Ścieżka wygnania 2 przeprasza za poważne naruszenie danych

Path of Exile Developer, Grinding Gear Games, wydała szczere przeprosiny za znaczące naruszenie danych wynikające z naruszenia konta testowego z uprawnieniami administratora. W tym artykule opisano wydarzenia i kroki podjęte w celu zapobiegania przyszłym incydentom.

Ponad 66 kont zagrożonych

Obiecane ulepszone środki bezpieczeństwa

Oficjalny post Forum Poe Games Grinding Gear, „Powiadomienie o naruszeniu danych”, ujawnia zagrożone konto Steam z dostępem administracyjnym. Atakujący wykorzystał ten dostęp do resetowania haseł na kontach 66 Path of Exile (PoE) 1 i PoE 2, wykorzystując narzędzia zwykle używane przez obsługę klienta. Uszczepione konto administracyjne, utworzone do celów testowych, brakowało połączonych zakupów, numerów telefonów lub adresów, umożliwiając atakującemu oszukiwanie wsparcia Steam przy użyciu minimalnych informacji (adres e -mail, nazwa konta i lokalizację VPN do maski).

Atakujący dalej ukrył swoje działania, usuwając powiadomienia o zmianie hasła, uniemożliwiając powiadomienie użytkowników dotkniętych dotkniętymi użytkownikami. Dostęp do poufnych danych, w tym adresów e -mail, identyfikatorów Steam, adresów IP, adresów wysyłkowych, kodów odblokowania, historii transakcji i prywatnych wiadomości. Ta pogorszenie informacji stanowi znaczące ryzyko dla innych kont użytkowników.

Oświadczenie dewelopera kończy się zobowiązaniem do wzmocnionych środków bezpieczeństwa: „Podjęliśmy kroki w celu zapewnienia większej liczby środków bezpieczeństwa wokół kont administratorów, aby nie mogło to powtórzyć. Żadne konta z trzecią stroną nie mogą być powiązane z żadnymi kontami personelu, a my dodaliśmy znacznie bardziej rygorystyczne ograniczenia adresowe. Jasne, że tego rodzaju problem nigdy się nie pojawia. ”

Odpowiedzi forum wyrażają mieszankę uznania dla przejrzystości programisty i wymaga wdrożenia uwierzytelniania dwuskładnikowego (2FA) w celu wzmocnienia bezpieczeństwa konta. Chociaż przyszłe wdrożenie 2FA dopiero się okaże, gracze są zachęcani do zmiany haseł i zachowania czujności w kwestii informacji o koncie.