Steam z poważną luką, ale Valve szybko ochroniło swoich użytkowników

O autorze

Mateusz Budzeń

@Scorpions.B

Bardziej ceni wygląd niż wydajność. Fan gadżetów, smukłych laptopów, zgrabnych smartfonów i motoryzacji, zwłaszcza tej niemieckiej.

Na Steamie została wykryta poważna luka, która naraża użytkowników na niebezpieczeństwo. Atakujący z jej wykorzystaniem mogli przejąć kontrolę nad kontem, uzyskać dostęp do danych i dokonać zakupów. Na szczęście, firma Valve szybko zareagowała na zgłoszenie.

Podatność typu XSS została odkryta przez użytkownika Reddita i działała zarówno na komputerach, jak i w mobilnej wersji, bez względu na wykorzystywaną przeglądarkę internetową. Co gorsza, paść ofiarą było niezwykle łatwo – wystarczyło wejść w odpowiednio przygotowany profil innego użytkownika, który nie różnił się od typowego konta na Steamie.

Atakujący mógł przygotować spreparowany link, który przekierowuje na dowolną stronę, także taką podszywającą się pod Steam z ekranem logowania. Wówczas nieświadomy użytkownik mógł podać swój login i hasło, udostępniając dane atakującemu. Napastnik mógł m.in. zyskać dostęp do wirtualnego portfela i korzystać z niego, bez konieczności potwierdzenia transakcji ze strony użytkownika.

Użytkownik R3TR1X poinformował, że do momentu wyeliminowania luki, odradza się oglądania nieznanych i podejrzanych profili innych graczy. Ponadto by zwiększyć bezpieczeństwo, należało wyłączyć JavaScript w przeglądarce internetowej. Najlepszym rozwiązaniem było oczywiście wstrzymanie się w przeglądaniu zasobów platformy Valve.

Zagrożenie dotyczyło wszystkich użytkowników i było naprawdę poważne. W związku z tym, szybka reakcja Valve jak najbardziej cieszy. Po 8 godzinach od pojawienia się wpisu na Reddicie, pojawił się post informujący, że luka została załatana.