Cuenta traidora: hackers roban a jugadores de Path of Exile 2

Los desarrolladores de Path of Exile 2 confirmaron que un hackeo a la cuenta de un administrador permitió a los hackers acceder a las cuentas de 66 jugadores. Esto explica la ola de hackeos que los jugadores han enfrentado desde noviembre de 2024.

A través de la cuenta comprometida, los atacantes pudieron cambiar las contraseñas de otros usuarios, lo que resultó en la pérdida de objetos dentro del juego, algunos de los cuales requirieron cientos de horas para ser recolectados. Las limitaciones en la retención de registros no permitieron determinar el alcance total del incidente, por lo que podría haber más cuentas afectadas.

Path of Exile 2 es un popular RPG de Grinding Gear Games que actualmente se encuentra en acceso anticipado. El juego ya ha reunido una amplia audiencia y recibido numerosas críticas positivas. Sin embargo, los crecientes informes en los foros sobre hackeos de cuentas han generado preocupación entre los jugadores. Muchos afirman que sus perfiles de Steam y Path of Exile fueron atacados sin ningún requerimiento de autenticación en dos pasos.

Los jugadores afectados descubrieron que habían sido expulsados del juego, y al recuperar el acceso a través del soporte de Steam, todos los objetos valiosos y el equipo único habían sido robados. El soporte técnico de Path of Exile confirmó que la restauración de los objetos y datos perdidos no era posible.

Aunque los desarrolladores no han confirmado la información, en Reddit se publicó una captura de la supuesta interfaz administrativa de Path of Exile 2, que presuntamente fue utilizada para cambiar las contraseñas de los jugadores.

Supuesto panel de administración de Path of Exile 2 (Reddit)

Según las declaraciones del director del juego, Jonathan Rogers, el ataque se realizó a través de una cuenta antigua de Steam vinculada al perfil del administrador. Los ciberdelincuentes utilizaron los últimos cuatro dígitos de una tarjeta de crédito para convencer al soporte de Steam de restablecer las credenciales de la cuenta.

Además, una vulnerabilidad en el sistema de Path of Exile 2 permitía eliminar registros sobre cambios de contraseña. Rogers explicó que, en lugar de realizar una auditoría adecuada, los cambios de contraseña se registraban como notas editables, lo que permitía eliminar esta información.

En sus intentos por mitigar las consecuencias del incidente, los desarrolladores se enfrentaron a dificultades debido a las políticas de retención de registros, que resultaron en la eliminación de datos de los días en que se hackeó la cuenta. Como resultado, la compañía identificó 66 cuentas donde las notas habían sido eliminadas.

Grinding Gear Games reconoció los errores en su sistema de seguridad y aseguró que tras el incidente se implementaron medidas adicionales. Entre ellas, la prohibición de vincular cuentas de Steam a perfiles administrativos. Sin embargo, los desarrolladores no contemplaron compensaciones para los jugadores afectados, señalando que la restauración de los objetos robados no era posible.