Notification de violation de données

La semaine dernière, nous nous sommes rendus compte qu’un compte PoE appartenant à l’un de nos développeurs et possédant un accès administrateur pour le site web a été compromis. Cela a donné à la personne derrière cette atteinte un accès aux outils disponibles aux employés de notre service client.

Nous avons immédiatement bloqué le compte et procédé à une réinitialisation des mots de passe de tous les autres comptes administrateurs. Nous avons ensuite procédé à une investigation de ce qui s’est passé.

Le compte PoE en question était lié à un vieux compte Steam qui a été créé il y a longtemps par un développeur afin de procéder à des tests et n’avait effectué aucun achat. Il a été compromis lorsque le pirate a été en mesure de donner suffisamment d’informations au service client de Steam afin de voler le compte.

Puisqu’il s’agissait d’un compte Steam qui n’avait aucun achat, numéro de téléphone, adresse ou autres informations personnelles indiqués, la seule information nécessaire pour le récupérer a été de fournir son adresse mail, nom de compte et d’utiliser un VPN du même pays.

Le pirate a mis des mots de passe aléatoires sur 66 comptes. Malheureusement, il y avait un bug dans le journal des évènements pour cette action en particulier qui a permis au pirate d’effacer l’évènement signalant que le changement de mot de passe avait eu lieu. Ce bug n’existe pas pour d’autres actions et a été corrigé depuis.

Le pirate a également pu voir les informations d’un nombre significatif de comptes à travers notre portail

Voici les informations auxquelles il a eu accès pour ces comptes :

• Adresse email si le compte en avait une associée.
• ID Steam si le compte en avait un associé
• Adresse IP utilisée par le compte
• Adresse de livraison si le compte avait reçu des livraisons de produits dérivés
• Code de déverrouillage des comptes verrouillés en raison d’une connexion depuis une région différente.

Aucun mot de passe ou bribe de mot de passe n’est accessible à travers le portail du service client.

De plus, pour certains comptes, le pirate a regardé l’historique d’achat de microtransactions, ce qui lui a permis d’accéder à une liste des achats précédemment effectués.

Le pirate a également regardé l’historique des messages privés d’un certain nombre de comptes, la plupart appartenant au personnel de GGG.

Il est probable que le pirate est en mesure de comparer les adresses email trouvées en utilisant notre portail avec des listes publiques de mots de passe compromis sur d’autres sites, afin de trouver des comptes qui partagent le même mot de passe avec leur compte PoE. Le cas échéant, il aurait été en mesure de passer outre le verrouillage régional en utilisant le code de déverrouillage.

Nous avons pris des mesures afin de nous assurer qu’il y ait davantage de mesures de sécurité autour des comptes administrateurs afin que cela ne se reproduise plus. Désormais, il n’est plus possible de lier des comptes d’un service tiers avec un compte administrateur et nous avons ajouté des restrictions d’IP bien plus rigoureuses.

Nous sommes profondément désolés pour cette faille de sécurité. Les mesures prises pour sécuriser le site web auraient dû être mises en place avant que cela ne se produise. À l’avenir, nous allons prendre davantage encore de précautions afin de nous assurer que ce genre de problème ne se reproduise plus jamais.