Caminho do exílio 2: violação de dados confirmada

Resumo

• Grinding Gear Games, desenvolvedor do Path of Exile 2 , confirmou uma violação de dados que ocorre na semana de 6 de janeiro de 2025.
• A violação surgiu de uma conta de desenvolvedor comprometida vinculada ao Steam.
• Os dados comprometidos incluíram endereços de email do jogador, IDs a vapor, endereços IP e outras informações.

Os jogos de engrenagem de moagem confirmaram uma violação de dados que afeta o caminho do exílio 2 após o compromisso da conta administrativa de um desenvolvedor. Os desenvolvedores descreveram as etapas para aprimorar a segurança de suas contas administrativas, impedindo violações futuras no caminho do exílio 2 e seu antecessor (que compartilham um único login de conta).

Desde o seu lançamento de acesso antecipado em dezembro de 2024, o Path of Exile 2 manteve uma forte base de jogadores, alimentada por atualizações consistentes e comunicação de desenvolvedores. As atualizações recentes incluíram melhorias no PlayStation 5 e correções de bugs relacionadas a monstros, habilidades e danos. Abordar a violação de dados precede proativamente a liberação do Path of Exile 2 do próximo patch.

O Path Official do Exile 2 da Grinding Gear Games publicou um aviso detalhando a violação descoberta na semana de 6 de janeiro de 2025. A conta de administrador do site de um desenvolvedor foi comprometida, concedendo acesso a ferramentas normalmente usadas pela equipe de suporte ao cliente. A conta foi imediatamente bloqueada e todas as outras contas de administrador foram submetidas a redefinições de senha forçada. A investigação revelou que a conta comprometida estava vinculada a uma conta a vapor antiga e apenas para teste, fornecendo ao invasor informações suficientes para a aquisição de contas. Embora essa conta a vapor não tivesse dados de compra ou pessoal, o acesso ao caminho da conta do exílio do desenvolvedor permitiu a manipulação de outras contas através do portal do desenvolvedor.

Path of Exile 2 Developer Grinding Gear Games confirma a violação de dados envolvendo a conta da equipe comprometida

• A violação afetou um "número significativo" de contas, comprometendo endereços de email, IDs a vapor, endereços IP, endereços de entrega e códigos de desbloqueio.

O invasor redefiniu aleatoriamente as senhas em 66 contas, explorando um bug para excluir logs rastreando essas alterações. Os jogos de engrenagem de moagem confirmaram que esse bug foi exclusivo dessa ação e foi corrigido. A violação permitiu a visualização das informações da conta para um "número significativo" de contas no portal do desenvolvedor, expondo endereços de email, IDs a vapor, endereços IP, endereços de entrega e códigos de desbloqueio.

Embora as senhas e os hashes de senha não tenham sido diretamente acessíveis, os jogos de engrenagem de moagem reconheceram a possibilidade dos endereços de e-mail de referência cruzada do atacante com listas de senha comprometidas de outras fontes para contornar o bloqueio da região para o caminho ligado a vapor das contas do Exile 2 . Para algumas contas, o invasor acessou a transação e o histórico de mensagens privadas com a equipe de Grinding Gear Games. Para evitar a recorrência, é proibida uma conta de terceiros às contas da equipe e restrições de IP significativamente mais rigorosas estão em vigor.

A reação da comunidade foi misturada, com alguns elogiando a transparência dos desenvolvedores, enquanto outros defendem a autenticação de dois fatores. Uma parcela significativa dos desejos da base de jogadores aprimorou a segurança, juntamente com os aprimoramentos para o conteúdo do jogo e os ajustes de dificuldade do jogo.