摘要
- Grinding Gear Games,Path of Exile 2 的開發商,確認於 2025 年 1 月 6 日當週發生資料外洩事件。
- 此次外洩源自一個與 Steam 連結的開發者帳戶遭竊。
- 被洩露的玩家資料包括電子信箱、Steam ID、IP 位址及其他相關資訊。
Grinding Gear Games 已確認,由於一名開發人員的管理帳戶遭入侵,導致 Path of Exile 2 發生資料外洩事件。該團隊亦說明了立即採取的措施,以強化管理帳戶的安全性,並防止未來在 Path of Exile 2 及其前作(兩者共用統一登入系統)發生類似事件。
自 2024 年 12 月進入早期測試以來,Path of Exile 2 透過持續更新與開發團隊的透明溝通,維持了穩定的玩家基礎。最近一次更新優化了 PlayStation 5 的效能表現,並解決了怪物、技能與傷害相關的問題。下一個重大補丁即將推出,Grinding Gear Games 在玩家重返遊戲體驗新內容之前,已針對此次資料外洩事件做出回應。
5
Grinding Gear Games 已在其官方 Path of Exile 2 論壇發布通知,確認於 2025 年 1 月 6 日當週意識到此次外洩事件。一名開發人員的管理帳戶遭竊,使攻擊者取得客服團隊所使用的工具存取權。發現後,團隊立即鎖定該帳戶,並要求所有其他管理帳戶強制重設密碼。進一步調查顯示,遭竊帳戶與一個舊的 Steam 測試帳戶相關聯,攻擊者因此獲得足夠資訊完全掌控該帳戶。儘管該 Steam 帳戶無任何購買紀錄或個人資料關聯,但攻擊者透過該帳戶存取開發者之 Path of Exile 帳戶,得以透過開發者管理介面操控其他帳戶。
Path of Exile 2 開發商 Grinding Gear Games 確認因員工帳戶遭竊導致資料外洩
- 外洩影響「大量」帳戶。
- 被竊取的資料包含電子信箱、Steam ID、IP 位址、寄送地址及解鎖代碼。
攻擊者在 66 個帳戶上設定隨機密碼,且因一個漏洞,使其得以刪除記錄變更內容的活動紀錄。Grinding Gear Games 已確認該漏洞已修復,且不會影響其他支援功能,但該漏洞使攻擊者能於開發者管理介面檢視「大量」使用者的帳戶資訊。結果導致電子信箱、Steam ID、IP 位址、寄送地址及解鎖代碼遭洩露。
雖然透過客服平台無法取得密碼或密碼雜湊值,但 Grinding Gear Games 指出,攻擊者可能將外洩的電子信箱與其他資料外洩事件中的密碼清單進行比對,進而繞過 Steam 連結的 Path of Exile 2 帳戶區域鎖定機制。對於部分受影響帳戶,攻擊者亦查看了交易紀錄及 Grinding Gear Games 工作人員發送的私人訊息。為防止再發生,現已禁止員工帳戶與第三方帳戶連結,並實施更嚴格的 IP 位址限制。
玩家對此次外洩事件反應不一——部分讚揚開發團隊的透明度,也有玩家呼籲應為 Path of Exile 2 帳戶啟用兩階段驗證。可明顯看出,許多玩家期望提升安全性措施,並進一步強化遊戲內內容與終局難度。
