Les développeurs de Path of Exile 2 ont confirmé qu’un compte administrateur piraté permettait à un acteur menaçant de changer le mot de passe et d’accéder à au moins 66 comptes, expliquant enfin comment les comptes PoE 2 ont été piratés depuis novembre.
Le compte administrateur piraté a permis aux auteurs de la menace de changer les mots de passe d’autres comptes, nombre d’entre eux perdant leurs achats en jeu, y compris des objets de valeur qui ont pris des centaines d’heures à acquérir.
Cependant, une limite de temps dans la conservation des journaux empêche de déterminer la portée complète de l’incident, ce qui signifie potentiellement que davantage de comptes ont été compromis dans la violation.
Path of Exile 2 (PoE) est un jeu de rôle d’action solo et coopératif extrêmement populaire publié par Grinding Gear Games. C’est la suite du très acclamé « dark fantasy » free-to-play Path of Exile.
Bien qu’actuellement en accès anticipé, le titre bénéficie de critiques très positives sur Steam, où il a formé une communauté dédiée de dizaines de milliers de joueurs, et beaucoup d’autres attendent sa sortie finale avec beaucoup d’anticipation.
Les joueurs de PoE 2 ont signalé une vague de piratages de comptes sur les forums du jeu, notant que les comptes Steam et PoE autonomes avaient été piratés sans déclencher de demande de code d’authentification à deux facteurs.
Les personnes victimes de ces piratages se sont retrouvées brusquement déconnectées du jeu et de Steam.
Au moment où ils ont retrouvé l’accès avec l’aide du support Steam, ils ont découvert que les pirates avaient volé tous leurs objets en jeu, y compris des objets de valeur comme des Orbes divins et du matériel de fin de partie.
Selon les messages du forum des joueurs concernés, le support PoE leur a dit que les annulations et la restauration des objets volés sont impossibles, donc les dommages sont irréversibles.
Piraté via un ancien compte Steam
Tel que rapporté pour la première fois par 404 Media, Jonathan Rogers, directeur du jeu Path of Exile 2, a confirmé hier dans une interview accordée au podcast Tavern Talk de GhazzyTV, que le piratage s’était produit via un ancien compte Steam lié à l’un de leurs comptes d’administrateur, qui avait été compromis.
Les attaquants ont utilisé des détails partiels comme les quatre derniers chiffres de leurs informations de carte de crédit pour convaincre le support Steam de réinitialiser les informations d’identification et de prendre le contrôle du compte.
Cela a permis aux attaquants d’accéder au compte administrateur PoE 2 et d’accéder aux comptes d’autres joueurs.
Bien que non confirmée par les développeurs, une capture d’écran d’un prétendu panneau administratif de Path of Exile 2 a été partagée sur des sites comme Reddit, qui aurait été utilisé pour modifier les mots de passe des joueurs.
Pour aggraver les choses, lorsqu’un mot de passe de compte Path of Exile 2 était modifié, il l’enregistrait comme une note modifiable au lieu d’enregistrer la modification comme une entrée d’audit non modifiable.
« Il y avait en fait un bogue où l’événement de définition d’un nouveau mot de passe sur un compte était incorrectement étiqueté comme une note plutôt que comme un événement d’audit. »Rogers a déclaré dans l’interview.
« Cela signifiait que les notes so sont des éléments qui, comme le service client, peuvent être ajoutés aux comptes des gens et qu’ils peuvent les modifier et les supprimer. Ainsi, le changement de mot de passe étant une note pourrait être supprimé par un membre du service client euh accidentellement plutôt que euh euh euh comme ça plutôt que d’être là en permanence d’une manière que personne ne pourrait changer. »
« Cela signifiait donc que ce qui se passait était la personne qui avait réussi à obtenir un compte, ils compromettaient les comptes en envoyant un mot de passe aléatoire puis en supprimant le nœud par la suite. »
Alors que les développeurs analysent les journaux pour trouver les comptes affectés, ils sont en outre gênés par la politique de conservation des journaux de l’entreprise, qui a entraîné la suppression de certains journaux au moment où le compte administrateur a été compromis.
« En fait, il y a eu les cinq jours de novembre pour lesquels nous n’avions pas de journaux, puis après ce moment, il y avait 66 comptes dont les notes avaient été supprimées », a poursuivi Rogers.
Les développeurs ont admis des erreurs et des failles de sécurité dans le backend du jeu qui auraient pu empêcher les attaques, déclarant: « nous avons totalement merdé ici. »
Grinding Gear Games a assuré à ses joueurs que plusieurs mesures de sécurité avaient été introduites après l’incident, notamment la suppression de la possibilité de lier des comptes Steam à des comptes administratifs.
Cependant, pour les comptes qui ont été touchés, Grinding Gear Games n’a annoncé aucun plan pour indemniser ces joueurs. Au lieu de cela, en disant qu’il n’y a aucun moyen de restaurer les objets volés.