知名太空模拟游戏《星际公民》的开发商Cloud Imperium Games(CIG)近日证实,公司在今年1月遭遇了一次“系统性的、复杂的网络攻击”,导致部分玩家的个人数据被未授权访问。然而,相较于事件本身,更令玩家社区感到愤怒的,是CIG时隔近六周才以一种极其隐蔽的方式披露此事,且至今未进行大规模的主动通知。
根据CIG在官方网站发布的声明,此次攻击发生于2026年1月21日。攻击者未经授权入侵了公司的部分备份系统,获得了对用户个人数据的有限访问权限。CIG表示,已迅速采取行动遏制了攻击,并刷新了安全设置,声称目前已无持续威胁。
问题的关键在于披露方式。直到本周,也就是事发近六周后,玩家们才得知这一消息。更让玩家不满的是,CIG并未在官网首页显著位置挂出公告,也没有通过电子邮件向受影响用户发送通知。据Reddit论坛用户反映,唯一的通知方式是玩家登录其《星际公民》账户时,才会看到一个弹窗。此事最终被广泛关注,是因为玩家向科技媒体The Register爆料后,才引发了更大范围的报道。
根据CIG的官方说明,被访问的数据仅限于基本的账户详情,包括:
· 元数据(具体内容未明确)
· 联系方式
· 用户名
· 出生日期
· 姓名
公司强调,受影响的系统中未存储任何财务或支付信息,用户密码也未泄露。攻击者的访问权限为“只读”,未发生数据注入或修改行为。基于此,CIG认为该事件“不构成安全风险”,也“预计不会对用户产生任何影响”。
然而,这一“轻描淡写”的定性遭到了安全专家和玩家的强烈质疑。虽然看似是“基本信息”,但姓名、出生日期、联系方式(很可能是邮箱地址)的组合,恰恰是实施精准钓鱼攻击的绝佳素材。攻击者可以利用这些信息伪装成官方,发送极具迷惑性的诈骗邮件,诱导用户点击恶意链接或提供更多敏感信息。
CIG迟来且隐蔽的披露方式点燃了玩家的怒火。在Reddit和官方论坛上,充斥着对沟通方式的批评。论坛上一条获赞无数的评论质问道:“邮件在哪里?首页公告又在哪里?”另一位玩家写道:“让我感到愤怒的是缺乏沟通,而且在事发一个月后,你才用一个基本上算是隐藏的信息告诉我们出事了。”许多玩家认为CIG此举可能违反了相关数据保护法规,要求采取进一步行动。
截至目前,CIG尚未透露此次事件影响了多少用户,也没有任何勒索软件团伙声称对此次攻击负责,也暂未发现有数据被公开出售的迹象。CIG表示仍在密切监控局势。
