上月舉辦的《爐石戰記大師巡迴賽拉斯維加斯站中,賽前發生了職業分布洩漏的事件,甚至連最終冠軍Dog都有嫌疑賽前因此換牌,嚴重影響競技公正性。外媒Invenglobal今(6)日報導Battlefy其實四月前就已經收到賽事主辦者通報網站API漏洞,卻遲至6月的大師巡迴賽皆未處理,才造成事件發生。而Battlefy卻在公告中表示官方直到比賽前一日才收到通報,顯然是為了面子才做的說謊行為。

Battlefy一直是《爐石戰記》官方首選的賽事平台。
Battlefy一直是《爐石戰記》官方首選的賽事平台。

Battlefy一直以來都是《爐石戰記》官方首選的第三方賽事平台,今年更是把所有的大師資格賽與巡迴賽舉辦都交給了Battlefy,但Battlefy的品質一直未達標,許多選手不斷遭遇系統錯誤判負、主辦方人員失誤等嚴重問題,而Battlefy的客服回應更常讓許多選手為之氣結。

大師巡迴賽前Friiz利用Battlefy網站API漏洞獲得了職業分佈圖,造成競技公平性嚴重受損。
大師巡迴賽前Friiz利用Battlefy網站API漏洞獲得了職業分佈圖,造成競技公平性嚴重受損。

在6月15日至17日舉辦的大師巡迴賽前一天,一位名為「Friiz」的法國傳說玩家在個人推特發出了大師巡迴賽職業分布結果,由於繳牌期限尚未結束,選手仍可更換牌組,因此出現了相當規模的換牌與更換職業現象。牌組洩漏的原因是由於Battlefy的API漏洞被Friiz利用,雖然官方表示他們在接獲消息後當天就修補了該漏洞,然而競技公平性已經受到極大傷害,甚至賽後也有傳言巡迴賽冠軍得主Dog也是換牌選手一員

然而外媒InvenGlobal今日報導踢爆,其實Battlefy早就知道該API漏洞,絕非其聲稱的「直到當時才知道」。InvenGlobal報導,一名《闇影詩章》的賽事主辦者在4月也遭遇一樣的牌組外洩問題,這名賽事主辦者把存取漏洞的方式完整報告給了Battlefy,以下是如何存取這個漏洞的方式:

  1. 使用Chrome瀏覽器瀏覽Battle網站
  2. 找到你想要存取牌組資訊的該場比賽
  3. 複製在網址中出現的特定該場賽事代碼
  4. 將該代碼貼入以下網址中:cloudfront.net/tournaments/賽事代碼/teams
  5. 連接到呈現所有參與該場賽事玩家資訊的後台網頁
  6. 將想知道的該選手Battlefy使用者代碼貼進網址中,如:cloudfront.net/tournaments/賽事代碼/teams/選手ID
玩家可以進入條列該賽事所有參賽者資料的網頁,並擷取想要查詢的玩家ID。
玩家可以進入條列該賽事所有參賽者資料的網頁,並擷取想要查詢的玩家ID。

透過這個方式,就可以找到該玩家的牌組代碼。不過InvenGlobal表示,該漏洞在截稿前已經被修補,此法已不可行。

從對話截圖右下角可見,《闇影詩章》賽事主辦者早在今年4月2日前就已經跟Battlefy報告過這個漏洞的存在。
從對話截圖右下角可見,《闇影詩章》賽事主辦者早在今年4月2日前就已經跟Battlefy報告過這個漏洞的存在。

從InvenGlobal公布的《闇影詩章》賽事主辦與Battlefy對話截圖中,《闇影詩章》賽事主辦完整呈現了該API漏洞的存取方式,Battlefy也表示他們將會交給工程師處理,然而在對話截圖後段,可以看到《闇影詩章》賽事主辦再度向他們抱怨Battlefy並未如承諾中的向他回報漏洞是否修補,而他要舉辦的賽事因為這個漏洞已經被迫暫停舉辦,對話截圖結束時間落在4月2日。

雖然Friiz並未確認他使用的就是這個API漏洞,抑或是其他的API漏洞,但一名名為Xzirez的選手也在6月15日表示,該API漏洞早在去年的HCT奧斯陸站就已經被人發現,當時也造成了比賽拖延。若Battlefy早已得知該漏洞卻不做修改的話,那顯然對這間公司而言面子比起實際解決問題更加重要。