Los juegos de engranajes de molienda, los desarrolladores detrás de Path of Exile, han emitido una disculpa sincera luego de una violación de seguridad significativa que afectó a su comunidad. Esta violación, que tuvo lugar a principios de este mes, involucró una cuenta de Steam de prueba comprometida con privilegios administrativos. Vamos a profundizar en los detalles del incidente y los pasos tomados para mejorar la seguridad.
Más de 66 cuentas comprometidas
En una publicación detallada sobre la ruta oficial de los foros de exilios titulados "Notificación de violación de datos", Grinding Gear Games explicó la secuencia de eventos. Un hacker obtuvo acceso a una cuenta de Steam utilizada para fines de prueba, que tenía derechos de administración pero no hay información personal vinculada. Utilizando detalles básicos como la dirección de correo electrónico y el nombre de la cuenta, junto con una VPN para imitar el país de origen de la cuenta, el hacker engañó con éxito la atención al cliente de Steam para otorgar acceso.
Una vez dentro, el atacante utilizó las herramientas disponibles para los agentes de atención al cliente para cambiar las contraseñas en 66 cuentas en la ruta del exilio 1 y 2. Estos cambios se hicieron subrepticiamente, con el hacker también eliminando las notificaciones de estos cambios para evitar alertar a los propietarios de cuentas.
La violación permitió al hacker acceder a datos personales confidenciales, incluidas direcciones de correo electrónico, ID de Steam, direcciones IP, direcciones de envío y códigos de desbloqueo. Además, vieron historias de transacciones y mensajes privados de algunas cuentas. Esta información plantea un riesgo significativo, ya que podría usarse para actividades maliciosas que afectan las otras cuentas en línea de los usuarios.
En respuesta, Grinding Gear Games ha implementado varias medidas de seguridad nuevas. "Hemos tomado medidas para garantizar que haya más medidas de seguridad en torno a las cuentas de administración para que esto no pueda volver a suceder", afirmaron. Estos pasos incluyen prohibir el enlace de cuentas de terceros a las cuentas del personal y agregar restricciones IP estrictas. "Lamentamos increíblemente este lapso en seguridad", agregaron los desarrolladores, reconociendo que las medidas deberían haber estado vigentes anteriormente y prometiendo mejoras adicionales para evitar futuras infracciones.
La respuesta de la comunidad en el foro ha sido mixta, y elogió la transparencia de los juegos de engranajes de molienda a pesar de los problemas de seguridad, mientras que otros pidieron la implementación de la autenticación de dos factores (2FA) para reforzar la seguridad de las cuentas. Si bien los desarrolladores aún no han confirmado la adición de 2FA, se aconseja a los jugadores que cambien sus contraseñas y permanezcan atentos a la información de su cuenta para protegerse mientras tanto.
