据The Verge报道,任天堂声明显示,已有30万个账号泄露。3月,有任天堂用户抱怨称其账号在未经许可的情况下被收取了数字物品费用。4月,任天堂发布消息称,用户应为自己的账号启用双重验证功能。两周之后,任天堂才承认大量账号被不当访问。
6月9日,任天堂再次就账号被入侵一事发布更新声明,称又发现14万个账号存在被泄露的情况,目前已重新设置了这些账号的密码。庆幸的是,根据任天堂的说法,在以上被泄露的账号中,仅有不到1%进行过不正当交易。
对于后续,任天堂方面表示,目前已联系到相关用户并追加了新的安全对策,对各国受影响用户的退款程序正在持续进行中,其中大部分用户的退款处理已经结束。
值得注意的是,这不是任天堂在今年首次被指出出现信息泄露,该公司还曾在今年5月被曝出Wii游戏主机的软件源代码以及硬件设计文档泄露一事,包括Verilog文件、固件源代码、PC/芯片设计图等均被泄露在网络上。
此前,任天堂已经对受到影响的16万个任天堂账号取消了NNID的登录方式,以及对其通过邮箱的形式进行了密码重置;本次报道中的14万个账号也获得了同样的处理方式。任天堂官方仍建议受影响用户使用双重认证机制,确保账户安全。
其实,这次任天堂账户遭到入侵的源头,可以追溯到任天堂旧时代的Nintendo Network ID(NNID)服务。
NNID为任天堂以前给老款掌机3DS,以及上一代主机WiiU开通的线上服务,虽然两台主机基本已经寿终正寝,但老玩家们依然可以保留自己的ID,用于转移到新的Nintendo Account。
可能是任天堂对旧网络服务疏于安全管理,黑客利用到了Nintendo Network ID的漏洞来入侵Nintendo Account,而在这30万个账号中,被盗取的信息包括了Nintendo Account里面的昵称、生日、地区以及E-mail地址。
另一方面,因为国行Switch用户用到的是腾讯的独立网络服务,是没有受到这次黑客盗号行为影响的。