Een kritiek beveiligingslek in Path of Exile 2 heeft geleid tot de diefstal van waardevolle items uit spelersaccounts – nog geen compensatie in zicht
Path of Exile 2komt momenteel niet alleen in het nieuws door de harde gevechten, maar ook door een ernstig beveiligingslek.
Er zijn in totaal 66 spelersaccounts gecompromitteerd– en het aantal zou nog hoger kunnen liggen. Een combinatie van een gehackt beheerdersaccount en een softwarebug maakte het aanvallers makkelijk om in te breken in spelersaccounts en waardevolle items te stelen.
Dit is hoe Path of Exile 2 werd gehackt
De bron van het probleem was een oud, ongebruikt Steam-account dat nog steeds gekoppeld was aan een admin-account op de website van Grinding Gear Games, zoals game director Jonathan Rogers onthulde in een interview
UberSocial Engineering
de aanvaller wist Steam Support te overtuigen om de accountgegevens te resetten. Eenvoudige gegevens zoals de laatste vier cijfers van een creditcard en het factuuradres waren blijkbaar voldoende om de identiteit te bevestigen
Met toegang tot het beheerdersaccount konden de hackers de wachtwoorden van andere spelers wijzigen en zo toegang krijgen tot hun accounts.
Bijzonder explosief: Een bug in de serversoftware zorgde ervoor dat wachtwoordwijzigingen werden opgeslagen alsnotes
en niet als onveranderbareauditgebeurtenissen
. Deze notities konden eenvoudigweg door de aanvaller worden verwijderd na de wachtwoordwijziging – en zo alle sporen uitwissen.
De gevolgen voor getroffen spelers
De getroffen spelers werden midden in het spel plotseling uitgelogd. Toen ze met behulp van Steam Support weer konden inloggen, waren hun accounts al geplunderd. Waardevolle items zoals Divine Orbs en zuurverdiende endgame gear waren verdwenen
Bijzonder bitter
: Volgens Path of Exile 2-ondersteuning is er geen manier om gestolen items te herstellen of accounts te resetten. Een rollback is gewoon technisch onmogelijk – dus het verlies is permanent
Hoe gaat Grinding Gear Games met het incident om?
Jonathan Rogers heeft het incident openlijk erkend en was zichtbaar gefrustreerd door het beveiligingslek:
We hebben de beveiligingsmaatregelen hier volledig verprutst.
Als direct gevolg hiervan heeft GGG nu verschillende maatregelen genomen om dergelijke incidenten in de toekomst te voorkomen. Het is nu onder andere niet meer mogelijk om Steam-accounts te koppelen aan beheerders- of klantenservice-accounts. Daarnaast zijn er nog meer beveiligingsmaatregelen geïmplementeerd om soortgelijke gaten in de beveiliging te dichten.
Hoewel deze beveiligingsmaatregelen bedoeld zijn om toekomstige aanvallen te voorkomen, blijft het onduidelijk of getroffen spelers compensatie zullen ontvangen, mogelijk in de vorm van in-game winkelvaluta. Dit is vooral bitter voor de getroffenen, aangezien de gestolen items vaak het resultaat waren van honderden uren hard werk – en ze zelf geen schuld hebben aan dit incident.
