freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    “羊了个羊”一直在被黑客攻击!
    2022-09-23 15:14:53

    如果你还没有玩过“羊了个羊”,那么恭喜你,你最近的睡眠质量超过了大部分人。谁也没有想到,无数人竟然因为一款小游戏而睡不着觉。

    它就是“羊了个羊”。

    过去人们失眠了就默默地数羊,现在“羊了个羊”让大多数人失了眠,并且还有越玩越精神的趋势。当你看到朋友玩第一关时,你的内容OS:这不就是个智障游戏;当你玩到第二关:在这个游戏面前我就是智障。

    让人咬牙切齿却又欲罢不能。我有一个朋友,每一次都恨不得摔了手机,夹杂着几句全国人民都懂的“国粹”,但在休息的时候又忍不住默默的点开了小程序,几分钟后“国粹”的声音再次飚了出来。

    原本笔者对于“羊了个羊”的所有感受到此为止,直到刷到了一条这样的抖音,如下所示:

    当我把这个消息给同事看时,大家纷纷表示不可置信。本人也是“羊了个羊”的重度爱好者,绝对不相信这个游戏竟然隐藏着如此严重的隐患。于是,笔者决定来扒一扒,看看“羊了个羊”是不是真的存在安全问题。

    “羊了个羊”一直被黑客攻击

    根据“羊了个羊”公众号发布的消息,自该游戏上线以来就一直饱受各种网络攻击的困扰,由于创业小团队就不具备防护的能力并且也没有做好对应的准备,导致很长一段时间内游戏服务器崩溃,以及游戏数据被篡改、用户数据被篡改等问题,严重影响了“羊了个羊”的游戏环境和用户体验。

    这也是为什么有几天晚上该游戏无法登录。自网络攻击发生之后,“羊了个羊”创作团队已经向警方报案,目前正在处理之中。9月22日,“羊了个羊”称,“截止今日我们已经完全修复这些漏洞,以及重置了部分用户数据,其中也包括了一些玩家真正的过关数据,对此我们深感抱歉,感谢理解!”

    目前尚不清楚“羊了个羊”被攻击的具体信息,但这绝不是偶然。事实上,游戏行业一直以来都是网络攻击的重灾区,几乎每一款热门游戏都曾遭遇了不同程度的网络攻击。

    2021年8月,在TapTap上的评分高达9.2国产游戏《弈剑行》在上线前,获得了近40万玩家的关注和超过25万名玩家的预约。如此高质量和人气自然也吸引了攻击者的注意,8月7日,是《弈剑行》上线的第一天,《弈剑行》的创作团队却在这天发布了服务暂时终止及退款声明。

    原因是游戏自8月6日开服后便一直遭到黑客的攻击,致使战斗服务器处于瘫痪之中。《弈剑行》选择不支付赎金,宁愿发起退款并决定做好准备后,择期上线。由此可见,游戏在上线前做好安全防护,是一项非常有必要的操作。

    “羊了个羊”存在安全合规隐患?

    除了曾一直遭遇黑客攻击外,“羊了个羊”似乎在安全合规以及数据保护方面还存在一定的安全隐患。

    第一个问题,“羊了个羊”此前在首页更新了《隐私政策》,用户点击“设置”即可查看。出于职业的原因,笔者认真看了一遍具体条款。有意思的是,在9月23日,“羊了个羊”小程序首页却又无法找到《隐私政策》,至于是下线还是放在其他地方就不得而知。

    那么,没有在首页公布《隐私政策》是否合规呢?

    根据《网络安全法》《个人信息保护法》的规定,网络运营者收集、使用个人信息,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

    虽然小程序嵌套在其他平台中,但收集个人信息的还是小程序运营者本身,自然也需要遵守上述法规的要求,为用户提供《隐私政策》以告知用户信息收集、使用的规则、目的等内容。

    另外,如果“羊了个羊”推送和广告推荐使用了用户的个人信息,进行自动化推荐,根据《个人信息保护法》第二十四条的规定,属于以自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

    但不可否认的是,目前依旧有不少小程序未能提供《隐私政策》,却依旧在运营之中。

    第二个问题,“羊了个羊”收集了哪些用户隐私信息?

    首先,根据“羊了个羊”现有的状态来看,收集的用户个人隐私信息至少包括个人身份信息、微信头像昵称信息、微信朋友信息、地理位置信息、手机设备唯一地址、统一标识等。

    其次,根据“羊了个羊”此前发布的《隐私政策》,除了上述收集的个人信息外,还明确指出“羊了个羊”和其他合作伙伴存在数据共享的行为,以便为用户提供更好地服务,并大力打击利用不当手段通关游戏的行为。“羊了个羊”还和友盟SDK存在合作关系,同样会收集用户的隐私信息。

    最后,“羊了个羊”此前发布的《隐私政策》中提到,“羊了个羊是一款全球性游戏,因此用户信息可能会在全球流通”。这大概也是文章开头部分中,有人质疑“羊了个羊”将用户泄露至国外的原因。

    还需要注意的是,根据《数据出境安全评估办法》,100万人以上个人信息的数据处理者向境外提供个人信息;应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。以“羊了个羊”的火爆程度,必定突破了百万级规模。

    警方通报,莫上当受骗

    除上述的问题以外,火爆的“羊了个羊”还引发了一系列的诈骗隐患。

    由于“羊了个羊”第二关通过难度巨高,导致无数用户难以凭借正常流程实现通关。不少诈骗分子瞅准这个时机,冒充“羊了个羊”的客服人员,以“复活道具”、“复活次数”、“通关秘籍”等噱头引诱急于通关的用户,实施网络诈骗。

    警方提示,用户在游戏过程中,一定要提高安全防范意识,别被一时激动冲昏头脑,一旦发现被骗,要及时保存聊天记录,发布诈骗信息的网页等证据,并立即向警方报案!

    这里分享几个常见的网络骗局,谨防上当受骗:

    1、花钱买秘籍通关型

    在这类骗局中,诈骗者常常在各种社交平台兜售“游戏通关秘籍”,吸引不明真相的用户购买,并在虚假游戏交易平台、微信群或QQ群内完成交易。这类骗局的特点是金额小,难追踪,其“秘籍”的价格多以“4.9”、“6.9”、“9.9”等小金额居多,一旦用户交钱后要么拉黑失联,要么发一些不相关的资料应付,而用户反应过来上当受骗后,大多数也不会去派出所报案,只能自认倒霉。

    2、秘籍免费分享型

    在这类骗局中,通常诈骗者通过社交平台与受害人添加好友后,表示索要秘籍的人较多,已经将秘籍存在某网盘里,随即发来链接要求受害人自取。而这类链接多数存在问题,有的是带有木马病毒的链接,用户点击之后很有可能导致电脑或手机中毒;有的是诈骗网站的重定向链接,带用户跳转至其他网站和平台。

    3、中奖奖励型

    在这类骗局中,诈骗者常利用诱导性的广告,引诱用户点击各种中奖链接,并在领取界面弹出xxx元优惠券,或者xxx元现金奖励,引诱用户进一步分享或支付现金,例如去年爆火的某小程序游戏就曾弹出的带有“100手机话费券”,但当用户领取了所谓的“100手机话费券”,按网站指示支付了9.9元或19.9元后却发现话费无法兑现,也不能退款,最终上当受骗。

    希望“羊了个羊”能够回应公众的担忧

    最后,希望“羊了个羊”能够在首页发布并完善《隐私政策》,正面回应目前网络上的各种“羊了个羊泄露用户隐私信息”、“羊了个羊窃取用户信息”等相关消息,向外界展示“羊了个羊”在用户信息保护方面所做出的努力,打消用户关于“隐私信息泄露”方面的担忧。

    一如“羊了个羊”公众号9月22日发布的消息一样,及时披露相关信息。作为一款用户量如此庞大的现象级游戏,创作团队更应该拿出应有的担当和责任,不断完善个人信息保护,不断健全游戏规则,才不负玩家们的激情与热爱。

    好了,不说了,我要继续去玩“羊了个羊”第二关了。

    本文作者:, 转载请注明来自FreeBuf.COM

    # 数据泄露 # 数据安全 # 隐私保护
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    评论 按热度排序

    登录/注册后在FreeBuf发布内容哦

    相关推荐
    \
    • 0 文章数
    • 0 评论数
    • 0 关注者
    文章目录
    登录 / 注册后在FreeBuf发布内容哦