知名動作角色扮演遊戲 Path of Exile 的開發商 Grinding Gear Games 披露了一起嚴重的資料洩露事件,該事件源於一個管理員賬戶被攻破。這次安全漏洞導致敏感使用者資訊洩露,影響了 Path of Exile 和 Path of Exile 2 眾多玩家的賬戶訪問許可權。
安全漏洞詳情
攻擊者透過一個被遺忘的連線到 Steam 的開發者測試賬戶作為入口,成功說服 Steam 客服授予他們訪問許可權。這個被攻破的賬戶擁有 Path of Exile 網站的管理許可權,使攻擊者能夠訪問客戶支援工具和敏感使用者資料。由於事件日誌系統存在漏洞,攻擊者能夠透過刪除密碼更改記錄來掩蓋他們的行為,從而加劇了此次入侵的影響。
攻擊範圍
此次入侵導致66個賬戶的密碼被攻擊者隨機更改。更令人擔憂的是,公司描述有大量賬戶的個人資訊遭到洩露。被洩露的資料包括電子郵件地址、Steam ID、IP地址、收貨資訊和區域解鎖碼。此外,交易歷史記錄和私人訊息(包括一些員工之間的通訊)也可能被訪問。
- 被強制更改密碼的賬戶數量:66個
- 洩露資料型別:
- 電子郵件地址
- Steam 賬戶ID
- IP 地址
- 收貨地址
- 區域解鎖碼
- 交易記錄
- 私信記錄
安全影響
攻擊者可能會將獲取的電子郵件地址與公開可用的密碼洩露列表進行交叉對比,這對於在多個服務中重複使用密碼的使用者造成額外的安全風險。這種能力與獲取的解鎖碼相結合,可能會導致賬戶區域限制被繞過。
補救措施
Grinding Gear Games 已經實施了多項即時安全改進。公司加強了IP限制,並禁止將第三方賬戶與員工賬戶關聯。他們還修復了允許攻擊者隱藏活動的審計日誌漏洞。但值得注意的是,遊戲仍然缺乏兩步驗證這一現在許多使用者都在要求的安全功能。
已實施的安全措施:
- 加強IP限制
- 取消員工第三方賬戶關聯
- 修復審計日誌系統
- 強制重置管理員賬戶密碼
使用者建議
強烈建議玩家更改密碼並檢查其賬戶安全設定。那些在多個服務中使用相同密碼的使用者應該特別警惕。在開發商繼續加強安全措施的同時,使用者應考慮為其遊戲賬戶設定強大且獨特的密碼,並定期監控賬戶活動是否存在可疑行為。