Una grave falla nella sicurezza di Path of Exile 2 ha portato al furto di oggetti di valore dagli account dei giocatori – ancora nessun risarcimento in vista
Path of Exile 2sta facendo notizia non solo per i suoi duri combattimenti, ma anche per una grave vulnerabilità di sicurezza.
Un totale di 66 account di giocatori sono stati compromessi– e il numero potrebbe essere ancora più alto. La combinazione di un account di amministrazione violato e di un bug del software ha permesso agli aggressori di entrare facilmente negli account dei giocatori e di rubare oggetti di valore.
Ecco come Path of Exile 2 è stato violato
La fonte del problema era un vecchio account Steam inutilizzato che era ancora collegato a un account amministratore sul sito web di Grinding Gear Games, come ha rivelato il direttore del gioco Jonathan Rogers in un’intervista
UberSocial Engineering
l’attaccante è riuscito a convincere l’assistenza Steam a reimpostare le credenziali dell’account. Semplici dati come le ultime quattro cifre di una carta di credito e l’indirizzo di fatturazione sono stati apparentemente sufficienti a confermare l’identità
Con l’accesso all’account amministratore, gli hacker sono riusciti a modificare le password degli altri giocatori e quindi ad accedere ai loro account.
Particolarmente esplosivo: un bug nel software del server faceva sì che le modifiche alle password venissero salvate comenote
e non comeeventi di audit
immodificabili. Queste note potevano essere semplicemente cancellate dall’aggressore dopo la modifica della password, coprendo così tutte le tracce.
Le conseguenze per i giocatori colpiti
I giocatori colpiti sono stati improvvisamente disconnessi nel bel mezzo del gioco. Quando sono riusciti a rientrare con l’aiuto del supporto Steam, i loro account erano già stati saccheggiati. Oggetti di grande valore, come le sfere divine e l’equipaggiamento endgame duramente guadagnato, erano scomparsi
Particolarmente amaro: secondo il supporto di Path of Exile 2, non c’è modo di ripristinare gli oggetti rubati o resettare gli account. Un rollback è semplicemente tecnicamente impossibile – quindi la perdita è permanente
Come sta affrontando l’incidente Grinding Gear Games?
Jonathan Rogers ha riconosciuto apertamente l’incidente ed era visibilmente frustrato dalla vulnerabilità della sicurezza:
Abbiamo completamente sbagliato le misure di sicurezza qui.
Come diretta conseguenza, il GGG ha adottato diverse misure per evitare incidenti simili in futuro. Tra le altre cose, ora non è più possibile collegare gli account Steam con gli account di amministratore o di assistenza clienti. Inoltre, sono state implementate ulteriori misure di sicurezza per colmare simili lacune.
Anche se queste misure di sicurezza sono destinate a prevenire attacchi futuri, non è chiaro se i giocatori colpiti riceveranno un risarcimento, eventualmente sotto forma di valuta del negozio di gioco. Questo è particolarmente amaro per le persone colpite, poiché gli oggetti rubati erano spesso il risultato di centinaia di ore di duro lavoro, e loro stessi non sono responsabili di questo incidente.
