Path of Exile 2 s'excuse pour la violation des données majeure

Griding Gear Games, le développeur derrière Path of Exile (POE), a présenté des excuses sincères à la suite d'une violation de données significative plus tôt ce mois-ci. La violation a été causée par un compte de vapeur de test compromis avec les droits administratifs, conduisant à de graves problèmes de sécurité pour la communauté. Voici un aperçu détaillé de l'incident et des mesures prises pour empêcher les futures violations.

Plus de 66 comptes compromis

Dans un article intitulé "Notification de violation de données" sur les forums officiels de PoE, Griding Gear Games a expliqué la séquence des événements. Un pirate a eu accès à un compte Steam utilisé à des fins de test, qui avaient des droits d'administration. Ce compte, créé il y a longtemps, n'a pas eu d'achats, de numéros de téléphone ou d'adresses liés, ce qui le rend vulnérable aux tactiques d'identité de l'attaquant. Le pirate a utilisé des informations de base comme l'adresse e-mail et le nom de compte, ainsi qu'un VPN pour imiter l'emplacement de l'utilisateur, pour tromper le support client Steam pour leur accorder un accès.

Une fois à l'intérieur, le pirate a utilisé des outils de support client pour définir des mots de passe aléatoires sur 66 comptes Poe 1 et Poe 2 différents. Ils ont également supprimé les notifications de changement de mot de passe pour éviter d'alerter les propriétaires de compte. Cette violation a permis au pirate d'accéder aux informations personnelles sensibles, y compris les adresses e-mail, les identifiants Steam, les adresses IP, les adresses d'expédition et les codes de déverrouillage. Ils ont consulté les histoires de transaction et les messages privés, en utilisant potentiellement ces données à des fins malveillantes qui pourraient affecter les autres comptes des utilisateurs.

Les développeurs promettent de meilleures mesures de sécurité

En réponse à la brèche, Griding Gear Games a pris des mesures immédiates pour renforcer leurs protocoles de sécurité. Ils ont déclaré: "Nous avons pris des mesures pour nous assurer qu'il y a plus de mesures de sécurité autour des comptes d'administration afin que cela ne puisse pas se reproduire. Aucun compte tiers ne peut être lié à des comptes de personnel, et nous avons ajouté des restrictions IP beaucoup plus strictes. Nous sommes incroyablement désolés pour ce laps de sécurité. Les mesures prises pour sécuriser le site d'administration auraient déjà dû être à la place.

Les joueurs ont répondu à la transparence des développeurs avec des sentiments mitigés. Certains ont salué les jeux d'équipement de broyage pour leur honnêteté et leur réponse rapide, tandis que d'autres ont appelé à la mise en œuvre de l'authentification à deux facteurs (2FA) pour améliorer la sécurité des comptes. Bien que les développeurs n'aient pas encore confirmé les plans pour 2FA, ils travaillent activement à améliorer les mesures de sécurité.

En attendant, les joueurs de Poe sont encouragés à changer leurs mots de passe et à rester vigilants sur les informations de leur compte pour se protéger des menaces potentielles.