Path de l'exil 2 développeur aborde la violation des données majeure
Griding Gear Games, le développeur derrière Path of Exile, a présenté des excuses publiques à la suite d'une violation de données importante au début du mois. La violation provenait d'un compte de test de vapeur compromis possédant des privilèges administrateurs. Ce compte compromis a permis l'accès et la modification de plus de 66 comptes de joueurs à travers Poe 1 et Poe 2.
L'attaquant a exploité les vulnérabilités du système, réinitialisant avec succès les mots de passe sur de nombreux comptes à l'aide d'outils destinés au support client. Le compte d'administration compromis, créé à des fins de test, manquait de mesures de sécurité cruciales telles que les numéros de téléphone liés ou les adresses, ce qui permet à l'attaquant d'obtenir plus facilement un accès non autorisé en usurpé l'identité de l'utilisateur légitime. Cette usurpation d'identité a été réalisée en utilisant uniquement des informations de compte de base et un VPN pour masquer leur emplacement.
Composant davantage le problème, l'attaquant a supprimé les notifications de changement de mot de passe, dissimulant leurs actions et empêchant les joueurs affectés de conscience immédiate. La violation a entraîné l'exposition de données personnelles sensibles, y compris les adresses e-mail, les identifiants Steam, les adresses IP, les adresses d'expédition, les codes de déverrouillage, les histoires de transaction et les messages privés.
Griding Gear Games a reconnu le laps de sécurité et décrit les mesures prises pour empêcher les événements futurs. Ceux-ci incluent des protocoles de sécurité améliorés pour les comptes d'administration, l'interdiction de lier des comptes tiers aux comptes du personnel et la mise en œuvre de restrictions IP plus strictes. La société a exprimé son profond regret pour l'incident.
La réponse communautaire a été mitigée, certains louant la transparence du développeur tandis que d'autres plaident pour la mise en œuvre immédiate de l'authentification à deux facteurs (2FA) pour renforcer la sécurité des comptes. Les joueurs sont invités à modifier leurs mots de passe et à rester vigilants concernant les informations de leur compte. Bien que l'ajout de 2FA reste en attente, des mesures proactives par les joueurs sont recommandées.
