[官方] 暴雪:战网安全隐患 请立即更改密码

    请注意，为了您的账号安全，请立即更改战网账号密码。中国战网不在此次安全问题之列！

    （2012年8月9日，加州尔湾市）暴雪娱乐今天向其玩家发出通知，称一些战网账号信息受到未经授权的访问。

    该未经授权的访问包括了除中国大陆之外的全部其他地区跟战网账号挂靠的邮箱地址。另外包括北美地区服务器（一般包含北美、拉丁美洲、澳大利亚、新西兰和东南亚）账号的相关信息：包括经加密的战网密码（非玩家真实密码），个人安全提示问题的答案，手机安全令相关信息，以及与手机防盗锁相关的加密号码（非真实电话号码）。需要着重指出的是，截至此刻暴雪娱乐(电竞娱乐)相信，单就上述被访问的信息而言，尚不足以令人登录战网账号。

    基于暴雪娱乐到目前为止的调查，重要的信用卡和其他顾客支付数据并无显示有被访问或者受到影响的迹象。但谨慎起见，暴雪娱乐仍鼓励玩家更改他们的战网账号密码或用于其他目的的类似密码。

    发现未经授权的访问后，暴雪(暴雪dota)娱乐已即刻采取措施切断访问，并通知相应的执法部门。目前调查正在进行中。暴雪娱乐将继续与有关政府部门和安全专家合作。---------------------------------    -----------------------------------------------

    1 、玩家现在需要做什么事来保护自己吗？

    虽然没有任何证据显示玩家的资料或密码已被不当使用，我们仍鼓励北美玩家更改密码。请点击此处登录并更改密码。

    作为预防性的措施，未来几天我们将会推出自动化的流程，让所有的玩家更改他们的安全性提示问题和答案。我们也会请手机安全令的使用者更新他们的安全令软件。

    此外，即便暴雪娱乐目前没有任何证据显示：您的资料被任何未经授权的团体取得或使用，我们仍敦促所有我们社区的玩家密切关注自己的全部在线账号。

    玩家也必须小心提防欺诈邮件（钓鱼邮件）。不幸的是，由于邮箱地址被访问，所以极有可能导致玩家收到的钓鱼邮件增加。请查阅此网页了解如何辨别及避免此类欺诈邮件。

    2 、什么样的数据受到了影响？

    我们已知遭受非法访问的数据概况如下：

    北美账号（包含拉丁美洲、澳大利亚、新西兰和东南亚）

    邮箱地址

    安全问题的提示答案

    加密的密码（非玩家真实密码）

    手机安全令相关信息

    与拨号式认证服务相关的信息

    与手机防盗锁相关的信息，此项安全系统仅限于部分台湾玩家的账号

    中国大陆以外地区账号

    邮箱地址

    中国大陆账号

    未受影响

    迄今为止，没有任何证据显示任何一项财务信息被访问，包含信用卡、账单地址、真实姓名或其他支付信息。

    3 、那些与手机安全令、拨号式认证服务相关的信息被访问。那手机防盗锁呢？

    对于拨号证认证，加密的号码（非真实电话号码）被访问。这牵涉到极少数选择这项安全服务的玩家。

    对于手机安全令，被访问的信息有可能破坏北美手机安全令的整体功能。不过，我们没有任何证据显示其他地区的手机安全令受到影响。我们将很快提供软件供用户更新。

    我们相信实体安全令不受影响。

    至于手机防盗锁，其被访问的信息是经加密的号码（非真实电话号码）。受影响的 玩家数目极少，仅限于那些拥有北美账号，并使用此项安全服务的极少数台湾玩家。

    4 、实体安全令有影响吗？

    我们相信实体安全令不受影响。

    5 、这是怎么发生的？

    同所有依靠网络经营业务的公司一样，总会有外面的团体试图非法访问我们的运营架构。为此，我们一直持续更新我们的安全技术、政策、协议及流程，以保障我们的玩家和游戏免受当今网络世界日益升级的外来威胁。

    6 、你们何时发现这一情况？

    我们于8月4日发现有人试图未经授权访问我们的内部网络。

    7 、为何8月9日才宣布？

    一发现未经授权的访问，我们即日以继夜地工作以调查此事的性质及遭访问的信息。我们的第一要务是重新加密我们的网络，并同步进行调查及通知全球玩家。我们希望在速度和准确性上取得平衡，努力同步处理同等重要的需求。

    8 、暴雪娱乐已采取什么样的行动？

    一发现未经授权的访问，我们已很快重新加密我们的网络，并立即通报执法部门和安全顾问，启动事故调查。在发现非法访问的短短几天内，我们也已采取了措施通知玩家。

    9 、有任何个人或财务信息被访问吗？

    目前没有任何证据显示财务信息受到访问或影响，也没有证据显示真实姓名、账单地址等个人信息受到影响。

    10 、关于加密的密码被访问，能提供更多细节吗？

    北美玩家的加密密码遭访问，但我们使用安全远程密码协议(Secure Remote Password, SRP)保护这些密码。未经授权的使用者将无法通过这项单一数据取得玩家真实的密码。每一组密码必须被逐一破解才行。由安全远程密码协议所提供的额外保护将使解密在电脑运算上变得困难且昂贵。

    11 、你们为何不立即废止被泄露的安全性提示问题和答案呢？

    这是一项困难的决定。但我们考虑再三最终认为：保留这些安全性提示问题和答案，仍能为玩家提供多一层的安全保障，使其免受其他未经授权使用者的“来访”。同时，我们将很快推出一项机制，让玩家能够更改他们账号中设定的安全提示性问题和答案。我们的客服团队也将使用额外的信息来确认玩家的身份，而不仅只依赖安全提示性问题和答案。

    12 、为什么不立即废止手机安全令呢？

    如同对于安全性提示问题和答案的决定一样，我们相信保留手机安全令将为玩家提供多一层的保障，使其免受其他未经授权使用者的“来访”。事实上，仅有手机安全令的信息，没有真正的密码，是无法登录战网账号的。我们正加紧安装新的手机安全令软件，并将在完成安装后通知玩家立即更新。

    13 、这次事件发生后，你们会采取额外的安全措施吗？

    我们正持续升级我们的安全技术、政策、协议和流程来保护我们的用户和游戏，并将继续密切监测形势。

相关团队也正夜以继日地与执法部门和安全专家展开调查，以获取有关此次事件的更多细节。当我们结束调查时，所得到的经验教训将帮助我们更好地加强未来的安全工作。
 

本文由叶子猪电子竞技频道首发：http://esports.yzz.cn/gonggao/201208-508387.shtml