Krytyczna luka w zabezpieczeniach Path of Exile 2 doprowadziła do kradzieży cennych przedmiotów z kont graczy – na razie nie widać rekompensaty
Path of Exile 2trafia obecnie na pierwsze strony gazet nie tylko za sprawą ostrej walki, ale także poważnej luki w zabezpieczeniach.
Łącznie 66 kont graczy zostało naruszonych– a liczba ta może być jeszcze większa. Połączenie zhakowanego konta administratora i błędu w oprogramowaniu ułatwiło atakującym włamanie się na konta graczy i kradzież cennych przedmiotów.
Tak zhakowano Path of Exile 2
Źródłem problemu było stare, nieużywane konto Steam, które wciąż było połączone z kontem administratora na stronie Grinding Gear Games, jak ujawnił dyrektor gry Jonathan Rogers w wywiadzie
UberSocial Engineering
atakującemu udało się przekonać pomoc techniczną Steam do zresetowania poświadczeń konta. Proste dane, takie jak ostatnie cztery cyfry karty kredytowej i adres rozliczeniowy, najwyraźniej wystarczyły do potwierdzenia tożsamości
Mając dostęp do konta administratora, hakerzy byli w stanie zmienić hasła innych graczy, a tym samym uzyskać dostęp do ich kont.
Szczególnie wybuchowe: Błąd w oprogramowaniu serwera sprawiał, że zmiany haseł były zapisywane jakonotes
a nie jako niezmienneaudit events
. Notatki te mogły być po prostu usunięte przez atakującego po zmianie hasła – w ten sposób zacierając wszystkie ślady.
Konsekwencje dla poszkodowanych graczy
Zagrożeni gracze zostali nagle wylogowani w środku gry. Kiedy udało im się zalogować z pomocą wsparcia Steam, ich konta zostały już splądrowane. Zniknęły przedmioty o wysokiej wartości, takie jak Divine Orbs i ciężko zarobiony sprzęt endgame
Szczególnie rozgoryczony: Według wsparcia Path of Exile 2, nie ma możliwości przywrócenia skradzionych przedmiotów lub zresetowania kont. Cofnięcie jest po prostu technicznie niemożliwe – więc strata jest trwała
Jak Grinding Gear Games radzi sobie z incydentem?
Jonathan Rogers otwarcie przyznał się do incydentu i był wyraźnie sfrustrowany naruszeniem bezpieczeństwa:
We completely messed up the security measures here.
Jako bezpośrednią konsekwencję, GGG podjęło teraz kilka środków, aby zapobiec takim incydentom w przyszłości. Między innymi nie jest już możliwe łączenie kont Steam z kontami administratora lub obsługi klienta. Ponadto wdrożono dalsze środki bezpieczeństwa w celu wyeliminowania podobnych luk w zabezpieczeniach.
Chociaż te środki bezpieczeństwa mają na celu zapobieganie przyszłym atakom, nadal nie jest jasne, czy poszkodowani gracze otrzymają rekompensatę, być może w postaci waluty w sklepie w grze. Jest to szczególnie gorzkie dla poszkodowanych, ponieważ skradzione przedmioty były często wynikiem setek godzin ciężkiej pracy – a oni sami nie są winni tego incydentu.
