亡命開発者の道は主要なデータ侵害に対処します
Path of Exileの背後にある開発者であるGrinding Gear Gamesは、今月初めに重要なデータ侵害に続いて公の謝罪を発表しました。 この違反は、管理特権を備えた侵害された蒸気テストアカウントに由来しています。 この妥協したアカウントにより、66を超えるプレーヤーアカウントへの不正アクセスが可能になりました。
セキュリティが詳細
違反には、リンクされた電話番号やアドレスなどの典型的なセキュリティ対策がない長年のテストアカウントが含まれていました。 この脆弱性により、ハッカーはアカウント所有者に蒸気サポートに成功し、最小限の情報(電子メールアドレス、アカウント名、およびその場所をマスキングするVPN)を使用してアクセスを獲得することができました。
ハッカーは、アカウントの管理アクセスを利用して、亡命1および2のアカウントの多数のパスでパスワードをリセットしました。 さらに、攻撃者はパスワードの通知を巧みに削除し、影響を受けるユーザーからのアクションを隠しました。 侵害されたデータには、電子メールアドレス、スチームID、IPアドレス、出荷アドレス、コードのロック解除、トランザクション履歴、プライベートメッセージなどの機密の個人情報が含まれていました。 この情報は、誤用の重大なリスクをもたらします。
拡張されたセキュリティ対策が実装された
Grinding Gear Gamesは、将来のインシデントを防ぐためのセキュリティプロトコルを強化することを約束しました。 主な改善には、管理アカウントのより厳格な規制、サードパーティのアカウントのスタッフアカウントへのリンクの禁止、より堅牢なIP制限の実装が含まれます。 同社はセキュリティの失効を認め、引き起こされた不便さに対して深い後悔を表明しています。
コミュニティの対応は混在しており、開発者の透明性を称賛する人もいれば、アカウントのセキュリティを強化するための2要素認証(2FA)の即時実装を提唱する人もいます。 2FAの実装のタイムラインは不明のままですが、プレイヤーはパスワードを変更し、アカウント情報について警戒し続けるように促されます。
