Path of Exile 2 Nhà phát triển xác nhận vi phạm dữ liệu từ tài khoản nhân viên bị xâm phạm
Grinding Gear Games, nhà phát triển đằng sau Path of Exile 2, đã xác nhận vi phạm dữ liệu ảnh hưởng đến một số lượng đáng kể các tài khoản người chơi. Vi phạm, phát hiện ra tuần ngày 6 tháng 1 năm 2025, xuất phát từ một tài khoản nhà phát triển bị xâm nhập được liên kết với Steam.
Vi phạm chi tiết:
Truy cập trái phép đã cấp cho kẻ tấn công khả năng sử dụng các công cụ hỗ trợ khách hàng của Path of Exile 2. Do đó, thông tin người chơi nhạy cảm đã bị xâm phạm, bao gồm địa chỉ email, ID Steam, địa chỉ IP, địa chỉ vận chuyển và mã mở khóa. Mặc dù mật khẩu và băm mật khẩu không thể truy cập trực tiếp, nhưng nguy cơ nhồi thông tin vẫn là do sự tiếp xúc của địa chỉ email. Trong một số trường hợp, lịch sử giao dịch và tin nhắn riêng tư cũng được xem.
Tác động và phản hồi:
Kẻ tấn công đã quản lý để thay đổi mật khẩu trên 66 tài khoản và khai thác một lỗi để xóa các nhật ký có liên quan. Lỗi này, kể từ khi được vá, chỉ bị ảnh hưởng xóa nhật ký và không phải là các chức năng hỗ trợ khác. Grinding Gear Games đã triển khai các biện pháp bảo mật ngay lập tức, bao gồm khóa tài khoản, đặt lại mật khẩu cho tài khoản quản trị viên và xóa liên kết tài khoản của bên thứ ba cho nhân viên. Các hạn chế IP chặt chẽ hơn cũng đã được đưa ra.
Phản ứng cộng đồng và các bước trong tương lai:
Phản ứng của cộng đồng rất đa dạng, với một số khen ngợi tính minh bạch của nhà phát triển trong khi những người khác ủng hộ việc thực hiện xác thực hai yếu tố. Nhiều người chơi thể hiện mong muốn nâng cao các biện pháp bảo mật và cải thiện hơn nữa đối với cả nội dung trong trò chơi và độ khó kết thúc.
Tóm tắt dữ liệu bị xâm phạm: Một lượng dữ liệu người chơi đáng kể đã được truy cập, bao gồm địa chỉ email, ID hơi, địa chỉ IP, địa chỉ vận chuyển và mã mở khóa. Truy cập vào giao dịch và lịch sử tin nhắn riêng tư xảy ra trong một số trường hợp. Tuy nhiên, bản thân mật khẩu không bị xâm phạm trực tiếp.
Vụ việc nêu bật những thách thức đang diễn ra trong việc duy trì bảo mật trực tuyến mạnh mẽ và tầm quan trọng của các biện pháp chủ động để bảo vệ dữ liệu người dùng.