fait actuellement la une des journaux non seulement avec ses combats acharnés, mais aussi avec de graves lacunes en matière de sécurité.
Au total, 66 comptes de joueurs ont été compromis– et ce chiffre pourrait être encore plus élevé. La combinaison d'un compte administrateur piraté et d'un bug logiciel a permis aux attaquants de s'introduire facilement dans les comptes des joueurs et de voler des objets de valeur.
Voici comment Path of Exile 2 a été piraté
L'origine du problème était un ancien compte Steam, plus utilisé, qui était toujours lié à un compte administrateur sur le site Web de Grinding Gear Games, selon le directeur du jeu Jonathan Rogers.révèle dans une interview.
SurIngénierie sociale
L'attaquant a réussi à convaincre le support Steam de réinitialiser les informations d'identification du compte. Des données apparemment simples, telles que les quatre derniers chiffres d'une carte de crédit et l'adresse de facturation, suffisaient à confirmer l'identité.
En accédant au compte administrateur, les pirates ont pu changer les mots de passe des autres joueurs et ainsi accéder à leurs comptes.
Particulièrement explosif: Un bug dans le logiciel serveur provoquait l'enregistrement des modifications de mot de passeRemarques
et pas aussi immuableÉvénements d'audit
ont été sauvés. Ces notes pourraient facilement être supprimées par l'attaquant après avoir modifié le mot de passe, couvrant ainsi toutes les traces.
Les conséquences pour les joueurs concernés
Les joueurs concernés ont été soudainement déconnectés au milieu du match. Au moment où ils ont pu se reconnecter via le support Steam, leurs comptes avaient déjà été pillés. Les objets de grande valeur comme les orbes divins et les équipements de fin de partie durement gagnés avaient disparu.
Particulièrement amer: Selon le support de Path of Exile 2, il n'existe aucun moyen de récupérer des objets volés ou de réinitialiser des comptes. Un retour en arrière est tout simplement techniquement impossible – la perte est donc définitive.
Comment Grinding Gear Games gère-t-il l’incident ?
Jonathan Rogers a ouvertement reconnu l'incident et était visiblement frustré par la faille de sécurité :
Nous avons complètement foiré les mesures de sécurité ici.
En conséquence directe, GGG a désormais pris plusieurs mesures pour prévenir de tels incidents à l'avenir. Entre autres choses, il n'est désormais plus possible de lier les comptes Steam aux comptes administrateur ou service client. Des mesures de sécurité supplémentaires ont également été mises en œuvre pour combler des failles de sécurité similaires.
Bien que ces mesures de sécurité visent à prévenir de futures attaques, il reste difficile de savoir si les joueurs concernés recevront une compensation, éventuellement sous la forme de monnaie de la boutique en jeu. C'est particulièrement amer pour les personnes concernées, car les objets volés sont souvent le résultat de centaines d'heures de travail acharné - et elles ne portent elles-mêmes aucune responsabilité dans cet incident.
