我玩Steam超过十年,账号里有几百款游戏,记录着我从少年到中年的游戏时光。但最近半年,这个账号像中了邪一样反复被盗,绑定的邮箱被改了又改,我像一只困兽,一次次地申诉、找客服、提交凭证,却无法根除这个顽疾。
第一次失守
那是个普通的周二晚上,我像往常一样打开Steam准备和好友打一把Dota2。密码输入后显示错误,连续几次后账户被临时锁定。我心头一紧,赶紧去邮箱找找回链接,却发现绑定的邮箱根本不是我的。那是一个陌生的QQ邮箱,我从未见过。我脑子嗡的一下,整个人都懵了。翻查原始注册邮箱,果然在凌晨三点收到过一封Steam发出的邮箱修改确认信,而那时我睡得正香。
我当即向Steam客服提交工单,上传了所有购买凭证的截图、CD-KEY照片,后来甚至拍了身份证件。等待回复的三天里,我几乎每半小时刷一次邮件。最终账号回来了,我立刻修改了密码,绑定了手机令牌,设置了所有安全选项。我认定自己不会再犯同样错误。
再次沦陷
一个月后的周末,我在网吧准备登录时,一模一样的剧情上演了。密码错误,邮箱被改,甚至备用邮箱也被替换。我坐在网吧座位上,手扶着额头,明明我加了所有安全措施,明明电脑没有中过病毒,为什么还会被盗?我开始怀疑是网吧的机器不干净,但那是第二次,而我的手机令牌居然没有任何异常提示。攻击者是如何绕过手机令牌的?我完全想不通。
再次找回的过程更加曲折,客服认真但流程冗长,我不得不一遍遍重申身份,感觉尊严被踩在脚下。这次,我把邮箱换成了全新的Gmail,启用了两步验证,甚至关闭了Steam的自动登录。我把电脑全盘重装,修改了所有常用密码,自以为筑起了铜墙铁壁。
第三次偷袭
好日子没有持续太久。上周,我正在开会,手机突然收到Steam的登录验证请求,我以为是误触,没理会。会议结束后,我打开Steam,发现账号又被锁了。再看邮箱,熟悉的邮件又躺在那里——邮箱修改确认,但这次不再是凌晨,而是白天,就在我开会的那段时间。我几乎可以肯定,攻击者已经监控了我的动向?或者只是巧合?但我的手机令牌有延迟显示,为什么对方还是能成功修改邮箱?
那一刻,我的情绪从愤怒转为深深的无力。我甚至怀疑过Steam内部有内鬼,或者自己的身份信息已经完全暴露。但我是个小人物,谁会对我的游戏账号这么执着?我甚至开始想,是不是我无意间得罪了谁,但我的游戏生涯里从不与人争吵。
迷茫与反思
我不是技术专家,不知道攻击者用了什么手段。但我把所有能想到的漏洞都检查了一遍:邮箱登录日志无异常,电脑无毒,手机无毒,密码强度够,两步验证开启。但账号依然在被人操纵。我开始怀疑,问题可能出在Steam的账户恢复机制上。也许只要掌握足够多的个人信息(比如注册时用的姓名、地址、部分信用卡信息),就可以向客服申请重置邮箱?我不知道Steam的内部流程,但我能想到的可能就是这个。但如果是这样,攻击者又是如何获取我那些私密信息的?
我回忆起几年前参与过一次Steam社区的物品交易,也许那时候泄露了信息?但那次交易非常谨慎,没有点任何链接。
深夜,我常常对着电脑屏幕发呆。我真的喜欢游戏,喜欢Steam这个平台,但反复的盗号事件让我对这里产生了怀疑。每次登录都提心吊胆,生怕再一次被踢出家园。这种感觉就像你锁好了所有门窗,却总会有人无声无息地进来翻箱倒柜。你安装了最先进的警报系统,但警报从不响,东西却在不断丢失。
尾声
现在,我正第三次等待Steam客服的回复。我不知道这次能否顺利找回,也不知道找回后会不会重蹈覆辙。我唯一明确的是,数字资产的归属权其实很脆弱,它建立在平台的安全假设和客服的敬业之上。当这些假设被突破,玩家就只剩下无助的申诉和漫长的等待。
我的游戏库依然在那里,但那种纯粹的游戏快乐已经被严重侵蚀。也许这就是数字时代的代价吧,我们拥有的从来都不是实实在在的物理实体,而是一串串可以被轻易修改的数据。
