知名太空模拟游戏《星际公民》的开发商cloud imperium games(cig)近日确认,公司于2026年1月遭遇一场“高度组织化、技术复杂的网络入侵”,致使部分玩家的非敏感个人资料遭到未授权读取。相较事件本身,更引发社区广泛不满的,是cig在事发近六周后才以极低可见度的方式披露信息,且始终未启动面向受影响用户的主动通知机制。
据CIG官网发布的正式说明,该安全事件发生于2026年1月21日。攻击者绕过部分防护措施,短暂访问了公司若干离线备份环境,从而获取了受限范围内的用户账户信息。CIG称已第一时间隔离相关系统、重置全部关联密钥与访问凭证,并完成多层安全策略升级,目前评估无残留风险或持续性渗透迹象。
争议焦点集中于信息披露的滞后性与隐蔽性。直至2026年3月初(即事件发生约42天后),绝大多数玩家才知晓此事。值得注意的是,CIG既未在官网首页设置醒目公告栏,亦未向注册邮箱批量发送安全警示邮件。Reddit用户证实,唯一可见提示仅出现在玩家登录《星际公民》主账户后台时弹出的一则小型模态窗口。该事件最终进入公众视野,实为玩家主动向科技媒体The Register提供线索后,经其调查报道才引发连锁关注。
根据CIG披露的范围界定,被访问的数据类型限定于基础身份类字段,具体包括:
· 系统生成的元数据(未披露技术细节)
· 电子邮箱及电话等联络方式
· 账户注册用户名
· 用户填写的出生日期
· 实名登记的全名
官方特别指出:所有支付系统、信用卡信息、银行账户等财务数据均独立存储于完全隔离的合规环境中,本次未受波及;用户设定的密码经哈希加盐处理,原始值从未以明文形式存在于被访问系统中;攻击行为全程处于只读状态,未触发任何写入、篡改或植入操作。据此,CIG判断该事件“未达到实质性安全危害等级”,并表示“暂无证据表明会对用户日常使用造成可预见影响”。
但这一评估迅速招致多方质疑。网络安全研究者指出,姓名+生日+邮箱的组合足以支撑高可信度的社会工程攻击——攻击者可据此伪造官方客服邮件、虚假验证页面或钓鱼短信,诱骗用户交出二次验证令牌、社交平台账号甚至游戏资产私钥。此类“低技术门槛、高成功率”的后续风险,远超CIG当前定性范畴。
玩家社群的批评声浪持续高涨。Reddit热帖中一条高赞评论直指核心:“我们没收到一封邮件,没看到首页横幅,甚至连推特都没更新——你指望靠一个登录弹窗让我们重视数据泄露?”另一名资深用户留言称:“不是反对延迟通报,而是反对把延迟当作常态;不是质疑技术能力,而是质疑对用户知情权的基本尊重。”不少法律界人士亦指出,按GDPR及中国《个人信息保护法》等主流监管框架,此类事件通常要求72小时内向监管机构报告,并同步向高风险用户发出直接通知,CIG当前做法存在明显合规缺口。
截至目前,CIG仍未公布受影响用户总量估算,亦无任何黑客组织宣称对此负责,公开渠道亦未监测到相关数据在暗网市场的流通痕迹。公司表示正联合第三方安全团队持续开展溯源分析与威胁狩猎。(消息发布于2026年3月4日)
