任天堂四月數據洩露中還暴露了另外140,000個用戶帳戶
在數據洩露之後,公司需要確定有多少用戶受到影響並披露攻擊者的作案手法。這樣,人們將對漏洞的規模和黑客的複雜程度有清晰的了解。這似乎是一項簡單的工作,尤其是對於大型跨國公司而言,但是任天堂的用戶可以證明,有時候這比起初看起來要困難得多。
任天堂的漏洞超出了最初的預期
這一切始於4月初,當時大量用戶抱怨無法登錄其Nintendo帳戶。一些人甚至注意到他們個人資料中保存的付款方式的未知費用,但是儘管有很多抱怨,但最初這家視頻遊戲公司什麼也沒說。正如BitDefender當時指出的那樣,任天堂在Twitter上的日本支持帳戶最終確實承認出了點問題,但官方宣布推遲了幾週。
4月24日, 一個數據洩露通知出現在Nintendo Japan的支持頁面上,稱有16萬用戶的Nintendo Network ID(NNID)帳戶遭到攻擊。通過NNID帳戶,黑客可以訪問用戶的暱稱,出生日期,電子郵件地址和居住國家。他們還使用NNID帳戶登錄到主要的Nintendo配置文件,在該配置文件中也可以使用所有者的姓名。
任天堂很快指出,網絡罪犯無法獲得任何信用卡詳細信息,但他們確實指出,任天堂的官方商店內有一些未經授權的購買,是使用保存在受損帳戶中的付款方式進行的。
宣布違規後不久,Nintendo從主要Nintendo配置文件中分離了NNID帳戶,重置了受影響用戶的密碼,並開始退還未經授權的交易。
不幸的是,這還沒有結束。投訴仍在繼續,經過調查,任天堂得出結論認為,可能還會有14萬個帳戶受到影響,使總數達到30萬左右。
任天堂的披露並不完美
人們不應該對數字的修訂感到沮喪。調查數據洩漏並非易事,有時,直到幾週甚至幾個月後,情況才變得清晰。但是,在進行詳細披露時,從一開始就應該盡可能清楚,就任天堂而言,這不是我們所看到的。
一方面,儘管該違規行為影響了來自世界各地的人們,但並非在任天堂的所有全球網站上都提供該通知。例如, 美國支持頁面沒有任何提及,儘管英國分支機構確實承認了此事件,但缺少技術細節。
大多數想了解更多有關違規行為的人都需要使用自動翻譯服務,並試圖弄清任天堂的意思,這可能比聽起來更難。該通知清楚地表明,例如,儘管黑客使用有效的用戶名和密碼來登錄人們的帳戶,但任天堂的系統並未受到任何損害。但是,我們不知道這些騙子是否直接從用戶處騙取了它們,或者他們是否從不相關的事件中從被破壞的數據庫中帶走了它們,並將其用於憑據填充攻擊 。
任天堂的安全專家可能已經意識到有多少人受到四月份數據洩露的影響,但他們顯然還有更多細節需要發現和披露。希望他們能夠快速透明地做到這一點。