Kritické narušení bezpečnosti ve hře Path of Exile 2 vedlo ke krádeži cenných předmětů z hráčských účtů – odškodnění zatím v nedohlednu
Path of Exile 2se v současné době dostává na titulní stránky novin nejen díky svým drsným soubojům, ale také díky závažné bezpečnostní chybě
Celkem 66 hráčských účtů bylo kompromitováno– a číslo může být ještě vyšší. Kombinace hacknutého administrátorského účtu a softwarové chyby umožnila útočníkům snadno proniknout do hráčských účtů a ukrást cenné předměty.
Takto byla hra Path of Exile 2 hacknuta
Zdrojem problému byl starý, nepoužívaný účet na službě Steam, který byl stále propojen s administrátorským účtem na webu Grinding Gear Games, jak v rozhovoru prozradil ředitel hry Jonathan Rogers
UberSociální inženýrství
útočníkovi se podařilo přesvědčit podporu služby Steam, aby přihlašovací údaje k účtu resetovala. K potvrzení totožnosti zřejmě stačily jednoduché údaje, jako jsou poslední čtyři číslice kreditní karty a fakturační adresa,
S přístupem k účtu správce mohli hackeři změnit hesla ostatních hráčů a získat tak přístup k jejich účtům
Zvlášť výbušné: Chyba v softwaru serveru zajistila, že změny hesel byly ukládány jakopoznámky
a ne jako nezměnitelnéauditové události
. Tyto poznámky mohl útočník po změně hesla jednoduše smazat – a zahladit tak všechny stopy.
Důsledky pro postižené hráče
Postižení hráči byli uprostřed hry náhle odhlášeni. Když se jim s pomocí podpory služby Steam podařilo znovu přihlásit, jejich účty již byly vykradeny. Zmizely cenné předměty, jako jsou božské koule a těžce vydobytá výbava pro konec hry
Obzvlášť hořké: Podle podpory hry Path of Exile 2 neexistuje žádný způsob, jak ukradené předměty obnovit nebo resetovat účty. Zpětné vrácení je zkrátka technicky nemožné – ztráta je tedy definitivní
Jak se s incidentem vypořádává společnost Grinding Gear Games
?
Jonathan Rogers incident otevřeně přiznal a byl z narušení bezpečnosti viditelně frustrovaný:
Úplně jsme tu zpackali bezpečnostní opatření.
Přímým důsledkem je, že společnost GGG nyní přijala několik opatření, aby podobným incidentům v budoucnu zabránila. Mimo jiné nyní již není možné propojovat účty služby Steam s účty správce nebo zákaznického servisu. Kromě toho byla zavedena další bezpečnostní opatření k odstranění podobných bezpečnostních mezer.
Přestože tato bezpečnostní opatření mají zabránit budoucím útokům, není zatím jasné, zda postižení hráči obdrží odškodnění, případně v podobě herní měny v obchodě. Pro postižené je to obzvlášť hořké, protože za ukradenými předměty často stály stovky hodin tvrdé práce – a oni sami za tento incident nemohou.
