データ侵害のお知らせ

先週、弊社の開発者の1人が所有する、ウェブサイトへの管理者アクセス権を持つPoEアカウントが侵害されたことが判明しました。これにより、カスタマーサポートエージェントが使用するツールにアクセスできるようになりました。

我々は直ちに対象のアカウントをロックし、他のすべての管理者アカウントのパスワードを強制的にリセットしました。それに続き、何が起こったのかの調査を開始しました。

問題のPoEアカウントは、以前開発者がテスト用に作成した古いSteamアカウントにリンクされており、そのアカウントには購入履歴はありませんでした。侵害は、攻撃者がSteamサポートに十分な情報を提供することでアカウントを盗むことができた際に発生しました。

このアカウントは通常のSteamアカウントであり、購入内容、電話番号、住所、その他の情報が関連付けられていなかったため、サポートに提供する必要があった情報はメールアドレス、アカウント名、および同じ国のVPNを使用していることだけでした。

攻撃者は66のアカウントにランダムなパスワードを設定しました。残念ながら、この特定のサポートアクションのイベントログにバグがあり、攻撃者が変更が発生したことを示すイベントを削除することができていました。このバグは他のサポートアクションには存在せず、現在は修正されています。

攻撃者は、ポータルを通じて多数のアカウントのアカウント情報も閲覧しました。

これらのアカウントでは、次の個人情報にアクセス可能でした:

• アカウントにメールアドレスが関連付けられている場合は、そのメール アドレス
• アカウントにSteam IDが関連付けられている場合は、そのSteam ID
• アカウントが使用していたIPアドレス
• アカウントに以前に物理的な商品が送られていた場合の配送先住所
• 別の地域からのログインによりロックされたアカウントのロックを解除するための現在のロック解除コード

カスタマーサービスポータルからは、パスワードやパスワードハッシュは閲覧できませんでした。

さらに、攻撃者が以前の購入リストを表示する取引履歴を調べたアカウントがいくつか存在します。

攻撃者がアカウントのプライベートメッセージ履歴を調べたアカウントも存在します。これらの多くはGGGスタッフ宛でした。

攻撃者は、弊社のポータルを使用して見つけたメールアドレスを、他のウェブサイトから公開されている侵害されたパスワードのリストと照合することで、PoEアカウントと同じパスワードを共有しているアカウントを見つけ出した可能性があります。もしそうであれば、攻撃者はアンロックコードを使用してリージョンロックを回避することができたはずです。

このようなことが二度と起こらないよう、管理者アカウントに関するセキュリティ対策を強化する対策を講じました。サードパーティのアカウントをスタッフのアカウントにリンクすることは許可されておらず、より厳格なIP制限が追加されました。

この度のセキュリティ上の欠陥について、深くお詫びいたします。管理ウェブサイトのセキュリティを確保するための対策はすでに講じられており、今後はこの種の問題が二度と発生しないように、さらに多くの措置を講じる予定です。