O caminho do exílio 2 confirma a violação de dados

Resumo

• Grinding Gear Games, desenvolvedor do Path of Exile 2 , confirmou uma violação de dados que ocorre na semana de 6 de janeiro de 2025.
• A violação surgiu de uma conta de desenvolvedor comprometida vinculada ao Steam.
• Os dados comprometidos incluíram endereços de email do jogador, IDs a vapor, endereços IP e outras informações.

Após o lançamento do acesso antecipado de dezembro de 2024, o Path of Exile 2 teve uma base robusta de jogadores, alimentada por atualizações consistentes e comunicação de desenvolvedores. Atualizações recentes abordaram o desempenho do PlayStation 5 e várias questões no jogo. A Grinding Gear Games abordou proativamente essa violação de dados antes do lançamento do próximo patch principal.

O Fórum Oficial do Exílio 2 da Grinding Gear Games anunciou que a violação descobriu a semana de 6 de janeiro de 2025. Foi comprometida uma conta de administração de um desenvolvedor, concedendo acesso às ferramentas de suporte ao cliente. A conta foi bloqueada imediatamente e todas as contas de administrador foram submetidas a redefinições obrigatórias de senha. A investigação revelou que a conta comprometida estava vinculada a uma conta a vapor antiga e inativa usada para testes. Embora essa conta a vapor não tenha informações pessoais ou de compra, o acesso ao caminho da conta do exílio do desenvolvedor permitiu que o invasor afetasse outras contas por meio do portal do desenvolvedor.

Path of Exile 2 Developer Grinding Gear Games confirma a violação de dados envolvendo a conta da equipe comprometida

• Um "número significativo" de contas foi afetado, com dados comprometidos, incluindo endereços de email, IDs a vapor, endereços IP, endereços de entrega e códigos de desbloqueio.

O invasor alterou as senhas em 66 contas e explorou um bug para excluir logs detalhando essas alterações. Este bug, afetando apenas a exclusão do log, foi corrigido. A violação permitiu o acesso às informações da conta para um número significativo de contas no portal do desenvolvedor. Isso incluiu endereços de email, IDs a vapor, endereços IP, endereços de entrega e códigos de desbloqueio. Embora as senhas e os hashes de senha não tenham sido diretamente acessíveis, o invasor pode ter tentado usar endereços de email comprometidos com listas de senha de outras violações para contornar as restrições regionais da conta. Para algumas contas, também foram vistos históricos de transações e mensagens privadas com a equipe de Grinding Gear Games. Para evitar violações futuras, a conta de terceiros que vincula as contas da equipe foi desativada e as restrições de PI foram significativamente fortalecidas.

A reação da comunidade foi misturada, com alguns elogiando a transparência do desenvolvedor, enquanto outros defendem a autenticação de dois fatores. Muitos jogadores também expressaram desejos de segurança melhorada, conteúdo adicional no jogo e ajustes de dificuldade do jogo.