Lo sviluppatore di percorso di esilio 2 affronta la violazione dei dati principali
Grinding Gear Games, lo sviluppatore dietro Path of Exile, ha emesso scuse pubbliche a seguito di una significativa violazione dei dati all'inizio di questo mese. La violazione derivava da un conto di prova a vapore compromesso che possiede privilegi di amministratore. Questo account compromesso ha consentito l'accesso e la modifica di oltre 66 conti giocatori su Poe 1 e Poe 2.
L'attaccante ha sfruttato le vulnerabilità nel sistema, reimpostando correttamente le password su numerosi account utilizzando strumenti destinati all'assistenza clienti. L'account amministratore compromesso, creato a fini di test, mancava di misure di sicurezza cruciali come numeri di telefono o indirizzi collegati, rendendo più facile per l'attaccante ottenere un accesso non autorizzato impersonando l'utente legittimo. Questa imitazione è stata raggiunta utilizzando solo le informazioni di base dell'account e una VPN per mascherare la loro posizione.
Aggraoscendendo ulteriormente il problema, l'attaccante ha eliminato le notifiche di cambio della password, nascondendo le loro azioni e impedendo ai giocatori colpiti di consapevolezza immediata. La violazione ha comportato l'esposizione di dati personali sensibili, inclusi indirizzi e -mail, ID Steam, indirizzi IP, indirizzi di spedizione, codici di sblocco, storie di transazioni e messaggi privati.
Grinding Gear Games ha riconosciuto l'intervallo di sicurezza e delineato le misure adottate per prevenire eventi futuri. Questi includono protocolli di sicurezza migliorati per gli account di amministrazione, vietando l'account di terze parti che si collega agli account del personale e l'implementazione di restrizioni IP più rigorose. La società ha espresso profondo rammarico per l'incidente.
La risposta della comunità è stata mista, con alcuni elogi la trasparenza dello sviluppatore mentre altri sostengono l'implementazione immediata dell'autenticazione a due fattori (2FA) per rafforzare la sicurezza dell'account. I giocatori sono invitati a cambiare le loro password e rimanere vigili per quanto riguarda le informazioni sull'account. Mentre l'aggiunta di 2FA rimane in corso, si consigliano misure proattive dei giocatori.
