手机在床头柜上震动了一下,我迷迷糊糊摸过来,屏幕上躺着新邮件通知。发件人:Steam Support,主题:'Your Steam account recovery request has been submitted'。我的睡意瞬间消散。账号恢复请求?我从来没有提交过。
第一反应:它要被偷了
那个瞬间,心跳像是被人狠狠攥住。我的Steam账号从大学注册到现在,陪了我整整十年。库里400多个游戏,有《文明5》里无数个‘再打一回合就睡’的夜晚,有《CS:GO》里和朋友一起冲A大的喊叫,有《巫师3》里一个人骑马走过威伦的孤独。里面还有几张绝版游戏卡片,某个弃坑网游留下的库存饰品——自己明明知道它们只是一串数字,但它们每一件都刻着某段时间的痕迹。
我立刻翻身下床,光脚冲到书房按下电源键。等待开机的那几十秒像是被拉长了十倍。脑子里飞速滚着:如果号已经被改绑,我该打哪个客服电话?是不是应该先截存所有交易记录?甚至开始用手机翻看有没有收到验证码短信——没有,说明对方还没成功,但邮件已经来了,这本身就是警报。
邮件里的细节让我后背发凉
我点开邮件仔细读,请求来自一个我从未见过的IP地址段,地理位置显示是俄罗斯车里雅宾斯克。时间是凌晨两点十四分。我忽然想起上周入库了一个新游戏,昨天还在社区市场倒腾过卡片,可能那时候浏览器cookies被扫了。又或者只是某个自动撞库脚本在批量试探。
我迅速登录Steam(幸好还在我手里),打开账户安全选项。登录记录里确实有失败的尝试记录,就在邮件发出后不久,有人从那个IP用我的邮箱地址请求了恢复码。对方起码掌握了我注册时使用的第一个邮箱地址和基础信息,不然不可能触发官方自动邮件。这一刻我才意识到,自己很多年前乱填的密保答案和某张废弃银行卡的绑定信息,其实根本经不起认真挖掘。
修改密码、解绑所有API、强制重新验证
在接下来的十五分钟里,我做了所有能想到的事情:更换高强度密码,取消所有第三方授权的API密钥,从手机验证器换成了物理密钥(之前一直嫌麻烦,总觉得‘我不可能被盗’),然后去客服页面提交了工单,告知有可疑的恢复请求。做完这一切,我才瘫回椅子里,手心全是汗。
在这场战斗里,我真正害怕的是什么
冷静下来之后,我重新翻看那封邮件。它本来应该只是一个普通的系统通知,但因为带着‘恢复’两个字,就精准戳中了所有玩家最担心的事情:失去。失去的并不仅仅是账号,而是我作为游戏玩家的整个身份档案。如果我再也登不上那个账号,那些好友也将化为灰色的列表,成就完成度永远停在一个数字上,再也无法点亮。
我想起刚工作那年,用第一份工资在Steam夏促买下的《传送门2》,当时和室友一起玩双人模式笑到肚子疼。后来他去了别的城市,账号好友里他头像再没亮过,可每次看到那个游戏,我还是能想起那个下午。如果账号没了,这种无形的联系也会断开吧?这种感觉没办法用‘数字资产’来概括,它几乎变成了一种记忆的载体。
我还想起几年前一个群友被盗号后,骗子用他的库存去交易网站洗货,最后账号虽然申诉回来了,但是库存空了一半,他说感觉像自己的收藏室被人砸开了。那时候我不以为意,觉得自己不会那么不小心。但这次邮件告诉我,根本没有‘不会’这回事。
天亮之后,我做了更实际的检查
隔天我导出了自己的API key记录,发现有一个不知名的IP曾经在去年调用过市场物品查询接口。我突然想起某个卖游戏皮肤的网站,那时候为了方便直接就点了授权,事后根本没有去撤回过。可能这就是漏洞所在。我手动撤销了所有存量授权,把能想到的外站权限全清空,并且把邮箱的二次验证也重新开了一遍。
那一整天我都有点恍惚。只要手机一锁屏弹出邮件,我就会心头一紧,点开检查。明明知道已经加了好几层防护,但那股被冒犯的感觉挥之不去。就像有人夜里悄悄撬过你的门锁,虽然没进来,但你知道他摸过你家的门把手。
那封邮件现在还在我收件箱里
我没有删掉它。留着当个提醒吧——数字世界里的安全,很多时候不是靠‘注意’就能保证的。对方可能只是随机扫到的,也可能是有针对性的,但无论如何,那一瞬间我意识到自己有多依赖这个承载了太多私人回忆的虚拟容器。
现在每次看到那封邮件标题里的‘recovery’,手指还是会习惯性僵一下。我把它标了星标,算是给自己一个玩笑式的警告:别以为你的账号会永远沉默地躺在服务器里,它随时可能被推上验证台,而你要确保自己有底气接到那通被试探的电话。
