Path of Exile Developer, Griding Gear Games, a présenté des excuses sincères pour une violation de données significative provenant d'un compte de vapeur de test compromis avec les privilèges de l'administrateur. Cet article détaille les événements et les mesures prises pour éviter les événements futurs.
Plus de 66 comptes compromis
Des mesures de sécurité améliorées promises
Grinceing Gear Games Games POE Forum Post, «Data Breach Notification», a révélé qu'un pirate compromet un compte Steam avec un accès administratif au chemin d'exil. Cela a permis à l'attaquant de réinitialiser les mots de passe sur 66 comptes à travers Poe 1 et Poe 2, exploitant les outils de support client interne de l'entreprise. Le compte d'administration compromis, créé il y a longtemps pour les tests et le manque d'achats, de numéros de téléphone ou d'adresses liés, s'est avéré vulnérable. L'attaquant a réussi à tromper le support de vapeur à l'aide de l'information minimale - adresse de l'email, nom de compte et VPN pour masquer leur emplacement.
De plus, le pirate a supprimé les notifications de changement de mot de passe, cachant leurs actions auprès des utilisateurs affectés. L'accès aux données sensibles, y compris les adresses e-mail, les identifiants Steam, les adresses IP, les adresses d'expédition, les codes de déverrouillage, les histoires de transaction et les messages privés, a été gagné. Ces informations présentent un risque important de mauvaise utilisation, ce qui a un impact potentiellement sur les autres comptes en ligne des utilisateurs.
Les jeux d'équipement de broyage ont déclaré: "Nous avons mis en œuvre des mesures de sécurité améliorées pour les comptes d'administration pour éviter les récidives. Les comptes tiers liés aux comptes du personnel sont interdits, et des restrictions IP plus strictes sont maintenant en place. Nous regrettons profondément de ce renforcement de la sécurité. Les mesures de sécurité du site d'administration ont dû être mise en œuvre plus tôt.
Les réponses communautaires sur le thread du forum allaient de l'appréciation de la transparence du développeur aux appels à la mise en œuvre d'authentification à deux facteurs (2FA). Bien que l'ajout de 2FA reste en attente, il est conseillé aux joueurs de modifier leurs mots de passe et de rester vigilants sur la sécurité de leur compte.
