Разработчики Path of Exile 2 подтвердили, что взлом аккаунта администратора позволил хакерам получить доступ к аккаунтам 66 игроков. Это объясняет волну взломов, с которой столкнулись игроки с ноября 2024 года.
Через скомпрометированный аккаунт злоумышленники могли изменять пароли других пользователей, что привело к утрате внутриигровых предметов, на сбор которых игроки тратили сотни часов. Ограничение на сохранение логов не позволило определить полный масштаб инцидента. Поэтому пострадавших аккаунтов может быть больше.
Path of Exile 2 – популярная RPG от студии Grinding Gear Games, находящаяся в раннем доступе. Игра уже собрала аудиторию и получила множество положительных отзывов. Однако участившиеся сообщения на форумах о взломах аккаунтов вызвали обеспокоенность среди игроков. Многие утверждали, что их профили в Steam и Path of Exile подверглись атакам без какого-либо запроса двухфакторной аутентификации.
Пострадавшие игроки обнаруживали, что их выкидывало из игры, а после восстановления доступа через поддержку Steam все ценные предметы и уникальная экипировка были украдены. При этом служба поддержки Path of Exile подтвердила, что возврат предметов и восстановление данных невозможны.
Хотя разработчики и не подтвердили информацию, на Reddit был опубликован скриншот предполагаемой административной панели Path of Exile 2, которая, как полагают, использовалась для изменения паролей игроков.
Предполагаемая панель администратора Path of Exile 2 (Reddit)
По словамдиректора игры Джонатана Роджерса, атака произошла через старый аккаунт Steam, привязанный к профилю администратора. Киберпреступники использовали последние четыре цифры кредитной карты, чтобы убедить поддержку Steam сбросить учетные данные.
Более того, уязвимость в системе Path of Exile 2 позволяла удалять записи о смене пароля. Роджерс пояснил, что вместо аудита изменение пароля логировалось как редактируемая заметка, что открывало возможность для удаления этой информации.
В попытках устранить последствия инцидента разработчики столкнулись с трудностями из-за политики хранения логов, которая привела к их удалению за дни, когда был взломан аккаунт. В результате компания зафиксировала 66 аккаунтов, в которых были удалены заметки.
Grinding Gear Games признала ошибки в системе безопасности и заверила, что после инцидента были введены дополнительные меры. Среди них – запрет на привязку аккаунтов Steam к административным профилям. Однако компенсацию пострадавшим игрокам разработчики не предусмотрели, отметив, что восстановление украденных предметов невозможно.