Критичен пробив в сигурността на Path of Exile 2 доведе до кражба на ценни предмети от акаунтите на играчите – все още не се вижда компенсация
Path of Exile 2в момента е в заглавията на вестниците не само с тежките си битки, но и със сериозен пробив в сигурността.
Общо 66 акаунта на играчи са били компрометирани– а броят им може да е още по-голям. Комбинацията от хакнат администраторски акаунт и софтуерен бъг е улеснила нападателите да проникнат в акаунтите на играчите и да откраднат ценни предмети.
Това е начинът, по който е хакнат Path of Exile 2
Източникът на проблема е бил стар, неизползван Steam акаунт, който все още е бил свързан с администраторски акаунт на уебсайта на Grinding Gear Games, както разкри директорът на играта Джонатан Роджърс в интервю
UberСоциално инженерство
нападателят е успял да убеди поддръжката на Steam да нулира идентификационните данни на акаунта. Обикновени данни, като последните четири цифри от кредитната карта и адреса за фактуриране, очевидно са били достатъчни за потвърждаване на самоличността
С достъп до администраторския акаунт хакерите са успели да променят паролите на други играчи и по този начин да получат достъп до техните акаунти.
Особено взривоопасно: Грешка в софтуера на сървъра гарантираше, че промените в паролите се записват като бележки
а не като непроменими събития за одит
. Тези бележки можеха просто да бъдат изтрити от нападателя след промяната на паролата и по този начин да се заличат всички следи.
Последствията за засегнатите играчи
Засегнатите играчи внезапно излизат от играта по средата ѝ. Когато са успели да влязат отново с помощта на Steam поддръжката, акаунтите им вече са били разграбени. Изчезнали са предмети с висока стойност, като божествени кълба и трудно спечелена екипировка за крайната фаза на играта
Особено горчиво: Според поддръжката на Path of Exile 2 няма начин да се възстановят откраднатите предмети или да се нулират акаунтите. Възстановяването е просто технически невъзможно – така че загубата е постоянна
Как Grinding Gear Games се справя с инцидента?
Джонатан Роджърс открито призна за инцидента и беше видимо разочарован от уязвимостта в сигурността:
Напълно объркахме мерките за сигурност тук.
Като пряка последица от това GGG вече предприе няколко мерки за предотвратяване на подобни инциденти в бъдеще. Наред с други неща, сега вече не е възможно да се свързват акаунти в Steam с акаунти на администратори или клиенти. Освен това са въведени допълнителни мерки за сигурност, за да се запълнят подобни пропуски в сигурността.
Въпреки че тези мерки за сигурност имат за цел да предотвратят бъдещи атаки, остава неясно дали засегнатите играчи ще получат компенсация, евентуално под формата на валута от магазин в играта. Това е особено горчиво за засегнатите, тъй като откраднатите предмети често са били резултат от стотици часове усилена работа – и те самите не са виновни за този инцидент.
