Взлом Steam: сверхлегкая смена чужого пароля [Epic fail]

В системе безопасности крупнейшей игровой платформы Steam, разработанной компанией Valve, обнаружена серьезная уязвимость— 25 июля на YouTube была загружена видеодемонстрация эксплуатации ошибки.

Злоумышленник мог скомпрометировать учетную запись пользователя Steam благодаря некорректной работе функции восстановления пароля — система принимала в качестве верного кода даже пустое значение (!). В результате взломщик получал возможность сброса пароля учетной записи. Для проведения успешной атаки требовалось знать лишь имя аккаунта пользователя. При этом злоумышленник не мог узнать email пользователя Steam или его старый пароль.

Пошаговая инструкция:

Spoiler

Если у вас какие-либо ошибки появляются, то просто качаете любой VPN, заходите под проксями и спокойно делаете то, что делали до этого.

1. Нажимаем "забыли пароль".
2. Нажимаем "я не помню пароль или имя аккаунта steam".

3. Вводим логин жертвы.

4. Нажимаем "отправить код востановления на...".

5. Жмём "продолжить".

6. Ставим новый пароль.

7. Входим под новым паролем.
Источник: http://miped.ru/steam/7754-kak-vzlomat-lyuboy-akkaunt-v-steam-po-loginu.html

Проблема широко обсуждается пользователями ресурса Reddit.

По сообщению издания Master Herald, Valve уже исправила ошибку безопасности, однако компания до сих пор не представила данных о том, какое количество учетных записей могло быть скомпрометировано таким образом. Тем не менее, пользователи, чьи учетные записи были скомпрометированы, получили письмо следующего содержания:

"Дорогой пользователь Steam, 25 июля мы обнаружили в системе Steam ошибку, которая могла привести к возможности сброса пароля на вашем аккаунте в период с 21 по 25 июля. Сейчас ошибка устранена.

Чтобы защитить пользователей сервиса, мы сбрасываем пароли учетных записей, пароли к которым были изменены в указанный период. Вы получите письмо с вашим новым паролем. После получения письма, рекомендуется зайти в свой Steam-аккаунт и задать новый пароль.

Особенно отмечаем, что несмотря на то, что злоумышленники могли изменить пароль вашей учетной записи в указанный период, они не могли узнать сам пароль. Если вы активировали функцию Steam Guard, то ваш аккаунт был защищен от несанкционированного доступа даже в случае сброса пароля."

Несмотря на то, что дыра в механизме восстановления паролей уже закрыта, злоумышленники успели взломать множество Steam-аккаунтов. В числе пострадавших даже некоторые известные «стримеры» с ресурса Twitch (например, RTZ и Resolut1on) — узнать их имя пользователя в системе Steam легко можно с помощью «стрима» игрового процесса. По сообщениям профильных блогов, посвященных играм, пользователи, активировавшие защитную функцию Steam Guard, не были подвержены атаке.

Источник: https://habrahabr.ru/post/263607/

Что интересно, народ пытался сбросить и пароль самого Гейба: [email protected] , но видимо желающих было очень много. Потому что при попытке поиска аккаунта с этим мылом получали сообщение:
"Достигнуто максимальное число попыток восстановить данный аккаунт.
Пожалуйста, повторите попытку спустя некоторое время."

 

Хе,реально Epic

 

Как такой элементарный баг мог оставаться незамеченым многие годы?

 

Если верить Steam-у, то лишь в период с 21 по 25 июля.

 

его пофиксили 25 ночью
кто успел тот взял)

 

Почему многие годы? Наверняка он появился после очередного планового обновления сервиса.

 

Что же за нубы такие, которые не используют Steam Guard(

 

большая часть контингента стима школота, которая не особо беспокоится о безопасности.