Ошибка в системе безопасности Steam: восстановление пароля без ввода проверочного кода

    В системе безопасности крупнейшей игровой платформы Steam, разработанной компанией Valve, обнаружена серьезная уязвимость— 25 июля на YouTube была загружена видеодемонстрация эксплуатации ошибки. Проблема широко обсуждается пользователями ресурса Reddit.



    Согласно данным, представленным на видео, злоумышленник может скромпрометировать учетную запись пользователя Steam благодаря некорректной работе функции восстановления пароля — система принимала в качестве верного кода даже пустое значение. В результате взломщик получал возможность сброса пароля учетной записи.

    Для проведения успешной атаки требовалось знать лишь имя аккаунта пользователя. При этом злоумышленник не мог узнать email пользователя Steam или его старый пароль.

    По сообщению издания Master Herald, Valve уже исправила ошибку безопасности, однако компания до сих пор не представила данных о том, какое количество учетных записей могло быть скомпрометировано таким образом. Тем не менее, пользователи, чьи учетные записи были скомпрометированы, получили письмо следующего содержания (спасибо Haoose за уточнение ):

    Дорогой пользователь Steam,

    25 июля мы обнаружили в системе Steam ошибку, которая могла привести к возможности сброса пароля на вашем аккаунте в период с 21 по 25 июля. Сейчас ошибка устранена.

    Чтобы защитить пользователей сервиса, мы сбрасываем пароли учетных записей, пароли к которым были изменены в указанный период. Вы получите письмо с вашим новым паролем. После получения письма, рекомендуется зайти в свой Steam-аккаунт и задать новый пароль.

    Особенно отмечаем, что несмотря на то, что злоумышленники могли изменить пароль вашей учетной записи в указанный период, они не могли узнать сам пароль. Если вы активировали функцию Steam Guard, то ваш аккаунт был защищен от несанкционированного доступа даже в случае сброса пароля.

    Несмотря на то, что дыра в механизме восстановления паролей уже закрыта, злоумышленники успели взломать множество Steam-аккаунтов. В числе пострадавших даже некоторые известные «стримеры» с ресурса Twitch (например, RTZ и Resolut1on) — узнать их имя пользователя в системе Steam легко можно с помощью «стрима» игрового процесса.



    По сообщениям профильных блогов, посвященных играм, пользователи, активировавшие защитную функцию Steam Guard, не были подвержены атаке.
    Positive Technologies
    160,00
    Компания
    Поделиться публикацией

    Комментарии 16

      +16
      Первыми проблему заметили пользователи Reddit.

      На самом деле не первыми.
      На Reddit'е запись появилась 26 июля 02:15:31 по Москве.
      Российские «хакеры» заметили ошибку почти за час до этого. На пикабу тоже писали. И в паблике ВК с 3,5 млн. подписчиков опубликовали инструкцию в 1:43
      Мне об ошибке стало известно ~в 23:30, когда мой пароль так сменил друг и потом рассказал об этом )
      Баг был исправлен ~в 3 часа ночи по Москве.

      Что мог сделать «хакер»:
      Список
      Сменить пароль на новый, заданный «хакером»!
      Узнать логин стима, зная мыло
      Зайти на аккаунт под новым паролем, если на аккаунте выключен Guard

      Что не мог сделать «хакер»:
      Список
      Узнать старый пароль
      Узнать мыло, зная логин стима
      Сменить почту
      Отключить Guard
      Зайти на аккаунт под новым паролем, если на аккаунте включен Guard

      Что повлекла за собой смена пароля:
      Взломанный пользователь мог испугаться, увидев такое сообщение:
      Скриншоты
      image
      image

      Взломанного пользователя выкинет со стима, если в момент смены пароля она находится в нем. (Стим попросит ввести новый пароль, который он не знает)
      Взломанный пользователь получит трейд-бан на 5 дней (не сможет покупать/продавать карточки/вещи на ТП в течении 5 дней)
      Если 5 раз поменять пароль, взломанный пользователь не сможет войти в аккаунт в течении суток.

      Сегодня «взломанные» пользователи получили письмо от Valve:
      Письмо
      Dear Steam User,

      On July 25th we learned of a Steam bug that could have impacted the password reset process on your Steam account during the period July 21-July 25. The bug has now been fixed.

      To protect users, we are resetting passwords on accounts that changed passwords during that period using the account recovery wizard. You will receive an email with your new password. Once that email is received, it is recommended that you login to your account via the Steam client and set a new password.

      Please note that while your password was potentially modified during this period the password itself was not revealed. Also, if you had Steam Guard enabled, your account was protected from unauthorized logins even if your password was modified.

      We apologize for any inconvenience.


      То есть баг существовал 5 дней. Некоторые очевидцы утверждают, что пользовались багом неделю.

      В чем заключался баг: на сайте никак не проверялся код, отправленный на почту пользователя, при попытке восстановить пароль. Сам код отсылался, но он злоумышленнику был не нужен. Можно было просто его не вводить и нажать «Далее». Вот такая глупая ошибка.
      К тому же функция «сброса пароля» работает некорректно. Правильно было бы сгенерировать случайный пароль и выслать его на почту. Но сейчас пользователь может установить свой собственный новый пароль.
        0
        Спасибо за уточнения!
          +4
          Дополню.
          Вслед за сообщением об уязвимости, Valve сбросили пароли.
          image
          Что это повлекло? Правильно. Очередной трейд-бан на 5 дней. Спасибо, Valve!
          Хоть и пишут 7 дней, но если посчитать... 5 дней
          image

          А знаете какие пароли они поставили? 12 цифр, например: 544775654075
          Но это «временный» пароль. При заходе в стим по нему требуется установить новый пароль:
          Заголовок спойлера
          image
          image
            +2
            Рекомендую привязать акк к нормальной почте, с двухфакторной авторизацией по смс (например gmail) и обязательно включите Steam Guard!
            А также можно привязать сам стим к телефону. Вот тут: store.steampowered.com/phone/manage
            Также можно привязать к мобильному приложению тут: store.steampowered.com/mobile
              +2
              Что интересно, народ пытался сбросить и пароль самого Гейба )
              gaben@valvesoftware.com
              Но видимо таких было очень много. Потому что при попытке поиска аккаунта с этим мылом получали сообщение:
              Достигнуто максимальное число попыток восстановить данный аккаунт.
              Пожалуйста, повторите попытку спустя некоторое время.
                +1
                Гейб публиковал свой пароль, когда внедряли Steam Guard, в доказательство его надежности. Так что Steam Guard у него думаю не выключался никогда, с момента внедрения.
                  0
                  Более того, у него где-то с 2013 отображалось что надо ввести код из мобильного приложения…
                0
                А также можно привязать сам стим к телефону

                Вообще, на данный момент привязка к телефону выглядит немного глупо. Когда привязывал приложение в первый раз (хотя я был в первой сотне бетатестеров и с тех пор не отключал его, поэтому возможно что-то поменялось в тексте сообщений, на STS не заглядывал...), там был выбор подтверждения либо по почте либо по SMS — второй скриншот в альбоме imgur.com/a/as7VG

                Так вот, выбирая SMS, я предполагаю, что в случае удаления приложения/сброса настроек, я могу восстановить по коду из SMS. Однако вроде как получается, что восстановить можно и через основную почту, таким образом по сути привязка телефона не является дополнительным шагом в безопасности, а является только дополнительным средством восстановления — имея доступ к почте ИЛИ к телефону, можно получить полный доступ к аккаунту.
            0
            Вот это косяк, внезапно.

            По сообщениям профильных блогов, посвященных играм, пользователи, активировавшие защитную функцию Steam Guard, не были подвержены атаке.

            Главное чтобы Steam Guard не принимал корректным значения аля 'SMS', у кого то такой косяк тоже был.
              0
              Были. Просто злоумышленник не мог войти в аккаунт, ибо не мог получить подтверждения по почте.
              0
              А, так вот кто мой пароль пытался сбросить…
                0
                Та же фигня. Посмотрел по датам писем, сбрасывали 21 июня, так что уязвимости минимум месяц.
                Хорошо хоть Guard был включен.
                  0
                  Похоже, то, что было в конце июня-начале июля, это было немножко другое. До этого, чтобы восстановить аккаунт, надо было пользоваться клиентом, и знать логин. В июне ввели новый сервис автоматической поддержки ( help.steampowered.com ) и на нем появилась возможность запросить пароль, зная только E-Mail или только номер мобильного.
                  Выдавалось что-то вроде «Мы нашли аккаунт, связанный с этим номером телефона, как вы хотите сбросить пароль» — «По email a*****@y***.ru» — косвенно можно было узнать почтовый сервер или две последние цифры привязанного телефона, зная почту… Ну и можно было отправить письмо/SMS
                    0
                    Спасибо за инфу!
                    Там и сейчас такое же поведение системы и можно узнать (читай «догадаться») почту, если логин совпадает с алиасом почты.
                      0
                      Такое же, но слышал что ввели лимит, чтобы нельзя было перебором проверять быстро
              • НЛО прилетело и опубликовало эту надпись здесь

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое