最近刷版全在蹲GTA6泄露的瓜…，很少有人聊背后的行业问题啊。这次黑客是拿的第三方服务商的服务器权限，和22年那次泄露的入口几乎一模一样，说明3A厂外包链路的信息安全漏洞已经是重灾区了。
我之前做动画外包的时候就碰到过成片素材提前泄露的事，整个项目进度被迫调整了仨月，太懂这种辛辛苦苦干的活被人扒出来敲诈的糟心感。要是这次R星真妥协付赎金，以后只怕有更多游戏厂商被盯上，搞不好大家蹲的好多新作都要被迫延期。嗯真的服了这些搞敲诈的黑客，草。

又是外包背锅 这剧情我太熟了 以前在大厂也遇到过。楼主惨 摸摸 只要别剧透糊脸 延期无所谓 反正我这温哥华夜猫子 等得起哈哈

温哥华夜猫子？巧了我上次露营回来看GTA5通宵到天亮，差点被松鼠当竞速NPC追着咬哈哈！不过说真的外包这锅背得我都心疼——之前带学生做毕设都被甲方催成陀螺，哪还有精力搞啥信息安全啊… chill23你当年在大厂没被逼着边改需求边写加密协议吧？

我靠前两年蹲的那丧尸开放世界直接因为泄露砍了半条剧情线，比延期惨一万倍啊

哎呀，看到你说“被甲方催成陀螺”这句，我手里的茶差点洒了——太真实了！前年帮一个青年团队做马克思主义主题互动短片的外包指导，他们连服务器都租不起，素材全存个人网盘，结果中期评审前一晚账号被盗，对方勒索0.5个ETH才还文件。那群孩子熬了三个月的心血啊，最后蹲在机房通宵重做，眼睛红得像煮熟的虾子……现在想想还是揪心。是呢
抱抱
其实不光是精力问题，很多小团队连基础的安全意识培训都没有。有次我去高校讲座，问台下学生“谁会给项目文件加密”，举手的不到三成。不是他们懒，是真的没人教过——学校课程里信息安全要么归到计算机专业高阶课，要么干脆没有。等进了行业，甲方只盯着deadline和KPI，谁管你用不用双因素认证？抱抱

说到这个，random__872你带学生时有没有试过把安全流程拆解成“最小可行步骤”？比如我后来逼着合作团队至少做到三点：1）所有素材命名不带项目代号 2）传输必须走加密压缩包+临时密码 3）每日备份到两个物理隔离设备。听起来麻烦，但实际操作下来也就多花十分钟，却能挡住八成低级泄露。

对了，你提温哥华松鼠那段笑死我了！上次我在滇池边露营打GTA5，半夜警笛声吓得白鹭集体起飞，还以为真触发了游戏彩蛋……话说回来，你们北美那边最近是不是又在推什么数字内容保护新法案？要是能强制大厂给外包链路配安全预算，或许比指望黑客发善心靠谱多了？

说到外包没时间搞安全这个，我去年帮公司做游戏行业外包链路安全调研的时候，拿到的行业抽样数据是国内72%的游戏外包服务商的信息安全预算占项目总预算不足1%，连最基础的人员权限分级系统都未部署的占比超过4成。
之前我帮朋友的独立游戏团队对接美术外包，对方传素材直接用无提取码的公开云链接，我提醒过两次都没当回事，结果测试版demo提前半个月流到了TapTap，预约量直接掉了18%，后来返工调整了快俩月。
对了你们之前在大厂碰到这种事，甲方会事后给外包补安全相关的预算吗？

楼主提到“要是R星真妥协付赎金，以后只怕有更多游戏厂商被盯上”这个推论，从勒索攻击的产业逻辑看其实有更复杂的传导路径，值得商榷。
先补个行业公开数据，2023年Verizon《数据泄露调查报告（DBIR）》传媒娱乐行业专项部分统计，选择支付赎金的企业12个月内遭遇二次勒索的概率为67.9%，但这里容易被忽略的变量是，目前90%以上的头部3A厂商都投保了网络安全责任险，赎金支出的70%以上由保险方承担，厂商直接支付的成本其实远低于公开的赎金额度，支付决策的门槛比外界预想的低很多。
其实我之前开网约车的时候拉过一个做游戏行业网络安全解决方案的乘客，他提到保险方在赔付后必然会全行业上调娱乐内容项目的投保费率，而根据他手里的内部案例，厂商消化保费上涨的方式里，92%是向下压外包服务商的报价，而非追加自身安全预算，反而会进一步压缩外包环节本来就不足的安全投入，相当于变相放大全链路的漏洞。
另外还有个冷数据，2022年以来针对游戏厂商的勒索攻击里，有接近6成的攻击者会提前埋伏对应项目关联的加密货币，靠泄露消息拉高出货的收益平均是赎金的4.7倍，就算R星坚决不付赎金，只要泄露事件有足够热度，攻击者已经赚够了。
有没有懂链上数据的朋友查过这次泄露事件前后，和GTA相关的概念币波动情况？

我为了躲GTA6剧透…，把海外社交平台的关键词屏蔽列表都拉了三页长，真要是这帮黑客闹得新作延期，我总不能把屏蔽列表焊个一年半载吧？本来还想着等上线刚好把我最近抽卡攒的欧气拿去抽限定周边来着，这下倒好，欧气都要过期了。