Griding Gear Games, le développeur derrière Path of Exile, a présenté des excuses sincères à la suite d'une violation de données importante. Cet incident, causé par un compte de vapeur de test compromis avec les droits administratifs, a affecté de nombreux acteurs. Plongeons dans les détails de la violation et les mesures prises pour fortifier la sécurité.
Plus de 66 comptes compromis
Les développeurs promettent de meilleures mesures de sécurité
Path of Exile (POE) Developer Grinding Geet Games a publiquement reconnu une violation de données qui a eu lieu plus tôt ce mois-ci. Les détails ont été partagés dans un article sur les forums officiels POE intitulé «Notification de violation de données», où les développeurs ont décrit la séquence des événements.
La violation s'est produite lorsqu'un pirate a eu accès à un compte Steam utilisé par PoE à des fins de test, qui avaient malheureusement des privilèges d'administration. Ce compte, créé il y a longtemps, n'avait pas d'achats, de numéros de téléphone ou d'adresses liés, ce qui le rend vulnérable. L'attaquant, en utilisant des informations minimales comme l'adresse e-mail et le nom de compte, ainsi qu'un VPN pour imiter l'emplacement de l'utilisateur, a incité le support client de Steam dans l'octroi de l'accès. Une fois à l'intérieur, le pirate a utilisé des outils de support client pour modifier les mots de passe de 66 comptes Poe 1 et Poe 2 vers des chaînes aléatoires, verrouillant efficacement les propriétaires légitimes.
Le pirate est allé plus loin en supprimant les notifications de ces changements de mot de passe, dissimulant ainsi leurs actions. Cela leur a permis d'accéder aux données sensibles, y compris les adresses e-mail, les ID Steam, les adresses IP, les adresses d'expédition et les codes de déverrouillage. Ils ont également consulté les histoires de transaction et les messages privés de certains comptes, ce qui soulève des préoccupations concernant une mauvaise utilisation potentielle de ces informations à des fins malveillantes.
En réponse, Griding Gear Games a pris des mesures décisives pour améliorer la sécurité. "Nous avons mis en œuvre des mesures de sécurité supplémentaires pour les comptes d'administration pour éviter les violations futures", ont déclaré les développeurs. "Aucun compte tiers n'est désormais autorisé à être lié aux comptes du personnel, et nous avons introduit des restrictions de propriété intellectuelle plus strictes. Nous regrettons profondément de ce délai de sécurité et reconnaissons que ces mesures auraient dû être en place plus tôt. Nous nous sommes engagés à renforcer davantage nos protocoles de sécurité."
La réponse de la communauté sur le Forum a été mitigée, certains joueurs appréciant la transparence des jeux d'équipement de broyage, tandis que d'autres poussent la mise en œuvre de l'authentification à deux facteurs (2FA) pour renforcer la sécurité des comptes. Bien que 2FA n'ait pas encore été ajouté, les joueurs sont encouragés à modifier leurs mots de passe et à rester vigilants sur les informations de leur compte.
En conclusion, Griding Gear Games prend des mesures importantes pour rectifier cette violation de sécurité et prévenir les incidents futurs. Il est conseillé aux joueurs de rester informés et proactifs pour protéger leurs comptes.
