣拒絕與黑客談判,這些數據後來都被違法地公之于衆。
代碼洩露對遊戲的實際影響往往不為公衆所知
2020 年 11 月卡普空遭受的黑客攻擊,可能是最常被玩家群體談起的事件,不僅是因為那次數據洩露非常嚴重,還因為黑客在勒索不成之後一系列非常具有戲劇性的操作。11 月 2 日,卡普空總部的内網遭到入侵,黑客竊取了約 1TB 的機密資料,其中包括各類通常是商業機密的銷售信息、一些員工和會員的個人信息,以及卡普空旗下各大系列遊戲的發售計劃。
以這些極為敏感的數據為要挾,黑客向卡普空公開發出郵件,勒令卡普空在有限的時間内作出回應,支付巨額報酬。但就和其他同行一樣,不管是從大廠的尊嚴,還是從法律層面考慮,卡普空沒有與黑客們談判,隻是向被洩露了信息的玩家和客戶群體發布了風險提示。
黑客似乎有些惱羞成怒。在之後近一周的時間裡,始作俑者每天在線上放出一點 " 猛料 ",其中有不少關于新作的消息。一時間,玩家群體當中出現了一陣 " 舅舅黨 " 的狂歡熱潮,比看 TGA 發布預告片還熱鬧。卡普空各大 IP 新作的消息傳遍網絡,許多人将這次洩露戲稱為黑客提前替卡普空辦了一場 " 文字版發布會 "。
當時洩露的不少重磅内容都被時間證明是真實的,或者說非常接近于事實。比如,《生化危機:村莊》在 2021 年 5 月發售,隻比洩露的消息晚了一個月;原本是 NS 獨占的《怪物獵人:崛起》也果然如黑客所言,移植到了 PC 以及其他平台上;《大逆轉裁判:編年史》的多平台移植也如期而至。
其他一些消息就和實際情況有所出入了。比如,洩露資料顯示,《街霸 6》和《逆轉裁判 7》将會在 2021 年第三季度發售。目前看來,《街霸 6》仍處在宣傳階段,尚未正式與玩家見面;新作《逆轉裁判 7》和移植合集《逆轉裁判 456》則連影子都沒有。一些未公開項目的發布計劃也沒有得到印證。當然,開發中的遊戲何時上市本來就存在變數,卡普空自己也不可能百分百按計劃執行。
卡普空旗下 IP 衆多,大量信息被洩露之後,社區裡的讨論也格外熱鬧
一些玩家戲稱,黑客的行為是對卡普空的 " 反向爆破 ",意思是,這麼一出鬧劇的最終效果,像是幫遊戲公司免費打了一通廣告,但外界也很難判斷,那些變更了的計劃是不是這次洩露事件的後果,那些被洩露的個人信息,也許還造成了許多未公開的損失。
另一次重磅洩密來自 Rockstar Games。2022 年 9 月,90 段 " 三男一狗 6" 的開發中實機影像被非法公開在網絡上。這部續作玩家們已經翹首期盼多年,卻一直缺乏官方消息解饞。理所當然地,洩露視頻在社交網絡上迅速傳播,并且引發了極大的輿論風波。部分玩家對着開發中影像評頭論足,批評畫質和玩法設計,認為續作不符合預期。R 星的官方公告則表示,很遺憾新作以這種方式與玩家見面,他們正在全力确保開發進度不會受到影響。
事件發酵到一定程度後,R 星之外的大廠從業者們也坐不住了,紛紛站出來力挺同行。他們說,R 星面臨的局面——對開發中片段斷章取義的輿論狀況——就是數據洩露最大的惡果之一,也是很多開發者不願意太早公開新作消息的原因之一。某種意義上,這次洩露揭開了開發者與玩家群體關系中矛盾的一面。雖然大部分開發者樂于與玩家積極溝通,維護良好的關系,但在一般玩家缺乏專業知識的背景下,哪怕是有極少數的 " 網絡噴子 " 和騷擾者存在,有時候也會對開發進度以及開發者們的身心造成負面影響。
中小廠商的困境
上面的這些事大多出現在頗具規模的遊戲大廠身上。黑客們樂于瞄準大廠,也許不光是因為财大氣粗,付得起幾百上千萬的贖金,大廠作品知名、玩家衆多,一旦數據或服務器出現問題,影響範圍廣,很容易搞出爆炸性新聞,躲在暗處的始作俑者一不小心還能 " 名利雙收 "。
但另一方面,大廠往往會拒絕敲詐。它們底盤穩固,本身的開發和運營不會因此受到特别大的直接沖擊。在衆多事件發生後廠商發布的官方通告中," 沒有用戶信息洩露 " 和 " 開發仍在穩步進行 " 是最為常見的兩條說辭。
一些小廠就沒這麼幸運了。一方面,小廠影響力沒那麼大,黑客造訪隻為圖财。圖不到财,沒有什麼額外曝光價值的話,廠商很容易被 " 撕票 ",嚴重的甚至影響旗下遊戲的生存。
觸樂曾經報道過這類無端遭難的廠商,這些廠商面臨的大多是 DDoS 攻擊造成的服務器異常。一款 PvP 手遊《弈劍行》上線才一天,就因為對戰服務器被攻擊癱瘓,宣布停服。這類中小廠商開發成本有限,本來就很難提前購買高級防禦服務,而開服正是遊戲生命周期最關鍵的時候。玩家興沖沖下載了遊戲,結果發現無法登錄,玩不了,氣得轉頭就走,可能就再也不回來了。
幸好《弈劍行》的問題最後得到了解決,遊戲重新開服并正常運營
不給錢,處理癱瘓服務器的每一天都意味着損失;給錢,則有可能從此在同行面前擡不起頭來,開發者内心也咽不下這口氣。諷刺的是,上面那篇報道的主人公收到的黑客勒索郵件中,要求的金額是 2 萬元,而當時購買高級防禦服務的成本是 5 萬。小型開發商面臨的選擇中," 破财消災 " 顯然是更理性,但也更屈辱的選項。當然,被 " 黑 " 本來就是無妄之災,這種奇特的選擇本不該出現。
一個沮喪的事實是,在回顧這些新聞的時候,大廠和中小廠商的遭遇顯現出一個令人無奈的共同點——所有的事件最後幾乎都不了了之。卡普空在 2021 年 4 月出具了最終調查報告,聲稱會更新設備和加強相關人員的安全培訓,其他大部分新聞則找不到什麼後續。網絡攻擊是個世界性難題,不僅跨國打擊困難重重,互聯網本身也還有太多法外之地。中小廠商即使報警和備案也不太可能阻止這類事情繼續發生,更難以挽回損失。國内的開發者隻能寄希望于更靠譜的發行商以及日漸升級的技術手段幫助他們未雨綢缪。
這次拳頭遭遇的事件,後續會如何發酵尚且未知。期望不被賊惦記實在是有些太難,也許我們更實際的期望是,這類洩露不會再變成 " 舅舅黨 " 的狂歡和詭異的玩家群體嘉年華。就讓那些被洩露的數據安靜地待在暗處吧。
