Комментарии 16
Первыми проблему заметили пользователи Reddit.
На самом деле не первыми.
На Reddit'е запись появилась 26 июля 02:15:31 по Москве.
Российские «хакеры» заметили ошибку почти за час до этого. На пикабу тоже писали. И в паблике ВК с 3,5 млн. подписчиков опубликовали инструкцию в 1:43
Мне об ошибке стало известно ~в 23:30, когда мой пароль так сменил друг и потом рассказал об этом )
Баг был исправлен ~в 3 часа ночи по Москве.
Что мог сделать «хакер»:
Список
Сменить пароль на новый, заданный «хакером»!
Узнать логин стима, зная мыло
Зайти на аккаунт под новым паролем, если на аккаунте выключен Guard
Узнать логин стима, зная мыло
Зайти на аккаунт под новым паролем, если на аккаунте выключен Guard
Что не мог сделать «хакер»:
Список
Узнать старый пароль
Узнать мыло, зная логин стима
Сменить почту
Отключить Guard
Зайти на аккаунт под новым паролем, если на аккаунте включен Guard
Узнать мыло, зная логин стима
Сменить почту
Отключить Guard
Зайти на аккаунт под новым паролем, если на аккаунте включен Guard
Что повлекла за собой смена пароля:
Взломанный пользователь мог испугаться, увидев такое сообщение:
Скриншоты
Взломанного пользователя выкинет со стима, если в момент смены пароля она находится в нем. (Стим попросит ввести новый пароль, который он не знает)
Взломанный пользователь получит трейд-бан на 5 дней (не сможет покупать/продавать карточки/вещи на ТП в течении 5 дней)
Если 5 раз поменять пароль, взломанный пользователь не сможет войти в аккаунт в течении суток.
Сегодня «взломанные» пользователи получили письмо от Valve:
Письмо
Dear Steam User,
On July 25th we learned of a Steam bug that could have impacted the password reset process on your Steam account during the period July 21-July 25. The bug has now been fixed.
To protect users, we are resetting passwords on accounts that changed passwords during that period using the account recovery wizard. You will receive an email with your new password. Once that email is received, it is recommended that you login to your account via the Steam client and set a new password.
Please note that while your password was potentially modified during this period the password itself was not revealed. Also, if you had Steam Guard enabled, your account was protected from unauthorized logins even if your password was modified.
We apologize for any inconvenience.
То есть баг существовал 5 дней. Некоторые очевидцы утверждают, что пользовались багом неделю.
В чем заключался баг: на сайте никак не проверялся код, отправленный на почту пользователя, при попытке восстановить пароль. Сам код отсылался, но он злоумышленнику был не нужен. Можно было просто его не вводить и нажать «Далее». Вот такая глупая ошибка.
К тому же функция «сброса пароля» работает некорректно. Правильно было бы сгенерировать случайный пароль и выслать его на почту. Но сейчас пользователь может установить свой собственный новый пароль.
Спасибо за уточнения!
Дополню.
Вслед за сообщением об уязвимости, Valve сбросили пароли.
Что это повлекло? Правильно. Очередной трейд-бан на 5 дней. Спасибо, Valve!
А знаете какие пароли они поставили? 12 цифр, например: 544775654075
Но это «временный» пароль. При заходе в стим по нему требуется установить новый пароль:
Вслед за сообщением об уязвимости, Valve сбросили пароли.
Что это повлекло? Правильно. Очередной трейд-бан на 5 дней. Спасибо, Valve!
Хоть и пишут 7 дней, но если посчитать... 5 дней
А знаете какие пароли они поставили? 12 цифр, например: 544775654075
Но это «временный» пароль. При заходе в стим по нему требуется установить новый пароль:
Заголовок спойлера
Рекомендую привязать акк к нормальной почте, с двухфакторной авторизацией по смс (например gmail) и обязательно включите Steam Guard!
А также можно привязать сам стим к телефону. Вот тут: store.steampowered.com/phone/manage
Также можно привязать к мобильному приложению тут: store.steampowered.com/mobile
А также можно привязать сам стим к телефону. Вот тут: store.steampowered.com/phone/manage
Также можно привязать к мобильному приложению тут: store.steampowered.com/mobile
Что интересно, народ пытался сбросить и пароль самого Гейба )
gaben@valvesoftware.com
Но видимо таких было очень много. Потому что при попытке поиска аккаунта с этим мылом получали сообщение:
gaben@valvesoftware.com
Но видимо таких было очень много. Потому что при попытке поиска аккаунта с этим мылом получали сообщение:
Достигнуто максимальное число попыток восстановить данный аккаунт.
Пожалуйста, повторите попытку спустя некоторое время.
А также можно привязать сам стим к телефону
Вообще, на данный момент привязка к телефону выглядит немного глупо. Когда привязывал приложение в первый раз (хотя я был в первой сотне бетатестеров и с тех пор не отключал его, поэтому возможно что-то поменялось в тексте сообщений, на STS не заглядывал...), там был выбор подтверждения либо по почте либо по SMS — второй скриншот в альбоме imgur.com/a/as7VG
Так вот, выбирая SMS, я предполагаю, что в случае удаления приложения/сброса настроек, я могу восстановить по коду из SMS. Однако вроде как получается, что восстановить можно и через основную почту, таким образом по сути привязка телефона не является дополнительным шагом в безопасности, а является только дополнительным средством восстановления — имея доступ к почте ИЛИ к телефону, можно получить полный доступ к аккаунту.
Вот это косяк, внезапно.
Главное чтобы Steam Guard не принимал корректным значения аля 'SMS', у кого то такой косяк тоже был.
По сообщениям профильных блогов, посвященных играм, пользователи, активировавшие защитную функцию Steam Guard, не были подвержены атаке.
Главное чтобы Steam Guard не принимал корректным значения аля 'SMS', у кого то такой косяк тоже был.
А, так вот кто мой пароль пытался сбросить…
Та же фигня. Посмотрел по датам писем, сбрасывали 21 июня, так что уязвимости минимум месяц.
Хорошо хоть Guard был включен.
Хорошо хоть Guard был включен.
Похоже, то, что было в конце июня-начале июля, это было немножко другое. До этого, чтобы восстановить аккаунт, надо было пользоваться клиентом, и знать логин. В июне ввели новый сервис автоматической поддержки ( help.steampowered.com ) и на нем появилась возможность запросить пароль, зная только E-Mail или только номер мобильного.
Выдавалось что-то вроде «Мы нашли аккаунт, связанный с этим номером телефона, как вы хотите сбросить пароль» — «По email a*****@y***.ru» — косвенно можно было узнать почтовый сервер или две последние цифры привязанного телефона, зная почту… Ну и можно было отправить письмо/SMS
Выдавалось что-то вроде «Мы нашли аккаунт, связанный с этим номером телефона, как вы хотите сбросить пароль» — «По email a*****@y***.ru» — косвенно можно было узнать почтовый сервер или две последние цифры привязанного телефона, зная почту… Ну и можно было отправить письмо/SMS
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Ошибка в системе безопасности Steam: восстановление пароля без ввода проверочного кода