Критическая брешь в системе безопасности Path of Exile 2 привела к краже ценных предметов с аккаунтов игроков — компенсации пока не предвидится
Path of Exile 2в настоящее время попала в заголовки газет не только благодаря своим жестоким боям, но и серьезной уязвимости в системе безопасности
В общей сложности 66 учетных записей игроков были взломаны— и это число может быть еще больше. Сочетание взломанной учетной записи администратора и ошибки в программном обеспечении позволило злоумышленникам легко взломать учетные записи игроков и украсть ценные предметы.
Так взламывали Path of Exile 2
Источником проблемы стал старый, неиспользуемый аккаунт Steam, который все еще был связан с учетной записью администратора на сайте Grinding Gear Games, как рассказал директор игры Джонатан Роджерсв интервью
UberСоциальная инженерия
злоумышленнику удалось убедить службу поддержки Steam сбросить учетные данные. Простых данных, таких как последние четыре цифры кредитной карты и адрес для выставления счета, было, по-видимому, достаточно для подтверждения личности
Получив доступ к учетной записи администратора, хакеры смогли изменить пароли других игроков и таким образом получить доступ к их аккаунтам
Особенно взрывоопасно: ошибка в программном обеспечении сервера гарантировала, что изменения пароля сохранялись какзаметки
а не как неизменныеаудиторские события
. Эти заметки могли быть просто удалены злоумышленником после смены пароля — таким образом, уничтожались все следы.
Последствия для пострадавших игроков
Пострадавшие игроки внезапно выходили из системы в середине игры. Когда они смогли вернуться в игру с помощью службы поддержки Steam, их аккаунты уже были разграблены. Ценные предметы, такие как божественные орбы и с трудом добытое эндшпильное снаряжение, исчезли
Особенно горько: По словам службы поддержки Path of Exile 2, нет никакого способа восстановить украденные предметы или сбросить учетные записи. Откат просто технически невозможен — так что проигрыш окончательный
Как Grinding Gear Games справляется с инцидентом?
Джонатан Роджерс открыто признал факт инцидента и был заметно расстроен уязвимостью в системе безопасности:
Мы полностью испортили меры безопасности здесь.
Вследствие этого GGG приняла ряд мер для предотвращения подобных инцидентов в будущем. Среди прочего, теперь невозможно связать учетные записи Steam с учетными записями администраторов или службы поддержки. Кроме того, были приняты дополнительные меры безопасности для устранения подобных брешей.
Несмотря на то, что эти меры безопасности призваны предотвратить будущие атаки, остается неясным, получат ли пострадавшие игроки компенсацию, возможно, в виде валюты внутриигрового магазина. Это особенно горько для пострадавших, ведь украденные предметы зачастую были результатом сотен часов напряженной работы — и они сами не виноваты в этом инциденте.
