Notificación sobre filtración de datos

La semana pasada descubrimos que una cuenta de PoE de uno de nuestros desarrolladores, que tenía acceso de administrador en la página web, se había visto comprometida. Esto le dio acceso al atacante a las herramientas que usa nuestro equipo de soporte.

Bloqueamos la cuenta inmediatamente y forzamos cambios de contraseña para todas las cuentas de administrador. Posteriormente, comenzamos a investigar lo que había ocurrido.

La cuenta de PoE en cuestión estaba vinculada a una cuenta vieja de Steam que fue creada por un desarrollador para hacer pruebas hace mucho tiempo, y no había realizado ninguna compra. La usurpación de la cuenta se dio cuando el atacante pudo suministrar información suficiente al soporte de Steam para robar la cuenta.

Como la cuenta era una cuenta regular de Steam y no había efectuado ninguna compra, ni tenía teléfono, dirección ni nada más asociado, la única información que el atacante tuvo que suministrar fue el correo electrónico, el nombre de la cuenta, y usar una VPN del país correspondiente.

El atacante estableció contraseñas aleatorias en 66 cuentas. Desafortunadamente, había un error en el registro de eventos para esta acción particular de soporte, lo que permitió al atacante eliminar el evento que mostraba el cambio efectuado. Este error no existe para ninguna otra acción de soporte, y además ya ha sido corregido.

Además, el atacante pudo visualizar información de una gran cantidad de cuentas a través de nuestro portal.

El atacante tuvo acceso a la siguiente información privada de esas cuentas:

• Correo electrónico, si la cuenta tenía uno asociado
• ID de Steam, si la cuenta tenía una asociada
• Direcciones IP usadas por esa cuenta
• Dirección postal, si la cuenta había recibido productos físicos en algún momento
• Código de desbloqueo actual para desbloquear cuentas que habían sido bloqueadas por conectarse desde una región diferente

No se pueden ver ni contraseñas ni hashes de contraseñas mediante el portal de servicio al cliente.

Además, en algunas cuentas el atacante revisó el historial de transacciones, el cual muestra el listado de compras anteriores.

En otras cuentas, el atacante revisó el historial de mensajes privados de la cuenta. Muchos de estos son para el equipo de GGG.

Es probable que el atacante haya podido comparar las direcciones de correo electrónico que encontró usando nuestro portal con listas disponibles de forma pública de contraseñas comprometidas de otras páginas para encontrar cuentas que tuvieran la misma contraseña en su cuenta de PoE. Si ese fue el caso, deben haber podido evitar el bloqueo de región usando el código de desbloqueo.

Hemos tomado medidas para asegurarnos de que haya más seguridad en las cuentas de administrador para que esto no pueda volver a ocurrir. Ninguna cuenta de terceros podrá estar vinculada a cuentas del equipo, y hemos agregado restricciones de IP más severas.

Estamos sumamente apenados por este fallo de seguridad. Las medidas que hemos tomado para brindar mayor seguridad a la página de administradores ya deberían haber estado allí en primer lugar, y de aquí en adelante iremos más allá para asegurarnos de que algo así nunca vuelva a pasar.