入侵資料庫，目的為何

資料庫入侵之後，不一定是直接要盜玩家帳密資料，很多人都以為盜資料庫就是要偷這東西，通常這是列在最後考量的。最先者對方會試著去看看能否修改金錢或物品的欄位，無中生有的直接竄改資料最快，再來是測試有無辦法複製金錢物品，最後才是偷取玩家的帳密資料。而通常盜取了資料，都是會拿去轉售，不見得會自己下來開帳號偷東西。


進資料庫去改其他東西？

如果取得權限，並且找到表單的位置，金錢、經驗、道具數量等，什麼都可以修改。而如果取得這樣權限的人，通常也不用去偷玩家帳密，CRACKER可以經過幾次入侵測試就知道遊戲公司在這方面有無監控管理好。會不會發現資料被修改，就得看遊戲公司投入的防護等級和心力，以及有無隨時監控的人員，或有沒有相關人員發現異常，換句話說，有些可能永遠都不知道遊戲已經被下了符咒。


偷改沒人會知道嗎？

資料庫遭到修改系統是可以做警告的，只差有沒有做和有沒做對地方，一般刪除、修改這兩個權限都不應該是一般人可以接觸的，如果有被更動到，會做出警告訊息。遊戲公司要修改玩家某些資料，例如虛寶的返還，都要經過層層簽核，然後才會被擁有權限的人更動，所以假設是被入侵並且修改數值，對方不講、自己的防護警報又沒做，就很難被察覺，或是只能被動發現，甚至可能幹壞事的人，就是那個有權限的人。


到底是怎麼入侵的？

資安工作的投入夠不夠，在遊戲公司的防護中可能有疏失，有時候只是突然開個外網，就被入侵了，或者是某些管理者大意，出事不報，甚至電腦防護常識不足，造成電腦被植入後門或被駭，因而擴大災情，筆者說過了，在上位者諸如經理或是什麼的，電腦知識不見得比較強，所以災禍不見得都是小人物引起的。

而GM使用玩家回報的外掛程式當場執行起來，造成被入侵，這些事情在業界也都發生過。資訊安全的教育，是不分職位的，遊戲公司這點絕對要記勞。


資料庫被入侵，玩家帳號危險嗎？

如果會去盜取玩家資料，最重要的是表單內帳號和密碼這兩欄。對遊戲公司來說，玩家表單上的帳號不能加密，但是密碼則必須加密（以目前網路環境安全性來講），資料庫被入侵後，整張表單會被拷貝走，CRACKER偷了沒加密的密碼，玩家就等著一個一個預備受害了。而有加密的密碼如果無法破解，取得的資料幾乎是無效的，大概也只能從帳號組合規則或是其他例如生日等欄位，去猜玩家的密碼。


萬國通用帳密，不用偷密碼你也會遭殃

建立字典型的盜帳號法，成功率大概2%-4%，因為筆者曾經看過未加密的帳密資料欄，一萬筆資料大概有200-400筆是帳號密碼一樣的，這種哪需要偷密碼，一萬個帳號慢慢複製貼上也可以盜走一堆偷懶的人，另外還有3%是很陽春的密碼，或是和帳號之間有規則可循，不然就是萬用帳密，一百個遊戲從沒換過，甚至巴哈姆特的帳號也和遊戲帳號一樣。恩，細節我就不講太直接了……以免有人做壞事XD。


加密的密碼可以反解嗎？

基本上是較難的，或是你能找到公式，不然你要解出諸如此類「y7QoY6FgDdauIO04B7dT78RrqE」加密過的亂碼，大概只能從設計者手上拿到公式，因此資料庫被駭，不見得玩家帳號就會被出事，除了要看對方目的之外，表單內的密碼做好了保護，安全性還算是高的。


資料庫資料的黑市交易

許多大陸討論區都會發現有人在徵數據庫，不過賣這東西假貨也不少，有些不肖的商人會將一筆資料賣給四五個人，也有人利用這種上論壇詐騙，例如一開始先給你幾筆真的資料讓你過個癮，付錢後拿到的卻是過期的舊資料。



玩家其他資料能賣錢嗎？

除了玩家帳號密碼以外，其他文字型的資料幾乎都是垃圾訊息，很多玩家把自己的住址、電話等資料當成寶，但整體而言這些價值性是很低的。在網路遍及後，普遍的大家都被灌輸「不要在網站上留下正確的資料」這類的觀念，於是筆者在打開資料庫查詢資料時，列表內有些文字掰到會讓你笑到噴飯，例如這類的住址『台北市柏油路機車待轉區非洲巷18弄號地下七樓』、『木星外環第二顆衛星像不巷我很愛號林小樓之8』；名字的部分，舉凡你知道的歌星或知名人物，全部都可以在會員欄位查到，而這些類似港星的名字九成九都是掰的，當然其他只要是需要你自己key in文字的欄位，有一半以上都是假的，這些資料是一點價值也沒有。

大家都怕資料外洩，都喜歡留下亂七八糟的文字，這些卻是攸關自己的權益問題，你投入假資料，以後要是帳號出事情絕對擾你老半天，到最後你只能放棄掉相關的虛擬資產。甚至我相信有很多人玩到很高等了，帳號被盜或虛擬物品出問題要追，才發現自己是用身分證產生器，這些玩家絕不在少數。

所以乖乖留下正確的資料，其實是不會有什麼問題的，如果人家要盜遊戲資料庫，多半不是對你個人身家資料有興趣，最大的防備，你可以用學校公司的住址或電話，至少你身分證字號不能造假，所有出問題後要確認都必須經過身分證字號，你可以用你家人的，但是你自己要記的起來。


客服查得到你的密碼，危險！

如果有玩家忘了遊戲的密碼，打電話去客服盧半天要對方幫你查，這時候要注意，客服沒有辦法取得你的密碼，這是正常的，千萬不要大聲嚷嚷，如果客服可以幫你查到密碼並且當場唸給你，那這種表示資料庫的密碼欄位沒有加密，這是一件很危險的事情，而且這也不是正確的處理流程，客服是不應該把密碼唸給玩家知道的。

像我常提那的款3Q可愛遊戲，以前我就曾經打電話去要過密碼，客服還唸給我聽，後來發生資料庫被入侵，大量盜帳號風波時，那簡直是一發不可收拾。


玩家忘記密碼，最正確的步驟是：
1、去電或mail或傳真確認身份
2、若干時間後，客服會寄一組由程式亂數產生的密碼到你指定的信箱
3、寄出後客服來電告知，玩家去收取密碼再上官網變更
4、變更以前不能用該組密碼上線

不過通常只到第三個步驟，追加第四個步驟是針對不肖客服設計的防護。



過濾機制與帳號防護

所以這邊遊戲公司可以做一些事情，可以減少客服被轟炸。

1、防止玩家帳號和密碼是相同的，在網頁端申請的時候就要擋下來，用警告訊息告訴玩家帳號密碼不可以一樣。

2、另外如果一家遊戲公司有多個遊戲，也可以在玩家申請會員或帳密時，去檢索玩家是否在本公司平台內其他遊戲申請過相同的帳號，替玩家過濾掉，從網頁申請就可以開始幫玩家做一些事情，以後客服端會少很多麻煩。

3、在遊戲登入視窗內，玩家如果輸入密碼錯幾次，或輸入不一樣的帳號幾次，就強制關閉遊戲，你必須重開，這雖不能擋什麼，但是可以增加試圖以收集名單嘗試猜貼玩家密碼的人工作上的麻煩。

4、密碼加密、密碼加密、密碼加密，應該不用多提了，如果是代理別人的遊戲，也要確實要求對方做到這個部分。



資料庫的防備已經越來越重要

講了這麼多，遊戲公司最重要的除了玩家密碼欄位的加密之外，資料庫的保護工作已經刻不容緩，而有時候為了省成本把所有遊戲資料庫丟在同一個地方，出事情也都是連鎖的，最近玩家應該有發現有一些大遊戲已經在公告玩家趕快改密碼了。

網路科技進步神速，網路犯罪也跟著暴增，在虛擬資產逐漸被建立起價值的這年頭，希望遊戲公司能好好的下工夫保護遊戲的資料庫，現在這些已經成了黑客下手的首要目標了，尤其是喜愛躍上遊戲網站前幾名的熱門排行，當你們把遊戲灌上前十大，也可能代表麻煩才剛要來臨而已。


年假九天，我也要休息一陣子，回家好好享受個清閒，這兩篇粗淺的文章陪大家過過年，放假記得好好的出去玩個過癮，梅添涼我在這裡祝你們大家新年愉快 : )。