今天刷到這條新聞的時(shí)候，我第一反應(yīng)是“完了，Switch 2的機(jī)密又要滿天飛了”，結(jié)果仔細(xì)一看，事情還真沒那么簡單。任天堂官方已經(jīng)承認(rèn)了一樁數(shù)據(jù)泄露事件，涉及的是員工信息，但是——注意這個(gè)但是——出事的不是任天堂自己的服務(wù)器。

說真的，這幾年游戲圈大廠們輪番被黑客點(diǎn)名，玩家們都快麻了。但這次我之所以覺得有必要拉出來聊聊，是因?yàn)檎碌淖呦蚝屯婕覀兿胂笾械摹靶孤丁蓖耆莾纱a事。咱們一條一條捋。

先說說到底發(fā)生了什么。這次被盯上的不是任天堂的內(nèi)部開發(fā)系統(tǒng)，而是一個(gè)叫TinyPulse的第三方服務(wù)。這玩意兒是干嘛的呢？說白了就是任天堂用來給員工發(fā)調(diào)查問卷的工具，收集一下大家對工作的看法、滿意度之類的。結(jié)果這個(gè)第三方服務(wù)出了“問題”，導(dǎo)致一部分員工數(shù)據(jù)被扒了出來。

任天堂方面的發(fā)言人已經(jīng)在給Nintendo Life的聲明里把話挑得很明了：任天堂自己的系統(tǒng)沒有被攻破，沒有任何客戶信息或者財(cái)務(wù)數(shù)據(jù)被訪問。被卷進(jìn)去的數(shù)據(jù)僅限于內(nèi)部調(diào)查問卷的內(nèi)容，而且只覆蓋了一小部分員工，大部分信息還是好幾年前的舊數(shù)據(jù)。

你看，關(guān)鍵詞就在這兒——“好幾年前的舊問卷”。我翻譯一下任天堂的潛臺(tái)詞：這幫人手里攥著的東西，既不是新主機(jī)開發(fā)文檔，也不是什么未公開大作的設(shè)計(jì)稿，而是一堆員工幾年前填的滿意度調(diào)查。

接下來說說那個(gè)搞事情的團(tuán)伙。社交媒體上的帖子顯示，一個(gè)自稱“勒索即服務(wù)”的組織ShadowByt3$跳出來認(rèn)領(lǐng)了這次攻擊，開口就要200萬美元的贖金，否則就把任天堂員工的姓名、郵箱、銀行記錄，還有調(diào)查數(shù)據(jù)、進(jìn)度計(jì)劃和優(yōu)秀員工詳情全都公開。

200萬美元。兄弟，你聽聽這個(gè)數(shù)字。考慮到任天堂的體量，這個(gè)要價(jià)說高不高說低不低，但任天堂的態(tài)度從聲明里能看得很清楚——沒提任何要和勒索團(tuán)伙接觸的意思，甚至明說了，他們預(yù)計(jì)這些調(diào)查數(shù)據(jù)最終會(huì)被掛到網(wǎng)上。

言下之意就是“你愛發(fā)不發(fā)，我們不吃這套”。這個(gè)立場我個(gè)人覺得沒什么毛病。一旦和勒索團(tuán)伙談判，開了這個(gè)頭，后面就是無底洞。

現(xiàn)在咱們來聊聊玩家們真正關(guān)心的問題：這次泄露到底會(huì)不會(huì)復(fù)刻2020年那種級別的大災(zāi)難？老玩家可能還記得當(dāng)年的“Gigaleak”——那是真真正正的任天堂史上最大規(guī)模泄露事件，大量原型設(shè)計(jì)、開發(fā)資料、被砍項(xiàng)目的素材被捅了出來，玩家社區(qū)當(dāng)時(shí)直接炸了鍋。后來的“Teraleak”更是把GameFreak的服務(wù)器掀了個(gè)底朝天，寶可夢相關(guān)的內(nèi)部數(shù)據(jù)流得到處都是。

但這次不一樣。任天堂的聲明特意強(qiáng)調(diào)了，泄露的內(nèi)容不涉及開發(fā)細(xì)節(jié)和游戲資產(chǎn)。換句話說，你不用擔(dān)心突然在網(wǎng)上看到Switch 2的完整規(guī)格表，或者什么未公布塞爾達(dá)新作的角色設(shè)定圖。這次的鍋是TinyPulse的，漏出來的東西頂多就是員工們對公司食堂滿不滿意、對彈性工作制怎么看這類話題。

不過話說回來，這事兒也不是完全沒看頭。美國任天堂之前就被一些員工公開吐槽過臨時(shí)工合同的問題，IGN還專門做過調(diào)查報(bào)道。現(xiàn)在內(nèi)部的員工反饋問卷要是真被公開了，里面會(huì)不會(huì)炸出點(diǎn)什么關(guān)于用工待遇、管理方式的猛料，這就很難說了。畢竟員工在匿名問卷里寫的東西，往往比官方通稿誠實(shí)得多。

我把目前能確認(rèn)的信息再列一下，省得大家被各種標(biāo)題黨帶偏了：第一，任天堂自己的服務(wù)器沒被黑，客戶數(shù)據(jù)安全；第二，泄露源頭是第三方員工調(diào)查平臺(tái)TinyPulse；第三，被卷進(jìn)去的只有一小部分員工，數(shù)據(jù)年限偏舊；第四，勒索團(tuán)伙要價(jià)200萬美元，任天堂不打算給錢；第五，泄露內(nèi)容不包含游戲開發(fā)資料或新作情報(bào)。

整件事的魔幻之處在于，ShadowByt3$這個(gè)團(tuán)伙自稱“勒索即服務(wù)”，聽起來挺唬人的，但仔細(xì)想想，你攻擊了一個(gè)做問卷的工具，拿到了一堆員工滿意度反饋，然后想靠這個(gè)訛一個(gè)市值幾百億的公司200萬刀。這事兒擱網(wǎng)文里都得被讀者吐槽劇情不合理。

當(dāng)然，安全圈的老哥可能更關(guān)注另一個(gè)問題：像TinyPulse這種第三方SaaS服務(wù)，到底被多少大公司用在工作流程里？如果這類工具的安全性普遍是這個(gè)水平，那以后類似的事情只會(huì)多不會(huì)少。這次是任天堂的員工問卷，下次說不定就輪到別家公司的內(nèi)部通訊記錄。對玩家來說，雖然短期內(nèi)新作情報(bào)不會(huì)因?yàn)檫@種事泄露，但整個(gè)游戲行業(yè)的信息安全確實(shí)看起來越來越像塊破抹布了。

最后多說一句，我看到有玩家在社交媒體上擔(dān)心自己的任天堂賬號要不要改密碼。根據(jù)目前官方放出來的信息，完全沒有這個(gè)必要。這次事件的范圍被卡得很死：第三方服務(wù)、內(nèi)部問卷、少數(shù)員工、舊數(shù)據(jù)。你的Switch在線ID、購買記錄、綁定的信用卡這些，都不在這次的雷區(qū)里。

所以總結(jié)下來，這波操作就像是小偷沒撬開你家大門，而是翻了小區(qū)門口的意見箱，然后拿著幾張泛黃的紙條威脅你掏200萬。雖然挺膈應(yīng)人，但真沒必要慌。