Path of Exile 2 sorgt aktuell nicht nur mit seinen knallharten Kämpfen für Schlagzeilen, sondern auch mit einer gravierenden Sicherheitslücke.
Insgesamt 66 Spielerkonten wurden kompromittiert – und die Zahl könnte sogar noch höher liegen. Eine Kombination aus einem gehackten Admin-Account und einem Softwarefehler machte es Angreifern leicht, in Spieleraccounts einzudringen und wertvolle Gegenstände zu stehlen.
So wurde Path of Exile 2 gehackt
Der Ursprung des Problems war ein alter, nicht mehr genutzter Steam-Account, der immer noch mit einem Admin-Konto auf der Website von Grinding Gear Games verknüpft war, wie Game Director Jonathan Rogers in einem Interview verrät.
Über Social Engineering
gelang es dem Angreifer, den Steam Support davon zu überzeugen, die Zugangsdaten des Accounts zurückzusetzen. Dabei reichten offenbar einfache Daten wie die letzten vier Ziffern einer Kreditkarte und die Rechnungsadresse aus, um die Identität zu bestätigen.
Mit Zugriff auf den Admin-Account konnten die Hacker Passwörter anderer Spieler ändern und so auf deren Accounts zugreifen.
Besonders brisant: Ein Bug in der Server-Software sorgte dafür, dass Passwortänderungen als Notizen
und nicht als unveränderbare Audit Events
gespeichert wurden. Diese Notizen konnten vom Angreifer nach der Passwortänderung einfach gelöscht werden – womit alle Spuren verwischt wurden.
7:45
Path of Exile 2: Was steckt in Patch 0.1.1? Die Entwickler verraten es im Video
Die Folgen für betroffene Spieler
Die betroffenen Spieler wurden mitten im Spiel plötzlich ausgeloggt. Als sie sich mithilfe des Steam-Supports wieder einloggen konnten, waren ihre Accounts bereits geplündert. Hochwertige Gegenstände wie Divine Orbs und mühsam erspieltes Endgame-Gear waren verschwunden.
Besonders bitter: Laut dem Support von Path of Exile 2 gibt es keine Möglichkeit, gestohlene Items wiederherzustellen oder Accounts zurückzusetzen. Ein Rollback sei technisch schlicht unmöglich – der Verlust ist also endgültig.
Wie geht Grinding Gear Games mit dem Vorfall um?
Jonathan Rogers räumte den Vorfall offen ein und zeigte sich sichtlich frustriert über die Sicherheitslücke:
Wir haben es hier bei den Sicherheitsmaßnahmen komplett versaut.
Als direkte Konsequenz hat GGG nun mehrere Maßnahmen ergriffen, um solche Vorfälle in Zukunft zu verhindern. Unter anderem ist es jetzt nicht mehr möglich, Steam-Accounts mit Administrator- oder Kundendienst-Accounts zu verknüpfen. Zudem wurden weitere Sicherheitsvorkehrungen implementiert, um ähnliche Sicherheitslücken zu schließen.
Obwohl diese Sicherheitsmaßnahmen zukünftige Angriffe verhindern sollen, bleibt unklar, ob betroffene Spieler eine Entschädigung erhalten, womöglich in Form der Ingame-Shop-Währung. Für die Betroffenen ist das besonders bitter, da die gestohlenen Items oft das Ergebnis von Hunderten Stunden harter Arbeit waren – und sie selbst keinerlei Schuld an diesem Vorfall tragen.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.