“不知道为什么,一小时前有人登录了我的账号并将其重置为零。”这是你在假期期间最不想看到的事情:成百上千小时的游戏进度被一个完全陌生的人抹除。然而,这正是过去 24 小时内困扰《逃离塔科夫》(Escape from Tarkov)社区的问题,类似的帖子散布在各大论坛和社交媒体上,这一切都归咎于 BSG 方面的一个重大疏忽。
其中一名黑客 @Chilljones1125 解释说,他们所做的只是将 Steam 回显 URL 修改为他们想要访问的账号 ID。不需要任何黑客工具,就像一层泡沫塑料做的防火墙。之所以奏效,是因为验证系统没有正确校验 Steam 返回的数字签名或响应,导致《逃离塔科夫》账号处于完全开放的状态。
即便开启了双重身份验证(2FA),该漏洞依然有效。
据 Tarkov-Changes 的创办者 LogicalSolutions 称,BSG 已经意识到了这个问题。成千上万小时的游戏进度通过简单的“复制和粘贴”就被删除了;“网站正在维护中。显然,网站上曾经/存在一个漏洞,允许人们更改他人的个人资料。希望 BSG 能够回滚所有受影响的账号。”
漏洞可能已经修复
Twitch 主播们受到的打击尤为严重,从 BAXBEAST 到 Dr Lupo 以及 Insanesqt,所有人的账号都经历了删档(wipe)。然而,尽管知名创作者们对该问题表达了沮丧,BSG 在社交媒体上仍保持沉默,让许多人对到底发生了什么感到困惑。
目前,最安全的选择是解绑你的 Steam 和塔科夫账号,使该漏洞无法被利用。不过,一些玩家报告称漏洞已经修复,所以最糟糕的情况可能已经过去。
“我尝试用自己的账号测试了一下,没有成功,所以我认为它可能已经被修复了,”LogicalSolutions 表示。“这是网站上一个非常简单的漏洞。没有数据泄露,除了部分电子邮件地址外,没有人的密码或其他信息被泄露。”
在 BSG 澄清情况之前,采取预防措施以保安全仍然是值得的,因为删档进度是否能被恢复目前还是个未知数。
逃离塔科夫 (Escape from Tarkov)
撤离类射击游戏 (Extraction Shooter)生存 (Survival)发行日期2025年11月15日分级 (ESRB)M (17+)开发商Battlestate Games发行商Battlestate Games引擎Unity
