Une faille de sécurité critique dans Path of Exile 2 a conduit au vol d’objets précieux sur les comptes des joueurs – aucune compensation n’est encore en vue.
Path of Exile 2fait actuellement la une des journaux non seulement pour ses combats acharnés, mais aussi pour une grave faille de sécurité.
Au total, 66 comptes de joueurs ont été compromis– et le chiffre pourrait être encore plus élevé. Une combinaison d’un compte admin piraté et d’un bug logiciel a permis aux pirates de s’introduire facilement dans les comptes des joueurs et de voler des objets de valeur.
Comment Path of Exile 2 a été piraté
L’origine du problème était un ancien compte Steam qui n’était plus utilisé et qui était toujours lié à un compte admin sur le site de Grinding Gear Games, comme le révèle le Game Director Jonathan Rogersdans une interview
SurSocial Engineering
le pirate a réussi à convaincre le support Steam de réinitialiser les données d’accès du compte. De simples données, comme les quatre derniers chiffres d’une carte de crédit et l’adresse de facturation, ont apparemment suffi à confirmer l’identité.
En accédant au compte administrateur, les pirates ont pu modifier les mots de passe d’autres joueurs et ainsi accéder à leurs comptes.
Un bug dans le logiciel du serveur faisait que les changements de mot de passe étaient enregistrés commenotes
et non commeAudit Events
inchangeables. Ces notes pouvaient être facilement effacées par l’attaquant après la modification du mot de passe – ce qui effaçait toutes les traces.  ;
Les conséquences pour les joueurs concernés
Les joueurs concernés se sont soudainement déconnectés en plein milieu du jeu. Lorsqu’ils ont pu se reconnecter à l’aide du support Steam, leurs comptes avaient déjà été pillés. Des objets de grande valeur comme des Divine Orbs et des équipements de fin de jeu péniblement gagnés avaient disparu.
Particulièrement amer : Selon le support de Path of Exile 2, il n’existe aucune possibilité de récupérer des objets volés ou de réinitialiser des comptes. Un retour en arrière serait tout simplement impossible techniquement – la perte est donc définitive.
Jonathan Rogers a ouvertement reconnu l’incident et s’est montré visiblement frustré par la faille de sécurité :
Nous avons complètement foiré les mesures de sécurité ici.
En conséquence directe, GGG a maintenant pris plusieurs mesures pour éviter de tels incidents à l’avenir. Entre autres, il n’est désormais plus possible de lier des comptes Steam à des comptes d’administrateur ou de service clientèle. En outre, d’autres mesures de sécurité ont été mises en place pour combler des failles de sécurité similaires.
Bien que ces mesures de sécurité visent à empêcher de futures attaques, il n’est pas clair si les joueurs concernés recevront une compensation, éventuellement sous la forme de la monnaie du magasin ingame. Pour les personnes concernées, c’est particulièrement amer, car les objets volés étaient souvent le résultat de centaines d’heures de travail acharné – et elles ne sont pas du tout responsables de cet incident.
