[蔚藍] 小雪之亂原因推測及可能要注意的事

看板C_Chat (希洽)作者chejps3105 (氋氃)時間1周前 (2025/09/01 20:40)推噓17(17推 0噓 22→)

留言39則, 23人參與討論串1/1

更新一下，根據最新公告這篇的推測幾乎完全命中，非常有參考價值在看韓國wiki看到的相關資訊，感謝chatgpt我完全沒學過韓文也能翻譯，搬運給大家 https://bbs.ruliweb.com/community/board/300143/read/72123507 事件概述： 1. 攻擊者入侵了 CloudFront 的 CDN 伺服器（d2vaidpni345rp.cloudfront.net），並將《碧藍檔案》的伺服器位址：原本是：https://nxm-ios-bagl.nexon.com:5100/api/ 替換為：http://45.94.31.77:5100/（一個位於荷蘭的伺服器）被替換後的這個伺服器，處理了除了帳號 SDK 認證以外的所有遊戲資料。 --- 2. 最早的舉報時間是 9點07分45秒。因為荷蘭伺服器對韓國玩家來說延遲超過1000ms，理論上不可能不被察覺。但在此之前完全沒有出現「延遲」相關的討論，這篇舉報算是第一篇相關貼文。在 9點06分50秒時，就有玩家回報疑似 MITM 攻擊造成的異常現象。雖然直到9點30分左右才開始出現「延遲」的回報，但這更可能代表：攻擊是從晚上9點左右才開始了，不是在長期秘密竊取資料。 --- 3. 官方維護時間是晚上 10點26分。 --- 4. 根據推測，這台 CDN 所影響的客戶端包含： * Google Play 商店的 15歲/19歲版本 * Galaxy Store 的 19歲版本 * iOS 的 19歲版本 --- 總結： 1. CDN伺服器被入侵，導致晚上9點～10點26分之間，《碧藍檔案》的所有遊戲資料（封包）都被轉送到攻擊者位於荷蘭的伺服器。 2. 因為《碧藍檔案》的封包可以被解密，攻擊者可能透過中間人攻擊保存了所有封包內容。雖然攻擊者可能掌握這些資料，但只要Nexon重新初始化用戶的認證憑證（Token），基本上可以避免後續風險。 3. 因為是從荷蘭連線，就算是中間人攻擊也會導致明顯的延遲，這讓玩家立刻察覺異常，再加上舉報貼文一出，攻擊就被迫中止。而且從攻擊手法來看，使用了裸露的 HTTP 協議、解密了封包，但卻是貼在論壇上，感覺不像是嚴肅的攻擊行動，反而像是惡搞或炫耀。 4. 所以，只要不是在那段時間內進行付款操作的玩家，基本上不用太擔心。 --- (上面的時間是韓國時間) 簡單來說就是駭客明明能假裝沒事讓遊戲正常進行默默偷資料，但他卻在駭入後不久就搞出小雪之亂，應該是樂子人而已，加上封包沒有帳密資訊，對資料外洩應該不用太擔心但是當時有課金的仍要小心一點，注意一下信用卡之後有沒有被盜刷。當時有沒有課金應該很好分辨，當下課金應該會失敗，這是當時韓國有人刷卡失敗的回報 https://arca.live/b/bluearchive/146679695 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.8.29.220 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1756730440.A.1FC.html ※ 編輯: chejps3105 (101.8.29.220 臺灣), 09/01/2025 20:42:06 ※ 編輯: chejps3105 (101.8.29.220 臺灣), 09/01/2025 20:42:27

推

CactusFlower

09/01 20:42, 1周前 , 1^F

09/01 20:42, 1^F

→

CactusFlower

09/01 20:43, 1周前 , 2^F

09/01 20:43, 2^F

推

super0949

09/01 20:43, 1周前 , 3^F

09/01 20:43, 3^F