Nhà phát triển Path of Exile 2 giải quyết vi phạm dữ liệu đáng kể
Grinding Gear Games, nhà phát triển đằng sau Path of Exile, đã đưa ra lời xin lỗi công khai sau khi vi phạm dữ liệu ảnh hưởng đến 66 tài khoản người chơi. Vi phạm bắt nguồn từ một tài khoản kiểm tra hơi nước bị xâm phạm với các đặc quyền quản trị. Bài viết này chi tiết các sự kiện và các bước được thực hiện để giải quyết lỗ hổng bảo mật.
Chi tiết sai sót về bảo mật
Vi phạm bắt nguồn từ một tài khoản hơi nước bị xâm phạm, được thiết lập lâu dài cho mục đích thử nghiệm và thiếu các biện pháp bảo mật quan trọng như số điện thoại hoặc địa chỉ được liên kết. Sự thiếu bảo mật mạnh mẽ này cho phép kẻ tấn công mạo danh thành công chủ sở hữu tài khoản để hỗ trợ Steam, có quyền truy cập bằng thông tin tối thiểu (địa chỉ email, tên tài khoản và VPN che giấu vị trí của họ).
Kẻ tấn công đã khai thác tài khoản bị xâm phạm để đặt lại mật khẩu trên tài khoản 66 POE 1 và POE 2, xóa thông báo thay đổi mật khẩu để tránh phát hiện. Dữ liệu nhạy cảm được truy cập bao gồm địa chỉ email, ID hơi, địa chỉ IP, địa chỉ vận chuyển, mã mở khóa, lịch sử giao dịch và tin nhắn riêng tư. Thông tin này đặt ra một rủi ro đáng kể về sự thỏa hiệp và lạm dụng tài khoản thêm.
Các biện pháp bảo mật nâng cao được thực hiện
Trò chơi Gear Gear đã phản hồi bằng cách triển khai các giao thức bảo mật nâng cao cho các tài khoản hành chính. Các biện pháp này bao gồm các hạn chế IP chặt chẽ hơn và lệnh cấm liên kết các tài khoản bên thứ ba với tài khoản nhân viên. Nhà phát triển thừa nhận sai sót bảo mật và bày tỏ sự hối tiếc cho vụ việc.
Phản hồi của cộng đồng đã được trộn lẫn, với một số ca ngợi tính minh bạch của nhà phát triển trong khi những người khác ủng hộ việc thực hiện ngay lập tức xác thực hai yếu tố (2FA) để bảo mật tài khoản nâng cao. Mặc dù việc triển khai 2FA trong tương lai vẫn chưa rõ ràng, người chơi nên thay đổi mật khẩu của họ và vẫn cảnh giác về thông tin tài khoản của họ.
