Pad van ballingschap 2: Datalek bevestigd

Samenvatting

• Krindende Gear Games, de ontwikkelaar van Path of Exile 2 , bevestigde een datalek in de week van 6 januari 2025.
• De inbreuk kwam voort uit een gecompromitteerde ontwikkelaarsaccount gekoppeld aan Steam.
• Gecompromitteerde gegevens omvatten e -mailadressen van spelers, stoom -ID's, IP -adressen en andere informatie.

Slijpende Gear Games bevestigden een datalek dat het pad van ballingschap 2 beïnvloedt na het compromis van het administratieve account van een ontwikkelaar. De ontwikkelaars schetsten stappen om de beveiliging van hun administratieve accounts te verbeteren, waardoor toekomstige inbreuken in zowel Path of Exile 2 als zijn voorganger (die een login met één account delen) voorkomen.

Sinds de vroege toegang tot de toegang in december 2024 heeft Path of Exile 2 een sterke spelersbasis gehandhaafd, gevoed door consistente updates en ontwikkelaarscommunicatie. Recente updates omvatten PlayStation 5 prestatieverbeteringen en bugfixes met betrekking tot monsters, vaardigheden en schade. Het aanpakken van de gegevensbreuk gaat proactief vooraf aan de afgifte van de volgende grote patch van Path of Exile 2 .

Het officiële pad van Exile 2 Forum van Marken versnellingspellen plaatste een kennisgeving met details over de inbreuk die de week van 6 januari 2025 ontdekte. Een administratiebeheer van een ontwikkelaar werd gecompromitteerd, waardoor toegang werd gegeven aan tools die normaal worden gebruikt door het klantenondersteuningsteam. Het account werd onmiddellijk vergrendeld en alle andere beheerdersaccounts ondergingen geforceerd wachtwoord gereset. Uit onderzoek bleek dat het gecompromitteerde account was gekoppeld aan een oude, alleen-test-stoomaccount, waardoor de aanvaller voldoende informatie was voor accountovername. Hoewel dit Steam -account geen aankoop of persoonlijke gegevens had, stond de toegang tot het Path of Exile -account van de ontwikkelaar de manipulatie van andere accounts toe via het ontwikkelaarsportaal.

Path of Exile 2 Developer slijpende Gear Games bevestigt datalek met een gecompromitteerd personeelsaccount

• De inbreuk had invloed op een "aanzienlijk aantal" accounts, het compromitteren van e -mailadressen, stoom -ID's, IP -adressen, verzendadressen en ontgrendelcodes.

De aanvaller heeft willekeurig wachtwoorden op 66 accounts gereset en een bug benutten om logs te verwijderen die deze wijzigingen bijhouden. Malenuitrustingsspellen bevestigden dat deze bug uniek was voor deze actie en is gepatcht. De inbreuk liet het bekijken van accountinformatie toe voor een "aanzienlijk aantal" accounts op het ontwikkelaarsportaal, waardoor e -mailadressen, stoom -ID's, IP -adressen, verzendadressen en codes worden ontgrendeld.

Hoewel wachtwoorden en wachtwoordhashes niet direct toegankelijk waren, bevestigden de slijpapparatuur games de mogelijkheid dat de aanvaller e-mailadressen kruisverwijzingen met gecompromitteerde wachtwoordlijsten uit andere bronnen om regioblokkering te omzeilen voor stoom-gekoppelde pad van banen 2- accounts. Voor sommige accounts heeft de aanvaller toegang tot transactie- en privéberichtgeschiedenis met personeel van de malenuitrusting games. Om herhaling te voorkomen, is een account van derden die linken naar personeelsrekeningen verboden en zijn nu aanzienlijk strengere IP-beperkingen aanwezig.

De reactie van de gemeenschap is gemengd, met sommigen die de transparantie van de ontwikkelaars prijzen, terwijl anderen pleiten voor tweefactor-authenticatie. Een aanzienlijk deel van de spelersbasis verlangt een verbeterde beveiliging, samen met verbeteringen aan in-game content en eindspel moeilijkheidsaanpassingen.