HackerNews 编译,转载请注明出处:
《流放之路2》开发团队证实,一名黑客通过破解的管理员账号修改了密码,并访问了至少66个玩家账号。这一事件终于解释了自去年11月以来,《流放之路2》(PoE 2)玩家账号频繁被盗的原因。
被攻破的管理员账号使黑客能够更改其他玩家账号的密码,导致许多玩家的游戏内购买物品丢失,包括他们耗费数百小时才获得的珍贵物品。
然而,由于日志保留的时间限制,目前无法确定此次事件波及的确切范围,这意味着可能有更多账号在此次攻击中失窃。
《流放之路2》是一款由Grinding Gear Games发行的极受欢迎的单人和合作动作角色扮演游戏,是备受赞誉的“黑暗幻想”免费游戏《流放之路》的续作。
尽管目前仍处于抢先体验阶段,但这款游戏在Steam上好评如潮,已经形成了一个由数万名玩家组成的忠实社区,还有更多玩家翘首以盼其正式发行。
《流放之路2》的玩家在游戏论坛上报告称,近期出现了一波账号被盗事件。他们发现,无论是Steam账号还是独立的PoE账号,在未被触发双重身份验证代码请求的情况下就被攻破了。
这些受害者在被黑客攻击后突然退出游戏和Steam。当他们通过Steam客服的帮助重新登录时,发现黑客已经盗走了他们所有的游戏内物品,包括珍贵的神圣宝珠和终极装备。
据受害玩家在论坛上的帖子称,PoE客服告诉他们,无法回滚账号或恢复被盗物品,因此损失无法挽回。
通过旧Steam账号被盗取的管理员权限
据404 Media首次报道,昨日,《流放之路2》游戏总监乔纳森·罗杰斯在接受GhazzyTV的《酒馆谈话》播客采访时确认,此次黑客攻击是通过一个与他们的管理员账号相关联的旧Steam账号进行的,该账号已被攻破。
黑客利用部分信息,如信用卡的最后四位数字,说服Steam客服重置凭据并控制了该账号。
这使得黑客能够访问《流放之路2》的管理员账号,并进一步访问其他玩家的账号。
虽然开发团队尚未确认,但Reddit等网站上分享了一张所谓的《流放之路2》管理面板的截图,据称该面板被用于修改玩家的密码。
更糟糕的是,当《流放之路2》的账号密码被更改时,它会被记录为一个可编辑的备注,而不是作为一个不可编辑的审计条目进行记录。
“实际上,存在一个漏洞,即将新密码设置为账号的事件被错误地标记为备注,而不是像审计事件那样。”罗杰斯在采访中说道。
“这意味着备注是客户服务人员可以添加到玩家账号上的内容,他们可以编辑和删除它们。因此,将密码更改标记为备注可能会被客户服务人员意外删除,而不是以任何人都无法更改的方式永久保留。”
“因此,这实际上意味着,那些成功获取账号的人,他们是通过发送一个随机密码来攻击账号,然后在之后删除该备注。”
虽然开发团队正在分析日志以查找受影响的账号,但公司的日志保留政策却进一步阻碍了他们的努力。该政策导致在管理员账号被攻破期间,一些日志被删除。
“实际上,去年11月有五天我们没有日志,之后有66个账号的备注被删除,”罗杰斯继续说道。
开发团队承认游戏后端存在错误和安全漏洞,这些漏洞本可预防此次攻击。他们表示:“我们这次彻底搞砸了。”
Grinding Gear Games向玩家保证,事件发生后,已经采取了多项安全措施,包括取消将Steam账号与管理员账号关联的功能。
然而,对于那些受影响的账号,Grinding Gear Games并未宣布任何补偿计划,而是表示无法恢复被盗物品。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
