手機遊戲「銀河大戰」爆發用戶資料外洩事件，近 600 萬玩家受害

資安專家 WizCase 日前發現一台屬於熱門手機遊戲「銀河大戰」（Battle for the Galaxy）的 Elasticsearch 伺服器，未經適當保護而在網路上曝露，上有近 600 萬玩家資料，可供任何人自由下載。

這批曝露在網路上的資料，檔案總大小將近 1.5TB ，而且未經任何保護與加密；任何知道該伺服器網址的人，都很容易下載這批用戶資料。

WizCase 表示，這批曝險的資料，確實的檔案大小高達 1.47TB，其中包括 590 萬名玩家的個人檔案、200 萬筆交易資料、587,000 筆客服回覆訊息內容；而在這些客服回覆內容中含有用戶的帳號 ID、Email 地址、遊戲內購資訊、價格與付款方式等；有些甚至含有用戶連線使用的 IP 位址。

WizCase 說，將這些資訊匯集起來，不肖人士即可拼湊出進行釣魚郵件攻擊所需的完整資料，進而假扮為遊戲公司的支援人員，向用戶寄送釣魚攻擊信件。

值得注意的是，WizCase 分析了這批用戶資料中的付款資訊，發現整體玩家中約 0.33% 的付費玩家，貢獻了整個 Battle for the Galaxy 90% 的營收；這些付費玩家也特別容易遭到駭侵者鎖定。

WizCase 也說，在他發現該未受保護的 Elasticsearch 伺服器後，在第一時間與Battle for the Galaxy 的遊戲開發廠商 AMT 聯絡；截至媒體報導時，AMT 未提出回覆，但已經修復未經保護的 Elasticsearch 伺服器。

本文轉載自TWCERT/CC。