近日,知名IP《愤怒的小鸟》的开发商Rovio在其一款游戏《愤怒的小鸟朋友版》(Angry Birds Friends)中向玩家透露,该游戏的数据库曾在去年8月至今年5月期间在网上被公开访问,涉及到玩家的游戏内资料,以及账户关联的脸书公开资料(名字、姓氏、性别和出生日期等)。
近年来,游戏领域愈发成为个人信息泄露的“重灾区”之一。若与游戏关联的个人信息被不法分子在获取,玩家或成为游戏广告精准推广的“猎物”,隐藏着巨大风险。
作为数据收集者,游戏平台对此是否负有责任?专家向21世纪经济报道记者分析,游戏平台应承担起安全管理义务,一旦发生数据泄露,平台及其员工均可能要承担责任。同时,平台应当制定个人信息安全事件应急预案,事发后及时以邮件、电话、推送通知等方式告知受影响的玩家。
图 / 图虫
《愤怒的小鸟》数据库遭泄露
又一游戏公司用户数据被泄露。
日前,知名IP《愤怒的小鸟》的开发商Rovio在其一款游戏《愤怒的小鸟朋友版》(Angry Birds Friends)中向玩家透露,从2020年8月25日到2021年5月24日,一份该游戏的数据库在互联网上被公开访问。
Rovio表示,该数据库原本难以获取,且目前没有证据表明有人恶意访问过这些数据。发现数据泄露后,其于2021年5月24日阻止了对数据库的所有外部访问,并立即让公司数据保护机构介入。
遭泄露的数据库包含了在2020年8月25日之前开始游戏的玩家的游戏内资料,如游戏进度和排行榜分数等。此外,若这些玩家通过脸书注册或连接到脸书,则其在脸书上的公开资料(名字、姓氏、性别和出生日期等),也涵盖在其中。
但电子邮件地址等联系信息和信用卡密码等支付信息并未被泄露,Rovio向玩家保证,游戏账户的登录及支付并未受到波及。
据悉,《愤怒的小鸟朋友版》是《愤怒的小鸟》系列中玩家规模较大的一款游戏。Rovio2021年第一季度财报显示,该游戏的总预订量达810万欧元,同比增长44%,仅次于《愤怒的小鸟2》和《愤怒的小鸟梦幻爆破》。
此次Rovio的数据库泄露并非孤例。事实上,游戏领域近年来愈发成为个人信息泄露的“重灾区”之一。
2019年10月,足球游戏《FIFA 20》的玩家资料遭遇泄露,涉及1600多名玩家的生日、电子邮件地址等私人信息。
去年8月,网络安全人士Bob Diachenko发现,知名游戏硬件制造商雷蛇由于错误配置了云服务器,大量用户个人信息被泄露,包含姓名、电话、邮件地址、送货信息、内部 ID 以及送货地址。Bob Diachenko估计,受影响的客户总数约为10万。
然而,距离雷蛇的风波仅三个月,《生化危机》(Resident Evil)、《街头霸王》(Street Fighter)等知名游戏的开发商,日本游戏巨头Capcom就被曝遭黑客勒索软件攻击。
经过长时间的调查,Capcom于今年1月宣布,已确认有16406人的个人信息被盗,潜在的影响人数达39万。遭泄露的信息包括姓名、地址、电话号码和电子邮件地址等,幸而信用卡信息并未发现有泄露。
玩家成游戏精准推广“猎物”
游戏平台的玩家信息泄露可能会带来哪些风险?
按照今年3月发布的《常见类型移动互联网应用程序必要个人信息范围规定》,网络游戏类APP基本功能服务为“提供网络游戏产品和服务”,必要个人信息为:注册用户移动电话号码。
现实中,因提供服务的需要,游戏平台常在隐私政策或弹窗中获取玩家对其他个人信息的授权。
21世纪经济报道记者翻阅腾讯游戏、网易游戏等平台的隐私政策发现,可能涉及到的信息还包括:
用户通过第三方账号(如微信、QQ等)登录游戏账号时,关联的唯一标识、昵称、头像、好友关系;进行实名认证后的身份信息(包括姓名、身份证号、照片等);购买游戏产品时的充值记录、消费记录等;与附近玩家互动时的地理位置等。
这其中不乏敏感信息,一旦泄露则可能对玩家造成巨大损失。而即便仅泄露了电话号码,玩家也可能成为游戏精准推广的“猎物”。
2019年,好游快爆平台上曾有部分玩家反馈,收到与手游推广相关的垃圾广告短信和骚扰电话。平台核查后称,玩家是由于在其他不明来源的第三方网站进行手机登陆、绑定等操作导致了手机号码泄露。
去年1月,国内游戏平台TapTap也收到大量玩家的投诉和反馈,声称个人隐私遭到了泄露,被手游推广商频频以电话、短信骚扰。TapTap联合创始人回应,涉及被骚扰用户为全网各类游戏内容相关爱好者,TapTap在其后已向上海警方进行了报案。
同年4月,《命运神界·梦境链接》玩家遭遇“诈骗短信”问题,查证后为与游戏公司合作的某代理运营团队擅自侵害玩家隐私进行的不法行为。
频现的游戏短信推广背后隐藏着一条灰色的利益链。21世纪经济报道记者此前报道,游戏公司通常通过购买流量的方式向目标用户进行游戏推广,但一旦拥有了游戏玩家的相关数据,仅通过短信即可进行精准到达的游戏推广,大大降低了营销成本。
营销短信服务价格普遍在每条0.05元-0.1元之间,如北京某信息公司提供的营销短信套餐单价便为0.05元一条,河南某通信公司对于游戏短信推广的定价则在0.07元-0.1元之间。
而据今年6月的《腾讯游戏广告平台投放月报》,6月内的周度安卓端加权CPA(Cost Per Action,即单个用户下载或注册游戏的推广成本)从89.0元至102.3元不等,iOS端则从132.0元至179.4元不等。
此外,玩家泄露的信息还有可能被不法团伙利用于网络游戏诈骗。如2019年湖南省永州市宁远县人民法院公开宣判一起利用网络游戏诈骗案中,被告人经营着一家游戏平台,利用后台监控控制输赢以诈骗玩家钱财。而其获取玩家资源的方式之一,正是通过从网上购买的20余万条含有公民姓名、电话号码等个人信息的数据。
平台负有安全管理义务
玩家个人信息泄露可能带来多重风险,作为数据的收集方,游戏平台是否应该为此担责?
Epic旗下的火爆游戏《堡垒之夜》就曾因泄露玩家数据遭遇集体诉讼。
2018年,《堡垒之夜》被发现存在系统安全漏洞,可被不法分子通过XSS攻击窃取玩家的用户数据。尽管随后Epic公司修复了该漏洞,并于2019年1月份首次公布了数据泄露。
但Franklin D.Azar & Associates律师事务所认为,由于Epic公司是在安全漏洞出现两个月之后才进行修复的,玩家们完全有权利向该公司发起集体诉讼。
“《堡垒之夜》用户曾经在较长时间内面临着安全隐患,还因欺诈性收费蒙受损失,使得他们不得不自行采取额外的安全保护措施。而Epic公司在保护用户信息上做得并不到位,且未能及时提供安全保障。”应该律师事务所的号召,至2019年8月,有100多位玩家参与到了这起集体诉讼中。
“游戏平台用户个人信息泄露,游戏公司及其员工均有可能需要承担责任。”
剑桥颐华律师事务所合伙人朱骏超告诉21世纪经济报道记者,我国《网络安全法》《个人信息保护法(草案)》等都规定了游戏平台的安全管理义务。
若玩家的个人信息泄露是由游戏平台内部人员非法出售给第三方而导致的,平台相关人员将会涉嫌侵犯公民个人信息罪;若是因游戏公司未尽到安全管理义务而导致的,游戏公司则可能会被监管部门责令整改、罚款。
此外,根据《信息安全技术 个人信息安全规范》规定,公司应制定个人信息安全事件应急预案。发生个人信息安全事件后,及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息。
在朱骏超看来,游戏平台的用户数据泄露,原因主要在于平台未尽到安全管理义务以及未对访问用户数据的人员进行限制。他建议,游戏公司可从五个方面进行风险规避:
“第一,设置专门的安全团队,负责处理数据保护的相关事宜。
第二,建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用。
第三,严格限制访问信息的人员范围,要求相关人员遵守保密义务,对违反义务的人员根据公司内部规定进行处罚。
第四,采取有效的技术措施保障用户数据的安全。如采用SSL等加密技术来保护用户个人信息;在服务端的网络和终端层面部署纵深安全防御体系,以免受恶意攻击。最后,举办安全和隐私保护培训课程,加强员工的安全意识以及对于个人信息保护政策和相关规程的认识。”
2021-07-20 18: 11
2021-07-20 14: 18
2021-07-20 07: 47
2021-07-20 10: 35
2021-07-20 09: 50
2021-07-20 09: 31