亡命2の開発者のパスは、主要なデータ侵害に対処します
Path of Exileの背後にある開発者であるGranding Gear Gamesは、今月初めに重要なデータ侵害に続いて公の謝罪を発表しました。この違反は、管理者の特権を持っている妥協した蒸気テストアカウントから生じました。この侵害されたアカウントにより、POE 1およびPOE 2にわたって66を超えるプレーヤーアカウントへのアクセスと変更が可能になりました。
攻撃者はシステムの脆弱性を悪用し、カスタマーサポートを目的としたツールを使用して、多数のアカウントでパスワードを正常にリセットしました。テスト目的で作成された侵害された管理者アカウントには、リンクされた電話番号やアドレスなどの重要なセキュリティ対策が欠けているため、攻撃者が正当なユーザーになりすまして不正アクセスを容易にしました。このなりすましは、基本的なアカウント情報とVPNのみを使用してその場所をマスクして達成されました。
問題をさらに悪化させると、攻撃者はパスワードの変更通知を削除し、アクションを隠し、影響を受けたプレイヤーが即座に認識を妨げました。違反により、電子メールアドレス、蒸気ID、IPアドレス、出荷アドレス、コードのロック解除、トランザクション履歴、プライベートメッセージなど、機密の個人データが露出しました。
グラインディングギアゲームは、セキュリティの失効を認め、将来の発生を防ぐために取られた手順を概説しました。これらには、管理アカウントのセキュリティプロトコルの強化、スタッフアカウントへのリンクのサードパーティアカウントの禁止、より厳格なIP制限の実装が含まれます。同社は事件に対して深い後悔を表明した。
コミュニティの対応は混在しており、開発者の透明性を称賛する人もいれば、アカウントのセキュリティを強化するために2要素認証(2FA)の即時実装を提唱する人もいます。プレイヤーは、パスワードを変更し、アカウント情報に関して警戒し続けるように促されます。 2FAの追加は保留中のままですが、プレーヤーによる積極的な措置が推奨されます。
