Bản tóm tắt

• Grinding Gear Games, nhà phát triển Path of Exile 2, đã xác nhận vi phạm dữ liệu xảy ra vào tuần ngày 6 tháng 1 năm 2025.
• Vi phạm bắt nguồn từ một tài khoản nhà phát triển bị xâm phạm được liên kết với Steam.
• Dữ liệu bị xâm phạm bao gồm địa chỉ email của người chơi, ID hơi, địa chỉ IP và thông tin khác.

Trò chơi Gear Gear đã thừa nhận vi phạm dữ liệu ảnh hưởng đến đường dẫn lưu vong 2, do tài khoản quản trị nhà phát triển bị xâm phạm. Các nhà phát triển đã phác thảo các bước để tăng cường bảo mật tài khoản quản trị viên, ngăn chặn các vi phạm trong tương lai trên cả con đường lưu vong và con đường lưu vong 2 (chia sẻ một đăng nhập tài khoản duy nhất).

Sau khi ra mắt Access Access sớm vào tháng 12 năm 2024, Path of Exile 2 đã duy trì một cơ sở người chơi mạnh mẽ, được thúc đẩy bởi các bản cập nhật nhất quán và truyền thông nhà phát triển. Các bản cập nhật gần đây bao gồm cải tiến hiệu suất PlayStation 5 và sửa lỗi liên quan đến quái vật, kỹ năng và thiệt hại. Giải quyết các vi phạm dữ liệu chủ động đi trước việc phát hành Path of Exile 2 của bản vá chính tiếp theo.

Diễn đàn chính thức của Gear Games Path of Exile 2 đã đăng một thông báo chi tiết về vi phạm dữ liệu được phát hiện vào tuần ngày 6 tháng 1 năm 2025. Tài khoản quản trị của nhà phát triển đã bị xâm phạm, cấp quyền truy cập vào các công cụ thường được sử dụng bởi nhóm hỗ trợ khách hàng. Khóa tài khoản ngay lập tức và đặt lại mật khẩu bắt buộc cho tất cả các tài khoản quản trị viên tuân theo khám phá. Điều tra cho thấy tài khoản bị xâm phạm được liên kết với một tài khoản hơi cũ, chỉ có thử nghiệm, cung cấp cho kẻ tấn công đầy đủ thông tin để tiếp quản tài khoản. Mặc dù tài khoản Steam thiếu thông tin cá nhân hoặc lịch sử mua hàng, truy cập vào đường dẫn lưu vong của nhà phát triển cho phép thao tác các tài khoản khác thông qua cổng thông tin nhà phát triển.

Path of Exile 2 Nhà phát triển Trò chơi Gear Games xác nhận vi phạm dữ liệu liên quan đến tài khoản nhân viên bị xâm phạm

• Một "số lượng đáng kể" các tài khoản đã bị ảnh hưởng, với dữ liệu bị xâm nhập bao gồm địa chỉ email, ID hơi, địa chỉ IP, địa chỉ vận chuyển và mã mở khóa.

Kẻ tấn công đặt ngẫu nhiên mật khẩu trên 66 tài khoản và khai thác lỗi để xóa nhật ký hành động của họ. Trò chơi Gear Gear đã xác nhận lỗi này, chỉ ảnh hưởng đến việc xóa nhật ký, đã được sửa. Vi phạm cho phép truy cập vào thông tin tài khoản cho "số lượng đáng kể" tài khoản trên cổng thông tin nhà phát triển, hiển thị địa chỉ email, ID hơi, địa chỉ IP, địa chỉ vận chuyển và mã mở khóa.

Mặc dù mật khẩu và băm mật khẩu không có thể truy cập trực tiếp, nhưng các trò chơi Gear đã ghi nhận tiềm năng cho kẻ tấn công địa chỉ email tham chiếu chéo với các danh sách mật khẩu bị xâm phạm từ các trang web khác để bỏ qua các khóa vùng trên các tài khoản liên kết bằng hơi nước. Đối với một số tài khoản, giao dịch và lịch sử tin nhắn riêng với nhân viên của Grinding Gear Games cũng được xem. Để ngăn chặn sự tái phát, liên kết tài khoản của bên thứ ba với tài khoản nhân viên bị cấm và các hạn chế IP nghiêm ngặt hơn đáng kể.

Phản ứng của cộng đồng đối với vi phạm được trộn lẫn. Một số người chơi khen ngợi tính minh bạch của các nhà phát triển, trong khi những người khác ủng hộ xác thực hai yếu tố. Một phần đáng chú ý của cơ sở người chơi tìm kiếm bảo mật được cải thiện, nội dung trong trò chơi được nâng cao và điều chỉnh độ khó cuối cùng trong đường dẫn lưu vong 2.