在2025年12月27日, MyCard遭遇一起性质恶劣的人为安全事件。
B站Up主【水橋パルスィOfficial】发现了能够篡改MC用户数据的安全漏洞。在漏洞尚未修复期间,该用户在B站发布了使用该Bug的收费教学视频,内容包含漏洞利用方式说明以及演示。该视频目前已删除。
在发布视频之前,该漏洞并未以任何方式告知MC官方。
目前该漏洞已经修复,并且也与【水橋パルスィOfficial】进行了沟通。涉事Up主已承认错误并进行道歉。
但由于该事件涉及篡改其他用户数据、并且在不告知官方的情况下收费传播漏洞教学, 事件性质恶劣,存在被快速扩散的风险,现就相关情况向大家作出说明。
一、问题确认与修复情况
我们确认,系统中曾存在一个 与用户名字符处理相关的漏洞。在特定条件下,可以影响其他账号的竞技匹配分数的记录与结算。该Bug目前已修复。
修复情况
由于修复及时,受到此Bug影响的账号仅有【流年丶残影】。
受Bug影响的数据已经复原。
发现与修复时间线
Bug在群内公开
2025年12月27日14点12分,【水橋パルスィOfficial】在个人群中公开此Bug。
上传充电视频
15点23分,【水橋パルスィOfficial】将预录制好的利用漏洞的教学视频作为充电视频上传至Bilibili平台。
在上传的视频中,【水橋パルスィOfficial】解释了如何发现的该漏洞,如何使用该漏洞,以及示范了自己如何篡改了账号【流年丶残影】的D.P数据。
(当前视频已删,但MC已备份该视频。)
我们判断该视频为收费教学的理由:
- 观看完整视频需进行18元充电。
- 视频标题为【如何随时修改mc用户名&如何轻松拿下mc第一】
- 视频的第一句话为 “好,那今天给大家教学一下”
MC紧急停服
15点44分,经由热心用户举报,MyCard得知该漏洞,对竞技匹配进行紧急停服。
17点11分,我们部署了修复,并且开始进行测试。
19点40分,我们排查了影响范围,发现受影响的账号只有【流年丶残影】,并且恢复了该账号受影响的数据。
20点43分,修复测试完毕,竞技匹配恢复服务。
与涉事Up主的沟通
21点37分,【水橋パルスィOfficial】回复MC管理员私信,对该行为作出解释。
【水橋パルスィOfficial】表示将教学视频传至B站的出发点是督促MC修复该漏洞。并且表示MC的修复行为符合他的预期,结果是好的。
MC管理员询问为何不将漏洞直接提交给MC。
【水橋パルスィOfficial】解释是因为曾经在2年前提交【皇帝斗技场】与【原始生命态 尼比鲁】有关互动Bug后,过了一个月也未修复好,对MC修复速度失去信心。最终,【水橋パルスィOfficial】自己提交了【皇帝斗技场】Bug的修复。
【水橋パルスィOfficial】表示自己出发点是好的,但也承认其行为的不成熟,愿意接受处罚。
皇帝斗技场脚本修复的补充:Konami裁定与文本冲突
二、MyCard平台立场
我们认为将影响平台安全与公平性的Bug进行公开收费教学是严重的恶劣行为。
我们不认为【水橋パルスィOfficial】的辩解可以洗白该行为,所以在此进行补充声明与回复。
对“出发点是好的”言论的立场
MyCard不认为该行为是善意披露。
在该漏洞尚未修复期间,【水橋パルスィOfficial】对其进行了实际利用,并将利用方式制作成教学内容,发布至外部平台,且设置了充电(付费)观看。
需要明确的是:
利用漏洞影响他人数据、侵犯他人劳动成果、公开传播漏洞利用方式,或以此进行收费教学,均属于严重违规行为。
无论个人主观出发点如何,上述行为 不属于善意漏洞披露,也不应被认可或鼓励。
善意披露的基本原则应当包括:
- 不进行利用
- 不公开传播
- 不以此牟利
- 给平台合理修复时间
这四条都没遵守,所以我们不会认为这属于善意披露。
关于不同类型 Bug 的说明
首先需要说明的是,MyCard 作为 YGOPro 开源社区的一部分,长期以志愿与公益性质为线上玩家提供相关服务与维护支持。
Bug 的修复与系统维护,均基于社区贡献者的自发投入与协作完成,并非任何个人或组织可以通过施压、对抗或破坏行为来要求或加速完成的事项。
其次有声音将卡片脚本相关 Bug 的修复经历,与本次影响竞技匹配分数的数据漏洞事件进行对比,并据此质疑平台的处理方式。对此,我们有必要作出明确说明。
这两类问题在性质上并不相同。
-
卡片脚本 / 规则互动类 Bug
这属于游戏规则与脚本实现层面的问题,通常涉及复杂的卡片效果交互与历史兼容性。在 YGOPro 作为开源社区的背景下,此类 Bug 数量众多、成因复杂,部分问题长期公开存在,在有限资源下,需要社区共同协作、按照优先级逐步推进修复。
我们始终欢迎、也感谢玩家与开发者对这类问题的研究、提交与代码贡献。 -
影响玩家数据与竞技结果的Bug
这属于平台安全与公平性问题。
竞技匹配分数是玩家通过对局逐步积累的成果,具有明确的竞争属性,其重要性接近于玩家的“虚拟财产”。
任何未经允许的利用、传播或操作行为,都会直接侵害其他玩家的努力成果,这是平台不能接受的。
因此,卡片脚本Bug的修复难度或历史进度,不能作为影响玩家数据漏洞被利用或传播的正当理由。
两类问题的风险等级、处理原则与行为边界均不相同,平台也会以不同标准进行对待。
简单来说:
平台是志愿维护
修复速度受限于优先级、资源与复杂度
不存在“你不修我就搞你”的正当性
更不允许牺牲其他玩家的数据公平
因为受害面积小,所以平台过度反应了?
由于只有【流年丶残影】一个账号受到了影响,确实该行为对MC账号造成的影响有限。
但这是因为修复及时。
12月27日是周六,如果有关人员恰巧外出,回来的晚,并未在视频公布后进行停服,那么受害影响预计会更大。
但尽管如此,该视频的传播依然对众多玩家造成了困扰,在周末人最多的时间进行了长达近5小时的停服维护。
MC的众多技术人员跟维护者也放下了手头出门、休息、工作填坑计划,投入数小时优先处理此事,影响了各项目与更新的进度。并且在当天有众多玩家私信MC官方询问事情进度与原委。
影响不大是基于众多人努力的结果,而不是因为该行为本身破坏力小,更不是因为该行为合理。
后言
【水橋パルスィOfficial】曾在社区中提交过【皇帝斗技场】卡片脚本相关的修复,并制作过查分机器人辅助工具。
平台对任何真实、有效的社区贡献始终保持尊重与感谢。
可是社区贡献不构成任何越过平台安全与公平红线的理由,即使我们对此类事情的发生非常遗憾、惋惜以及难过,也不会影响对本次事件性质的判断。
这类贡献并不能否认【水橋パルスィOfficial】此次行为是恶劣的安全与公平性破坏事件之一,严重破坏竞技公平性、并且扰乱平台与玩家。平台保留就相关情况进行进一步处理的权利。
如果将Bug进行收费传播是一个能被接受的Bug提交方式,那么线上社区将不可维护。这也是我们选择公开说明本次事件的唯一原因。
如果你发现 BUG,请第一时间通过正规渠道反馈;
这既是在保护其他玩家,保护平台,也是在保护你自己。
感谢大家的理解与支持。
安全性升级
同时,我们也对本次事件进行了复盘,并已着手加强相关安全防护措施。
在2025 年 12 月 28 日,MC已完成多项与账号校验、数据一致性及异常行为防护相关的安全更新。
出于安全考虑,具体实现细节不再公开披露,但平台将持续投入资源,提升系统在公平性与安全性方面的防护能力。
如果您遇到了类似于竞技匹配进不去的情况,请在社区发帖留言。
。另外把ygom卸载重装了,新卡确实已经修正了,那又暴露一个问题就是不卸载软件安装新版本apk的时候,里面的文件不是覆盖安装而是跳过旧文件?
