Przejdź na

Wystarczyło znać login i mail, aby bez problemu kraść graczom ich konta Steam

Trudno dziwić się miłośnikom gier w pudełkach, że nie ufają cyfrowej dystrybucji. Jedna sprawa to kwestia tego, czy naprawdę należą do nas nabywane na przykładowo Steam tytuły, a druga to wizja błyskawicznego stracenia całej kolekcji w ataku hakerskim. Jak się okazało, przejęcie konta na platformie prowadzonej przez Valve, najpopularniejszej i używanej przez miliony osób na całym świecie, było bardzo zaskakująco wręcz łatwe.

Obraz
Tomasz Wrzesień
Obraz

Dostęp do zakupionych produkcji uzyskuje się na Steam standardowo po podaniu loginu oraz hasła, co jest mechanizmem szeroko stosowanym w Internecie, ogólnie w większości przypadków uznawanym za w miarę bezpieczny, jeśli ktoś ma głowę na karku. Połączenia czy hasła są szyfrowane, niebezpieczeństwo przejęcia istotnych danych do logowania technikami innymi niż powiedzmy phishing jest niewielkie. Wystarczy się pilnować. Dziura w Steam opierała się jednak zupełnie na czymś innym.

Zawinił mechanizm weryfikacji konta przy próbie zmiany hasła, a raczej w sumie jego brak. Steam w procesie odzyskiwania stosuje również powszechnie używaną metodę. Prosi o login użytkownika plus jego adres mailowy, na który po chwili podsyła losowo wygenerowany kod. Ten należy przepisać do odpowiedniego okienka, by następnie móc wybrać sobie nowe hasło, gdy zapomni się starego. Ponieważ z danego maila może teoretycznie korzystać wyłącznie właściciel konta na Steam, nikt inny się do niego nie dobierze. Szkoda tylko, że nie wpisując nic w pole z kodem oszukiwało się ten system.

Znając więc czyjś login oraz podczepiony pod konto adres poczty elektronicznej, czyli dane, które bez problemu można od ludzi, z którymi gramy, wyciągnąć, dało się łatwo zmienić hasło na własne. Kod weryfikujący przychodził zaraz na maila właściciela, ale przecież nie był atakującemu wcale potrzebny. Trudno powiedzieć, ile osób padło ofiarą luki, na pewno są wśród nich jednak zawodowi gracze, jak również kolekcjonujący przedmioty np. w MMO z myślą o zarobieniu na nich. Tym dorobek poznikał, choć Valve przyznało, że był problem między 21 a 25 lipca i dlatego firma zresetowała hasła dla kont, na których zaobserwowała podejrzany ruch. Bagatelizuje wpadkę, zalecając zastanowienie się nad aktywacją Steam Guard, dodatkowej opcji zabezpieczającej.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Wyciek danych klientów polskich sklepów. 130 tys. pokrzywdzonych
Wyciek danych klientów polskich sklepów. 130 tys. pokrzywdzonych
mBank zmienia wymagania aplikacji. Niektórzy muszą wymienić telefon
mBank zmienia wymagania aplikacji. Niektórzy muszą wymienić telefon
Awaria w Pekao S.A. Problem z bankowością (aktualizacja)
Awaria w Pekao S.A. Problem z bankowością (aktualizacja)
Zakazy social mediów dla nastolatków. Eksperci widzą problem
Zakazy social mediów dla nastolatków. Eksperci widzą problem
NIE WYCHODŹ JESZCZE! MAMY COŚ SPECJALNIE DLA CIEBIE 🎯