Résumé
Les jeux d'équipement de broyage, les développeurs derrière PATH de l'exil 2, ont confirmé une violation de données qui s'est produite au cours de la semaine du 6 janvier 2025. La violation provenait du compte d'administration d'un développeur compromis lié à Steam, ce qui a conduit à l'exposition des adresses e-mail des joueurs, des identifiants de vapeur, des adresses IP et d'autres informations sensibles.
En réponse à la violation, Griding Gear Games a pris des mesures immédiates pour améliorer la sécurité de leurs comptes d'administration et prévenir les incidents futurs. Cela comprend le verrouillage du compte compromis, l'application des réinitialisations du mot de passe sur tous les comptes d'administration et la mise en œuvre de mesures de sécurité plus strictes telles que l'interdiction des liens de compte tiers et l'application de restrictions IP plus strictes.
Depuis son lancement d'accès anticipé en décembre 2024, Path of Exile 2 a connu une base de joueurs robuste, alimentée par des mises à jour continues et l'engagement des développeurs. Une mise à jour récente a amélioré les performances de la PlayStation 5 et a abordé les problèmes liés aux monstres, aux compétences et aux dommages. Le prochain patch majeur, qui introduit de nouveaux contenus, est attendu bientôt.
La violation a été facilitée par le biais d'un compte de compte d'exil d'un développeur compromis, qui était lié à un ancien compte de test de vapeur. Cela a permis à l'attaquant d'accéder au portail des développeurs et d'affecter d'autres comptes. L'attaquant a exploité un bogue pour supprimer les journaux et définir des mots de passe aléatoires sur 66 comptes, compromettant des données telles que les adresses e-mail, les identifiants Steam, les adresses IP, les adresses d'expédition et les codes de déverrouillage.
Malgré la violation, aucun mot de passe ou hachage de mot de passe n'était accessible via le portail du service client. Cependant, il y avait un risque que l'attaquant puisse utiliser les adresses e-mail compromises pour contourner la région verrouillant sur des comptes à vapeur. L'attaquant a également accédé à la transaction et aux antécédents de messages privés pour certains comptes.
La communauté a répondu de manière variable à la violation, certains appréciant la transparence des jeux d'équipement de broyage, tandis que d'autres exigent des mesures de sécurité supplémentaires comme l'authentification à deux facteurs. Les joueurs expriment également un intérêt pour de nouvelles améliorations de sécurité, parallèlement aux améliorations du contenu en jeu et aux ajustements de la difficulté de fin de partie du jeu.
