“羊了個羊”遭黑客攻擊,還存在安全隱患?

語言: CN / TW / HK

如果你還沒有玩過羊了個羊,那麼恭喜你,你最近的睡眠質量超過了大部分人。誰也沒有想到,無數人竟然因為一款小遊戲而睡不著覺。

它就是羊了個羊。

過去人們失眠了就默默地數羊,現在羊了個羊讓大多數人失了眠,並且還有越玩越精神的趨勢。當你看到朋友玩第一關時,你的內容OS:這不就是個智障遊戲;當你玩到第二關:在這個遊戲面前我就是智障。

讓人咬牙切齒卻又欲罷不能。我有一個朋友,每一次都恨不得摔了手機,夾雜著幾句全國人民都懂的“國粹”,但在休息的時候又忍不住默默的點開了小程式,幾分鐘後“國粹”的聲音再次飈了出來。

原本筆者對於羊了個羊的所有感受到此為止,直到刷到了一條這樣的抖音,如下所示:

當我把這個訊息給同事看時,大家紛紛表示不可置信。本人也是羊了個羊的重度愛好者,絕對不相信這個遊戲竟然隱藏著如此嚴重的隱患。於是,筆者決定來扒一扒,看看羊了個羊是不是真的存在安全問題。

羊了個羊一直被黑客攻擊

根據羊了個羊公眾號釋出的訊息,自該遊戲上線以來就一直飽受各種網路攻擊的困擾,由於創業小團隊就不具備防護的能力並且也沒有做好對應的準備,導致很長一段時間內遊戲伺服器崩潰,以及遊戲資料被篡改、使用者資料被篡改等問題,嚴重影響了羊了個羊的遊戲環境和使用者體驗。

這也是為什麼有幾天晚上該遊戲無法登入的原因。自攻擊發生之後,羊了個羊創作團隊已經向警方報案,目前正在處理之中。9月22日,羊了個羊稱,“截止今日我們已經完全修復這些漏洞,以及重置了部分使用者資料,其中也包括了一些玩家真正的過關資料,對此我們深感抱歉,感謝理解!”

目前尚不清楚羊了個羊被攻擊的具體資訊,但這絕不是偶然。事實上,遊戲行業一直以來都是網路攻擊的重災區,幾乎每一款熱門遊戲都曾遭遇了不同層度的網路攻擊。

2021年8月,在TapTap上的評分高達9.2國產遊戲《弈劍行》在上線前,獲得了近40萬玩家的關注和超過25萬名玩家的預約。如此高質量和人氣自然也吸引了攻擊者的注意,8月7日,是《弈劍行》上線的第一天,《弈劍行》的創作團隊卻在這天釋出了服務暫時終止及退款宣告。

原因是遊戲自8月6日開服後便一直遭到黑客的攻擊,致使戰鬥伺服器處於癱瘓之中。《弈劍行》選擇不支付贖金,寧願發起退款並決定做好準備後,擇期上線。由此可見,遊戲在上線前做好安全防護,是一項非常有必要的操作。

羊了個羊存在安全合規隱患?

除了曾一直遭遇黑客攻擊外,羊了個羊似乎在安全合規以及資料保護方面還存在一定的安全隱患。

第一個問題,羊了個羊此前在首頁更新了《隱私政策》,使用者點選“設定”即可檢視。出於職業的原因,筆者認真看了一遍具體條款。有意思的是,在9月23日羊了個羊小程式首頁卻又無法找到《隱私政策》,至於是下線還是放在其他地方就不得而知。

那麼,沒有在首頁公佈《隱私政策》是否合規呢?

根據《網路安全法》《個人資訊保護法》的規定,網路運營者收集、使用個人資訊,應當公開收集、使用規則,明示收集、使用資訊的目的、方式和範圍,並經被收集者同意。

雖然小程式巢狀在其他平臺中,但收集個人資訊的還是小程式運營者本身,自然也需要遵守上述法規的要求,為使用者提供《隱私政策》以告知使用者資訊收集、使用的規則、目的等內容。

另外,如果羊了個羊推送和廣告推薦使用了使用者的個人資訊,進行自動化推薦,根據《個人資訊保護法》第二十四條的規定,屬於以自動化決策方式向個人進行資訊推送、商業營銷,應當同時提供不針對其個人特徵的選項,或者向個人提供便捷的拒絕方式。

但不可否認的是,目前依舊有不少小程式未能提供《隱私政策》,卻依舊在運營之中。

第二個問題,羊了個羊收集了哪些使用者隱私資訊?

首先,根據羊了個羊現有的狀態來看,收集的使用者個人隱私資訊至少包括個人身份資訊、微信頭像暱稱資訊、微信朋友資訊、地理位置資訊、手機裝置唯一地址、統一標識等。

其次,根據羊了個羊此前釋出的《隱私政策》,除了上述收集的個人資訊外,還明確指出羊了個羊和其他合作伙伴存在資料共享的行為,以便為使用者提供更好地服務,並大力打擊利用不當手段通關遊戲的行為。羊了個羊還和友盟SDK存在合作關係,同樣會收集使用者的隱私資訊。

最後,羊了個羊此前釋出的《隱私政策》中提到,“羊了個羊是一款全球性遊戲,因此使用者資訊可能會在全球流通”。這大概也是文章開頭部分中,有人質疑羊了個羊將使用者洩露至國外的原因。

還需要注意的是,根據《資料出境安全評估辦法》,100萬人以上個人資訊的資料處理者向境外提供個人資訊;應當通過所在地省級網信部門向國家網信部門申報資料出境安全評估。以羊了個羊的火爆程度,必定突破了百萬級規模。

警方通報,莫上當受騙

除上述的問題以外,火爆的羊了個羊還引發了一系列的詐騙隱患。

由於羊了個羊第二關通過難度巨高,導致無數使用者難以憑藉正常流程實現通關。不少詐騙分子瞅準這個時機,冒充“羊了個羊”的客服人員,以“復活道具”、“復活次數”、“通關祕籍”等噱頭引誘急於通關的使用者,實施網路詐騙。

警方提示,使用者在遊戲過程中,一定要提高安全防範意識,別被一時激動衝昏頭腦,一旦發現被騙,要及時儲存聊天記錄,釋出詐騙資訊的網頁等證據,並立即向警方報案!

這裡分享幾個常見的網路騙局,謹防上當受騙:

1、花錢買祕籍通關型

在這類騙局中,詐騙者常常在各種社交平臺兜售“遊戲通關祕籍”,吸引不明真相的使用者購買,並在虛假遊戲交易平臺、微信群或QQ群內完成交易。這類騙局的特點是金額小,難追蹤,其“祕籍”的價格多以“4.9”、“6.9”、“9.9”等小金額居多,一旦使用者交錢後要麼拉黑失聯,要麼發一些不相關的資料應付,而使用者反應過來上當受騙後,大多數也不會去派出所報案,只能自認倒黴。

2、祕籍免費分享型

在這類騙局中,通常詐騙者通過社交平臺與受害人新增好友後,表示索要祕籍的人較多,已經將祕籍存在某網盤裡,隨即發來連結要求受害人自取。而這類連結多數存在問題,有的是帶有木馬病毒的連結,使用者點選之後很有可能導致電腦或手機中毒;有的是詐騙網站的重定向連結,帶使用者跳轉至其他網站和平臺。

3、中獎獎勵型

在這類騙局中,詐騙者常利用誘導性的廣告,引誘使用者點選各種中獎連結,並在領取介面彈出xxx元優惠券,或者xxx元現金獎勵,引誘使用者進一步分享或支付現金,例如去年爆火的某小程式遊戲就曾彈出的帶有“100手機話費券”,但當用戶領取了所謂的“100手機話費券”,按網站指示支付了9.9元或19.9元后卻發現話費無法兌現,也不能退款,最終上當受騙。

希望羊了個羊能夠迴應公眾的擔憂

最後,希望羊了個羊能夠在首頁釋出並完善《隱私政策》,正面迴應目前網路上的各種“羊了個羊洩露使用者隱私資訊”、“羊了個羊竊取使用者資訊”等相關訊息,向外界展示羊了個羊在使用者資訊保護方面所做出的努力,打消使用者關於“隱私資訊洩露”方面的擔憂。

一如羊了個羊公眾號9月22日釋出的訊息一樣,及時披露相關訊息和資訊。作為一款使用者量如此龐大的現象級遊戲,創作團隊更應該拿出應有的擔當和責任,不斷完善個人資訊保護,不斷健全遊戲規則,才不負玩家們的激情與熱愛。

好了,不說了,我要繼續去玩羊了個羊第二關了。