Path of Exile Developer, Gringing Gear Games, a présenté des excuses sincères pour une violation de données significative provenant d'un compte de vapeur de test compromis avec les privilèges de l'administrateur. Cet article détaille les événements et les mesures prises pour résoudre le problème.
Plus de 66 comptes compromis
Des mesures de sécurité améliorées promises
Grinceing Gear Games du Forum Post, «Data Breach Notification», a révélé qu'un pirate avait compromis un compte Steam avec un accès administratif au chemin d'exil (POE). Cela a permis à l'attaquant de réinitialiser les mots de passe sur 66 comptes PoE 1 et Poe 2 à l'aide d'outils de support client interne. Le compte d'administration compromis, créé il y a longtemps pour les tests, manquait d'achats, de numéros de téléphone ou d'adresses liés, ce qui le rend vulnérable. L'attaquant a réussi à usurrer le propriétaire du compte à la prise en charge de Steam, fournissant des informations minimales comme l'adresse e-mail et le nom du compte, aidé par un VPN pour masquer leur emplacement.
Le pirate a intelligemment supprimé les notifications de changement de mot de passe, dissimulant leurs actions auprès des propriétaires de compte. L'accès aux données sensibles, y compris les adresses e-mail, les identifiants Steam, les adresses IP, les adresses d'expédition, les codes de déverrouillage, les histoires de transaction et les messages privés, a été gagné. Cette information compromise présente un risque important pour les autres comptes en ligne des utilisateurs affectés.
Les jeux d'équipement de broyage ont déclaré: "Nous avons mis en œuvre des mesures de sécurité améliorées pour les comptes d'administration pour empêcher les événements futures. Les comptes tiers liés aux comptes du personnel sont interdits, et des restrictions IP beaucoup plus strictes sont désormais en place. Nous regrettons profondément de ces étapes de sécurité.
La réponse communautaire à l'annonce a été mitigée, certains louant la transparence du développeur, tandis que d'autres plaident pour la mise en œuvre immédiate de l'authentification à deux facteurs (2FA). Bien que le calendrier de l'implémentation 2FA reste incertain, les joueurs sont invités à modifier leurs mots de passe et à rester vigilants concernant la sécurité de leur compte.
