HKCERT 焗住出手 阻止EskyFun 160萬玩家資料任睇

HKCERT 焗住出手 阻止EskyFun 160萬玩家資料任睇

中國手機遊戲開發商 EskyFun 旗下遊戲包括《Rainbow Story: Fantasy》、《Metamorph M》、《冒險物語》及《Dynasty Heroes: Legends of Samkok》,被發現合共有 160 萬玩家的詳細資料被公開存放。相關調查更發現開發商採集嘅玩家數據絕對會比玩家預期嘅多好多!最終更要香港電腦保安事故協調中心( HKCERT )介入,先阻止到資料庫繼續被任睇!

目錄

中國手遊玩家資料外洩事件

開發商過度採集玩家數據

開發商無回應

不當儲存或違中國數據安全法

中國手遊玩家資料外洩事件

手機遊戲開發商對玩家數據儲存的安全度,已不是第一次被人垢病,例如早前中國手機遊戲開發公司 AMT Games 的 《Battle for the Galaxy》 遊戲,便被網絡安全專家發現公司將玩家數據公開儲存在雲數據庫上,合共有 590 萬玩家資料包括玩家的 ID、國家、連結的社交平台帳戶、 in-app 購買記錄及留言等可被隨意查閱。由於這些數據非常詳細,犯罪份子如若有心詐騙,便可利用這些數據讓目標玩家上當,對玩家及其親友造成更大的損失。

開發商過度採集玩家數據

今次由 vpnMentor 網絡安全團隊發現的中國遊戲生產商 EskyFun 儲存的資料庫,內含由今年 6 月至今的數據,規模相當龐大,數據量達 134GB,當中包括 3 億條上述遊戲的記錄。 vpnMentor 網絡安全專家在分析被設定為公開的資料庫後,指出所採集的玩家數據顯然超過最低限量,而且部分更為非必要性,與提升及改進玩家體驗沒有任何關係。首先,專家指出當玩家安裝遊戲後,遊戲系統便會開始將玩家的電郵、手機號碼、 IP 位置、所使用的 Android 作業系統版本及遊戲內的交易記錄上傳伺服器,另外,關於手機的資料如 IMEI 編號、手機有否被破解等亦會上傳,並且驚人地以明文(plaintext)儲存,因此任何只要能夠讀取數據庫,便能直接查閱每筆紀錄。由於每個玩家的交易資料都詳細列出,因此犯罪份子可以假扮成開發公司的客戶服務部員工,致電目標玩家進行金錢詐騙。

unnamed
中國手機遊戲開發商 EskyFun 旗下遊戲包括《Rainbow Story: Fantasy》、《Metamorph M》、《冒險物語》及《Dynasty Heroes: Legends of Samkok》,被發現合共有 160 萬玩家的詳細資料被公開存放。

開發商無回應須出動 HKCERT

VpnMentor 安全專家於今年 7 月5 日發現這個公開的資料庫,並於兩日後向 EskyFun 作出舉報,直至 7 月 27 日作出第二次舉報後,遺憾地仍未獲任何回應,於是專家只好聯絡香港電腦保安事故協調中心跟進,最終開發商才火速回應,將原本公開的資料庫隱藏起來。

不當儲存或違中國數據安全法

事實上,《中華人民共和國數據安全法》於今年 6 月 10 日的第十三屆全國人民代表大會常務委員會上已通過,而更早前已有33 款手機 app 被國家互聯網信息辦公室(CAC)指違法收集用戶個人資料而被下架。而根據《數據安全法》第四章「數據安全保護義務」所載,數據處理者必須為所採集到的個人數據實行嚴格的保護措施,並且在事故後立即上報及採取行動。但反觀 EskyFun 今次的反應,顯然在多方面也未能達標,不過最終會否被取締,仍然要視乎 CAC 會否採取行動。

詳情:https://zd.net/3DtKjJq