Notificação de Violação de Dados

Na semana passada nós ficamos sabendo que uma conta do PoE com acesso administrativo ao website detida por um de nossos desenvolvedores havia sido comprometida. Isso permitiu o acesso às ferramentas que nossos agentes de suporte ao cliente utilizam.

Nós travamos a conta imediatamente e forçamos uma nova senha em todas as contas administrativas. Nós, então, começamos a investigar o ocorrido.

A conta do PoE em questão estava vinculada a um antigo sistema de contas da steam que foi criado por um desenvolvedor para testes há muito tempo e não tinha nenhuma compra nela. A violação aconteceu quando o invasor conseguiu dar informações suficientes ao suporte steam para roubar a conta.

Já que a conta era normal e não tinha nenhuma compra, número de telefone, endereço ou outras informações associadas a ela, a única coisa que ele precisou fazer foi passar o e-mail vinculado, nome da conta e utilizar uma VPN do mesmo país.

Ele configurou senhas aleatórias em 66 contas. Infelizmente houve um bug no log de eventos para esta ação de suporte em particular que permitiu que ele excluísse o evento que mostrava que a mudança ocorreu. Este bug não existe para outras ações do suporte e já foi corrigido.

O invasor também viu informações de uma quantidade significativa de contas através do nosso portal.

Ele conseguiu ver as seguintes informações privadas das contas em questão:

• Endereço de e-mail caso a conta tivesse um associado
• ID da Steam se a conta tivesse uma associada
• Endereço de IP que a conta usou
• Endereço para envio, caso a conta tenha recebido um envio de bens materiais
• Código de Destravamento atual para destravar contas travadas devido ao login em região diferente.

Nenhuma senha ou hashes de senhas estavam visíveis no portal do suporte. Junto a isso, existem também algumas contas que ele viu o histórico de transações que teria mostrado uma lista de compras anteriores.

Também existem contas que ele viu o histórico de mensagens privadas na conta. Várias delas sendo de funcionários da GGG.

É possível que o invasor tenha conseguido comparar endereços de e-mail encontrados usando nosso portal com listas públicas de senhas comprometidas de outros websites para encontrar contas que compartilham a mesma senha com sua conta do PoE. Se este foi o caso, ele conseguiria passar o travamento por região usando o código de destravamento.

Nós tomamos medidas para nos certificar de que mais medidas de segurança para as contas administrativas sejam aplicadas para que isso não aconteça novamente. Nenhuma conta de terceiros pode mais ser vinculada a nenhuma conta de funcionários e nós adicionamos restrições de IP significativamente mais fortes.

Sentimos muitíssimo mesmo por esta brecha na segurança. As medidas tomadas para assegurar as contas administrativas no website já devem estar funcionando e no futuro nós tomaremos ainda mais cuidados para nos assegurar de que este tipo de problema não aconteça novamente.