«Мы тотально облажались»: разработчики Path of Exile 2 допустили взлом как минимум 66 аккаунтов игроков

Недавняя хакерская атака на студию Grinding Gear Games (GGG) вскрыла системные ошибки в защите данных игроков Path of Exile 2. Злоумышленник получил доступ к аккаунту администратора официального сайта игры, использовав заброшенную учетную запись Steam и уязвимость в программном обеспечении студии. В результате под угрозой оказались данные как минимум 66 пользователей, но, по признанию руководства, реальное число пострадавших может быть значительно выше.

Схема атаки: как хакер обошел защиту

По словам руководителя разработки Path of Exile 2 Джонатана Роджерса, инцидент начался с того, что злоумышленник убедил службу поддержки Steam в том, что он является владельцем заброшенного аккаунта. Для этого он предоставил информацию о кредитной карте, привязанной к учетной записи. После восстановления доступа к Steam хакер смог перехватить контроль над административным аккаунтом на сайте GGG.

Критическая уязвимость в системе аудита

Самой опасной проблемой стала ошибка в архитектуре безопасности самой студии. Выяснилось, что система регистрировала сбросы паролей не как события аудита, а как обычные заметки. Это позволило хакеру бесследно удалять доказательства своих действий. «Я не владею всей информацией о масштабе произошедшего, но могу сказать, что были удалены 66 заметок, то есть потенциально взломаны 66 аккаунтов», — заявил Роджерс, добавив, что журнал аудита хранит данные только за последние 30 дней.

Реакция Grinding Gear Games: признание ошибок

Вместо стандартных заверений в безопасности, руководство GGG пошло на беспрецедентное признание собственной халатности. «С тех пор мы реализовали дополнительные меры безопасности, которые по-хорошему должны были быть на месте для решения проблемы. Всё это говорит о том, что мы тотально облажались», — цитирует Роджерса издание. Студия уже выпустила патч 0.1.1, который, как ожидается, закроет выявленные бреши.

Платный ранний доступ Path of Exile 2 стартовал 6 декабря 2024 года на PC (Steam, EGS, отдельный клиент), PS5, Xbox Series X и S. Игра сразу привлекла миллионы пользователей, что сделало её привлекательной целью для киберпреступников.

Инцидент с GGG — не единичный случай в игровой индустрии. Ранее крупные утечки данных происходили у таких гигантов, как Electronic Arts и CD Projekt Red. Однако в случае с Path of Exile 2 речь идет не о внешней атаке на серверы, а об использовании человеческого фактора и банальной ошибки в логике работы внутреннего ПО. Это ставит под сомнение общий уровень кибергигиены в компаниях, которые управляют крупными онлайн-сервисами.

Для игроков этот случай — тревожный звонок. Даже если разработчик обещает исправить ошибки, доверие к системе безопасности подорвано. Пользователям рекомендуется немедленно сменить пароли от учетных записей Path of Exile, а также проверить, не использовались ли те же данные для доступа к другим сервисам. В долгосрочной перспективе индустрии потребуется внедрение более строгих стандартов аудита и многофакторной аутентификации, особенно для административных аккаунтов.