Nhà phát triển Path of Exile 2 giải quyết vi phạm dữ liệu chính
Grinding Gear Games, nhà phát triển đằng sau Path of Exile, đã đưa ra một lời xin lỗi công khai sau khi vi phạm dữ liệu đáng kể vào đầu tháng này. Vi phạm bắt nguồn từ một tài khoản kiểm tra hơi nước bị xâm phạm có các đặc quyền quản trị viên. Tài khoản bị xâm phạm này cho phép truy cập và sửa đổi hơn 66 tài khoản người chơi trên khắp POE 1 và POE 2.
Kẻ tấn công đã khai thác các lỗ hổng trong hệ thống, đặt lại thành công mật khẩu trên nhiều tài khoản bằng các công cụ dành cho hỗ trợ khách hàng. Tài khoản quản trị viên bị xâm phạm, được tạo cho mục đích thử nghiệm, thiếu các biện pháp bảo mật quan trọng như số điện thoại hoặc địa chỉ được liên kết, giúp kẻ tấn công dễ dàng truy cập trái phép bằng cách mạo danh người dùng hợp pháp. Việc mạo danh này đã đạt được chỉ bằng cách sử dụng thông tin tài khoản cơ bản và VPN để che giấu vị trí của họ.
Thêm vào vấn đề, kẻ tấn công đã xóa thông báo thay đổi mật khẩu, che giấu hành động của họ và ngăn người chơi bị ảnh hưởng nhận thức ngay lập tức. Vi phạm dẫn đến việc tiếp xúc với dữ liệu cá nhân nhạy cảm, bao gồm địa chỉ email, ID hơi, địa chỉ IP, địa chỉ vận chuyển, mã mở khóa, lịch sử giao dịch và tin nhắn riêng tư.
Trò chơi Gear Gear đã thừa nhận sai sót bảo mật và các bước được thực hiện để ngăn chặn sự xuất hiện trong tương lai. Chúng bao gồm các giao thức bảo mật nâng cao cho tài khoản quản trị viên, cấm liên kết tài khoản bên thứ ba với tài khoản nhân viên và thực hiện các hạn chế IP chặt chẽ hơn. Công ty bày tỏ sự hối tiếc sâu sắc cho vụ việc.
Phản hồi của cộng đồng đã được trộn lẫn, với một số ca ngợi tính minh bạch của nhà phát triển trong khi những người khác ủng hộ việc thực hiện ngay lập tức xác thực hai yếu tố (2FA) để tăng cường bảo mật tài khoản. Người chơi được khuyến khích thay đổi mật khẩu của họ và vẫn cảnh giác về thông tin tài khoản của họ. Trong khi việc bổ sung 2FA vẫn đang chờ xử lý, các biện pháp chủ động của người chơi được khuyến nghị.
