"Le chemin de l'exil 2 présente des excuses pour une violation massive de données"

Griding Gear Games, les développeurs derrière le Popul Game Path of Exile (POE), a présenté des excuses sincères après une violation de données importante qui s'est produite plus tôt ce mois-ci. L'incident, qui a affecté la sécurité de plus de 66 comptes, a été détaillé dans un article sur les forums officiels POE intitulé "Notification de violation de données".

Plus de 66 comptes compromis

La violation provenait d'un compte Steam compromis avec un accès administratif, qui a été initialement créé à des fins de test. Le pirate a exploité cette vulnérabilité en usurpant avec succès le propriétaire du compte pour vaporiser le support client, en utilisant uniquement des informations de base comme l'adresse e-mail et le nom du compte, ainsi qu'un VPN pour imiter le pays d'origine du compte. Cela leur a permis de réinitialiser les mots de passe de 66 comptes PoE 1 et Poe 2 différents, en utilisant des outils généralement réservés aux agents du support client.

Le pirate est allé plus loin en supprimant les notifications de changement de mot de passe, couvrant effectivement leurs traces et empêchant les propriétaires de compte d'être alertés de la violation. Cet acteur malveillant a également pu accéder à des informations personnelles sensibles, notamment les adresses e-mail, les identifiants Steam, les adresses IP, les adresses d'expédition et les codes de déverrouillage. Ils ont consulté les histoires de transaction et les messages privés, en utilisant potentiellement ces données à des fins néfastes qui pourraient avoir un impact sur les autres comptes en ligne des victimes.

Les développeurs promettent de meilleures mesures de sécurité

En réponse à ce délai de sécurité, Griding Gear Games a pris des mesures immédiates pour renforcer leurs protocoles de sécurité. Ils ont déclaré: "Nous avons pris des mesures pour nous assurer qu'il y a plus de mesures de sécurité autour des comptes d'administration afin que cela ne puisse pas se reproduire. Aucun compte tiers ne peut être lié à des comptes de personnel, et nous avons ajouté des restrictions IP beaucoup plus strictes. Nous sommes incroyablement désolés pour cette laps de sécurité. Les mesures prises pour assurer le site d'administration auraient déjà dû être en place.

La réponse de la communauté sur le fil du forum a été mitigée, certains joueurs félicitant les développeurs pour leur transparence et d'autres appelant à la mise en œuvre de l'authentification à deux facteurs (2FA) pour améliorer la sécurité des comptes. Bien que Griding Gear Games n'ait pas encore confirmé l'ajout de 2FA, les joueurs sont encouragés à modifier leurs mots de passe et à rester vigilants sur les informations de leur compte dans l'intervalle.