Uma falha de segurança crítica no Path of Exile 2 levou ao roubo de itens valiosos das contas dos jogadores – ainda não há indemnização à vista
Path of Exile 2está atualmente a fazer manchetes não só com o seu combate duro, mas também com uma grave vulnerabilidade de segurança.
Um total de 66 contas de jogadores foram comprometidas– e o número pode ser ainda maior. A combinação de uma conta de administrador pirateada e um bug de software facilitou a invasão de contas de jogadores e o roubo de itens valiosos.
Esta é a forma como o Path of Exile 2 foi pirateado
A fonte do problema foi uma conta Steam antiga e não utilizada que ainda estava ligada a uma conta de administrador no site da Grinding Gear Games, como o diretor do jogo Jonathan Rogersrevelou numa entrevista
O atacante conseguiu convencer o suporte do Steam a redefinir as credenciais da conta. Dados simples, como os últimos quatro dígitos de um cartão de crédito e o endereço de faturação, foram aparentemente suficientes para confirmar a identidade
Com acesso à conta de administrador, os hackers conseguiram alterar as palavras-passe de outros jogadores e, assim, aceder às suas contas.
Particularmente explosivo: Um bug no software do servidor assegurava que as alterações de palavra-passe eram guardadas comonotes
e não como imutáveisaudit events
. Estas notas podiam simplesmente ser apagadas pelo atacante após a alteração da palavra-passe – cobrindo assim todos os vestígios.
As consequências para os jogadores afectados
Os jogadores afectados foram subitamente desligados a meio do jogo. Quando conseguiram voltar a iniciar sessão com a ajuda do suporte Steam, as suas contas já tinham sido saqueadas. Itens de grande valor, como Orbes Divinos e equipamento de fim de jogo, tinham desaparecido
De acordo com o suporte do Path of Exile 2, não há forma de restaurar itens roubados ou reiniciar contas. Uma reversão é simplesmente tecnicamente impossível – por isso a perda é permanente
Como é que a Grinding Gear Games está a lidar com o incidente?
Jonathan Rogers reconheceu abertamente o incidente e ficou visivelmente frustrado com a vulnerabilidade de segurança:
Nós estragámos completamente as medidas de segurança aqui.
Como consequência direta, a GGG tomou agora várias medidas para evitar este tipo de incidentes no futuro. Entre outras coisas, já não é possível associar contas Steam a contas de administrador ou de apoio ao cliente. Além disso, foram implementadas outras medidas de segurança para colmatar lacunas de segurança semelhantes.
Embora estas medidas de segurança se destinem a evitar futuros ataques, ainda não é claro se os jogadores afectados receberão uma compensação, possivelmente sob a forma de moeda da loja do jogo. Isto é particularmente amargo para os afectados, uma vez que os itens roubados foram muitas vezes o resultado de centenas de horas de trabalho árduo – e eles próprios não são culpados por este incidente.
