《原神》驚傳 15 萬用戶帳號外泄，外國用戶公開部分外洩資料

2020/11/2 下午 7:40 更新 :《原神》官方針對帳號外洩事宜解釋 : 主要是因用戶自行外洩造成

此事件並非遊戲本身的資安問題，請用戶不要私自找非官方代儲、避免在釣魚網站上輸入帳密、避免使用與他站相同的帳密

在《原神》即將發表 1.1 版本的更新同時，在大約前天的時間，有外國用戶指出《原神》有大約 15 萬用戶的帳號外洩，並且在論壇上與 Github 公開了部分已打馬賽克的數據。

↑ 被公布的部分數據列表，其中包含遊戲使用者名稱、UID、如果該帳戶有綁定 E-Mail 則會在後方加上該資訊。

雖然聲稱有 15 萬，但實際上這些被公布的數據大約僅有 1 萬 5000 筆左右，該用戶表示目前僅公佈部分已打馬賽克的數據，並希望開發商米哈游能夠有更進一步的動作。

從被公布的數據來看，應該全部都不是中國大陸伺服器的資料 (使用 qq.com、163.com、sina.com 這些 email 的資料非常少或幾乎沒有)，此外如果以原神的下載量來說，若真的僅有 15 萬筆的帳號應該不可能是直接自遊戲的帳密資料庫外洩出來導致。

筆者以手上已外洩的帳密 data breach 來進行部分對比，確實能夠找到部分前後三碼都相對應的 email，甚至裡面有些被公布且未打碼的還有辦法找到一樣的 email 資料，以這樣的數據量來看或許有可能是單純以密碼撞庫 (即在將他處洩漏的帳密填入並嘗試) 而導致帳密外洩的，而非《原神》本身資安的問題。

當然基於法律與道德因素，筆者並沒有做出任何的嘗試登入的動作來驗證是否如此。

當然，該用戶也表示《原神》這款遊戲在帳密保護上確實相當不夠紮實，包含沒有針對單一 IP 限制嘗試帳密的次數、沒有 2FA 兩階段驗證、沒有針對在異常國家 IP 登入的限制或警告等等，僅有使用 Geetest (極驗) 的 CAPTCHA 作為防止機器人登入的唯一關卡，但以極驗拼圖的驗證方案來說，採用網路上開源的 Python 程序也能有著一定機率來以機器人成功通過驗證。

目前該外洩數據的 Github 已被作者下架。如果作為一個數位貨幣交易所，這樣的安全機制的確是完全不合格，但作為一個在市場上還會有許多玩家販售與交換帳號的遊戲來說嗎 (縱使官方宣導並明文禁止用戶買賣與交換帳號) … 是否要將安全機制做到最好，其實好像也是個有趣的問號。

截至目前，《原神》官方尚未對該事件做出進一步的解釋或聲明。

參考資料 : forums.mihoyo