Valve устранила уязвимость в Steam, позволявшую завладеть любой учётной записью

В период с 21 по 25 июля в системе безопасности сервиса цифровой дистрибуции Steam действовала опасная уязвимость, позволявшая завладеть учётной записью любого пользователя, даже если она была защищена системой Steam Guard. В минувшее воскресенье Valve сообщила о том, что брешь устранена.
Как известно, при попытке вернуть доступ к потерянной учётной записи в Steam необходимо указать логин, после чего на связанную с ним электронную почту высылается специальный код восстановления. Возникшая уязвимость позволяла пропустить этот этап, просто нажав кнопку «Продолжить» Continue, не вводя код. После этого злоумышленник мог установить новый пароль и войти в систему под чужой учётной записью. Таким образом, для получения доступа к аккаунту требовалось знать только имя пользователя. Как только брешь была закрыта, на YouTube начали появляться детальные видеоинструкции по её использованию. Одна из них, опубликованная пользователем Elm Hoe, представлена ниже.
Несмотря на то, что Valve оперативно решила проблему, многие пользователи лишились своих учётных записей. В их числе оказались популярные стримеры JoshOG, Summit1G, Phant0ml0rd и Goldglove. Участник форума NeoGAF, британец Lucifon, неожиданно обнаружил в своём почтовом ящике несколько запросов сброса пароля от человека, находящегося в России. Пользователь Reddit под псевдонимом ryugarulz утверждает, что потерял ценные предметы из своего инвентаря 21 июля, когда неизвестный вошёл в систему под его аккаунтом, миновав этап с проверочным кодом. Тем не менее, согласно правилам торговли в Steam, пользователь теряет доступ к рыночной площадке на семь дней после сброса пароля на 30 дней — в случае, если аккаунт был неактивен более двух месяцев.

«В целях защиты пользователей мы сбросили пароли для тех учётных записей, которые были замечены в подозрительной смене пароля в указанный период, — говорится в официальном сообщении, полученном от Valve журналистами Kotaku. — Соответствующие пользователи получат письмо с новым паролем. Как только это произошло, мы рекомендуем зайти в свою учётную запись через клиент Steam и установить новый пароль».

За последнее время Valve начала уделять повышенное внимание вопросу безопасности в Steam. В апреле была предложена двухфакторная аутентификация с использованием мобильного приложения Steam, а также была ограничена активность аккаунтов, количество потраченных средств с которых составляет менее 5. Кроме того, в декабре 2014 года компания установила полную геоблокировку в сервисе для ряда регионов, включая Россию, лишив пользователей возможности передавать подарки людям, находящимся за пределами этих территорий.
Источник: http://www.3dnews.ru/917748