Griding Gear Games, les développeurs derrière Path of Exile, a présenté des excuses sincères à la suite d'une violation de sécurité importante qui a affecté leur communauté. Cette violation, qui a eu lieu plus tôt ce mois-ci, a impliqué un compte de vapeur de test compromis avec les privilèges administratifs. Plongeons les détails de l'incident et les mesures prises pour améliorer la sécurité.
Plus de 66 comptes compromis
Dans un article détaillé sur le chemin officiel des forums Exile intitulé «Notification de violation de données», Gringing Gear Games a expliqué la séquence des événements. Un pirate a eu accès à un compte Steam utilisé à des fins de test, qui avaient des droits d'administration mais aucune information personnelle liée. En utilisant des détails de base comme l'adresse e-mail et le nom du compte, ainsi qu'un VPN pour imiter le pays d'origine du compte, le pirate a réussi à tromper le support client de Steam en accordant l'accès.
Une fois à l'intérieur, l'attaquant a utilisé les outils disponibles pour les agents du support client pour modifier les mots de passe sur 66 comptes sur le chemin des exil 1 et 2. Ces modifications ont été effectuées subrepticement, le pirate supprimant également les notifications de ces modifications pour éviter d'alerter les propriétaires de comptes.
La violation a permis au pirate d'accéder aux données personnelles sensibles, y compris les adresses e-mail, les identifiants Steam, les adresses IP, les adresses d'expédition et les codes de déverrouillage. De plus, ils ont consulté les histoires de transaction et les messages privés de certains comptes. Ces informations présentent un risque important, car elles pourraient être utilisées pour des activités malveillantes affectant les autres comptes en ligne des utilisateurs.
En réponse, Griding Gear Games a mis en œuvre plusieurs nouvelles mesures de sécurité. "Nous avons pris des mesures pour nous assurer qu'il y a plus de mesures de sécurité autour des comptes d'administration afin que cela ne puisse plus se reproduire", ont-ils déclaré. Ces étapes incluent l'interdiction de la liaison des comptes tiers aux comptes du personnel et de l'ajout de restrictions IP strictes. "Nous sommes incroyablement désolés pour cette lance de sécurité", ont ajouté les développeurs, reconnaissant que les mesures auraient dû être en place plus tôt et promettant de nouvelles améliorations pour empêcher les violations futures.
La réponse de la communauté sur le Forum a été mitigée, certains louant la transparence des jeux d'équipement de broyage malgré les problèmes de sécurité, tandis que d'autres ont appelé à la mise en œuvre de l'authentification à deux facteurs (2FA) pour renforcer la sécurité des comptes. Bien que les développeurs n'aient pas encore confirmé l'ajout de 2FA, il est conseillé aux joueurs de modifier leurs mots de passe et de rester vigilants sur les informations de leur compte pour se protéger entre-temps.
