《原神》驚傳 15 萬用戶帳號外泄，外國用戶公開部分外洩資料
https://news.xfastest.com/game/87176/enshin-impact-leaks-15w-user-acc/
在《原神》即將發表 1.1 版本的更新同時，在大約前天的時間，有外國用戶指出《原神
》有大約 15 萬用戶的帳號外洩，並且在論壇上與 Github 公開了部分已打馬賽克的數據
。
https://i.imgur.com/xRsA96P.jpg
↑ 被公布的部分數據列表，其中包含遊戲使用者名稱、UID、如果該帳戶有綁定 E-Mail
則會在後方加上該資訊。
雖然聲稱有 15 萬，但實際上這些被公布的數據大約僅有 1 萬 5000 筆左右，該用戶表
示目前僅公佈部分已打馬賽克的數據，並希望開發商米哈游能夠有更進一步的動作。
從被公布的數據來看，應該全部都不是中國大陸伺服器的資料 (使用 qq.com、163.com、
sina.com 這些 email 的資料非常少或幾乎沒有)，此外如果以原神的下載量來說，若真
的僅有 15 萬筆的帳號應該不可能是直接自遊戲的帳密資料庫外洩出來導致。
筆者以手上已外洩的帳密 data breach 來進行部分對比，確實能夠找到部分前後三碼都
相對應的 email，甚至裡面有些被公布且未打碼的還有辦法找到一樣的 email 資料，以
這樣的數據量來看或許有可能是單純以密碼撞庫 (即在將他處洩漏的帳密填入並嘗試) 而
導致帳密外洩的，而非《原神》本身資安的問題。
當然基於法律與道德因素，筆者並沒有做出任何的嘗試登入的動作來驗證是否如此。
當然，該用戶也表示《原神》這款遊戲在帳密保護上確實相當不夠紮實，包含沒有針對單
一 IP 限制嘗試帳密的次數、沒有 2FA 兩階段驗證、沒有針對在異常國家 IP 登入的限
制或警告等等，僅有使用 Geetest (極驗) 的 CAPTCHA 作為防止機器人登入的唯一關卡
，但以極驗拼圖的驗證方案來說，採用網路上開源的 Python 程序也能有著一定機率來以
機器人成功通過驗證。
目前該外洩數據的 Github 已被作者下架。如果作為一個數位貨幣交易所，這樣的安全機
制的確是完全不合格，但作為一個在市場上還會有許多玩家販售與交換帳號的遊戲來說嗎
(縱使官方宣導並明文禁止用戶買賣與交換帳號) … 是否要將安全機制做到最好，其實
好像也是個有趣的問號。
截至目前，《原神》官方尚未對該事件做出進一步的解釋或聲明。
====
有點羅生門的意味....
先泡好茶看熱鬧。

這好像貼過了？

蛤 這不是玩之前就知道的事情嗎

中國遊戲，很正常吧，反正都要給黨的

op

噗

這跟後門是兩件事，之前貼過了，這是用暴力硬破，不是米哈遊洩漏，也看一下內文

中國遊戲很正常不是嗎

個資在中國0.001NTD的樣子~忘記了!之前有人算過

意外嗎？

好像有人貼過了

有人看到中國支付寶就高潮了，沒想過都是無視人民隱私和人權強行推廣的產物

暴力刷有辦法刷15萬筆 這鍋原神也要背吧通常會捧支付寶的 不會管你後面什麼隱私人權的議題...

原神那下載量 15算真的算小數目搞不好裏面密碼還有123456 qwerasdf qazwsx這種低能密碼

OP，我懶了

反正沒有限制單一IP嘗試次數 用年月日去賭那些用生日當密碼的智障也能撞到一堆

以後可以不用農了 直接去交易平台買課長的帳號了

中國本來也根本沒有強化防火的習慣吧?強化防火投入大量的成本只能換來信用，對中國人而言他們根本不在乎吧?中國的軟體有在強化防火的嘛?

昨天那篇的米衛兵怎麼還沒來噴錢包理論

還敢玩原神啊XD

泄了

玩的就不要在乎阿，給網路隨機有心人看與被維尼看有差嗎?

早就闢謠了 還更新密碼錯誤太多次會有鎖帳時間覺青繼續憤怒黑

@npc776 我懶！

暴力破解法然後說資安不足 咲死 資安不足的是密碼被暴力破解的那些人吧

2FA 應該是要標配了，不過以一個炒短線的手遊而言，做不到也是合情合理

原神炒短線XD 幽默

OP

手遊2FA什麼時後變成標配了…？

就跟在台灣卻用支付寶的心態一樣啊，明明沒多好用又要扛一堆風險

這也算新聞？

哪幾個手遊在用2FA啊？幾乎都是ID 引繼碼 或是ID 加密碼吧？能不能舉例一下？

呃，意外嗎？

很意外嗎？

原神玩家根本不在意，早就全都奉獻給黨了

不意外

2FA 在跟你講帳號驗證機制避免被暴力法破解/重設帳號，誰在跟你討論 ID 引繼碼