Đường dẫn lưu vong 2: Vi phạm dữ liệu được xác nhận

Bản tóm tắt

• Grinding Gear Games, nhà phát triển Path of Exile 2 , đã xác nhận vi phạm dữ liệu xảy ra vào tuần ngày 6 tháng 1 năm 2025.
• Vi phạm bắt nguồn từ một tài khoản nhà phát triển bị xâm phạm được liên kết với Steam.
• Dữ liệu bị xâm phạm bao gồm địa chỉ email của người chơi, ID hơi, địa chỉ IP và thông tin khác.

Trò chơi Gear Gear đã xác nhận vi phạm dữ liệu ảnh hưởng đến đường dẫn lưu vong 2 sau sự thỏa hiệp của tài khoản hành chính của nhà phát triển. Các nhà phát triển đã phác thảo các bước để tăng cường bảo mật cho các tài khoản hành chính của họ, ngăn chặn các vi phạm trong tương lai trên cả con đường lưu vong 2 và người tiền nhiệm của nó (chia sẻ một đăng nhập tài khoản duy nhất).

Kể từ khi ra mắt truy cập sớm vào tháng 12 năm 2024, Path of Exile 2 đã duy trì một cơ sở người chơi mạnh mẽ, được thúc đẩy bởi các bản cập nhật nhất quán và truyền thông nhà phát triển. Các bản cập nhật gần đây bao gồm cải tiến hiệu suất PlayStation 5 và sửa lỗi liên quan đến quái vật, kỹ năng và thiệt hại. Giải quyết các vi phạm dữ liệu chủ động đi trước việc phát hành bản vá chính tiếp theo của Path of Exile 2 .

Diễn đàn Path of Exile 2 chính thức của Gear Games đã đăng một thông báo chi tiết về vi phạm được phát hiện vào tuần ngày 6 tháng 1 năm 2025. Tài khoản quản trị trang web của nhà phát triển đã bị xâm phạm, cấp quyền truy cập vào các công cụ thường được sử dụng bởi nhóm hỗ trợ khách hàng. Tài khoản ngay lập tức bị khóa và tất cả các tài khoản quản trị viên khác đều trải qua đặt lại mật khẩu bắt buộc. Điều tra cho thấy tài khoản bị xâm phạm được liên kết với một tài khoản hơi cũ, chỉ có thử nghiệm, cung cấp cho kẻ tấn công đầy đủ thông tin để tiếp quản tài khoản. Mặc dù tài khoản Steam này thiếu dữ liệu mua hàng hoặc dữ liệu cá nhân, truy cập vào đường dẫn lưu vong của nhà phát triển cho phép thao tác các tài khoản khác thông qua cổng thông tin nhà phát triển.

Path of Exile 2 Nhà phát triển Trò chơi Gear Games xác nhận vi phạm dữ liệu liên quan đến tài khoản nhân viên bị xâm phạm

• Vi phạm ảnh hưởng đến "số lượng đáng kể" các tài khoản, thỏa hiệp địa chỉ email, ID hơi, địa chỉ IP, địa chỉ vận chuyển và mã mở khóa.

Kẻ tấn công đặt lại ngẫu nhiên mật khẩu trên 66 tài khoản, khai thác lỗi để xóa nhật ký theo dõi các thay đổi này. Trò chơi Gear Gear xác nhận lỗi này là duy nhất cho hành động này và đã được vá. Vi phạm cho phép xem thông tin tài khoản cho một "số lượng đáng kể" tài khoản trên cổng thông tin nhà phát triển, hiển thị địa chỉ email, ID hơi, địa chỉ IP, địa chỉ vận chuyển và mã mở khóa.

Mặc dù các băm mật khẩu và mật khẩu không thể truy cập trực tiếp, các trò chơi Gear đã thừa nhận khả năng của các địa chỉ email tham chiếu chéo của kẻ tấn công với các danh sách mật khẩu bị xâm phạm từ các nguồn khác để phá vỡ khu vực khóa cho đường dẫn liên kết với hơi nước lưu vong 2 . Đối với một số tài khoản, kẻ tấn công đã truy cập giao dịch và lịch sử tin nhắn riêng tư với nhân viên của Grinding Gear Games. Để ngăn chặn sự tái phát, liên kết tài khoản của bên thứ ba với tài khoản nhân viên bị cấm và các hạn chế IP chặt chẽ hơn đáng kể hiện đã được áp dụng.

Phản ứng cộng đồng đã được trộn lẫn, với một số ca ngợi tính minh bạch của các nhà phát triển, trong khi những người khác ủng hộ xác thực hai yếu tố. Một phần đáng kể của cơ sở người chơi mong muốn được cải thiện bảo mật, cùng với các cải tiến cho nội dung trong trò chơi và điều chỉnh độ khó cuối cùng.