В системе безопасности крупнейшей игровой платформы Steam, разработанной компанией Valve, обнаружена серьезная уязвимость— 25 июля на YouTube была загружена видеодемонстрация эксплуатации ошибки. Проблема широко обсуждается пользователями ресурса Reddit.
Согласно данным, представленным на видео, злоумышленник может скромпрометировать учетную запись пользователя Steam благодаря некорректной работе функции восстановления пароля — система принимала в качестве верного кода даже пустое значение. В результате взломщик получал возможность сброса пароля учетной записи.
Для проведения успешной атаки требовалось знать лишь имя аккаунта пользователя. При этом злоумышленник не мог узнать email пользователя Steam или его старый пароль.
По сообщению издания Master Herald, Valve уже исправила ошибку безопасности, однако компания до сих пор не представила данных о том, какое количество учетных записей могло быть скомпрометировано таким образом. Тем не менее, пользователи, чьи учетные записи были скомпрометированы, получили письмо следующего содержания (спасибо Haoose за уточнение ):
Несмотря на то, что дыра в механизме восстановления паролей уже закрыта, злоумышленники успели взломать множество Steam-аккаунтов. В числе пострадавших даже некоторые известные «стримеры» с ресурса Twitch (например, RTZ и Resolut1on) — узнать их имя пользователя в системе Steam легко можно с помощью «стрима» игрового процесса.
По сообщениям профильных блогов, посвященных играм, пользователи, активировавшие защитную функцию Steam Guard, не были подвержены атаке.
Согласно данным, представленным на видео, злоумышленник может скромпрометировать учетную запись пользователя Steam благодаря некорректной работе функции восстановления пароля — система принимала в качестве верного кода даже пустое значение. В результате взломщик получал возможность сброса пароля учетной записи.
Для проведения успешной атаки требовалось знать лишь имя аккаунта пользователя. При этом злоумышленник не мог узнать email пользователя Steam или его старый пароль.
По сообщению издания Master Herald, Valve уже исправила ошибку безопасности, однако компания до сих пор не представила данных о том, какое количество учетных записей могло быть скомпрометировано таким образом. Тем не менее, пользователи, чьи учетные записи были скомпрометированы, получили письмо следующего содержания (спасибо Haoose за уточнение ):
Дорогой пользователь Steam,
25 июля мы обнаружили в системе Steam ошибку, которая могла привести к возможности сброса пароля на вашем аккаунте в период с 21 по 25 июля. Сейчас ошибка устранена.
Чтобы защитить пользователей сервиса, мы сбрасываем пароли учетных записей, пароли к которым были изменены в указанный период. Вы получите письмо с вашим новым паролем. После получения письма, рекомендуется зайти в свой Steam-аккаунт и задать новый пароль.
Особенно отмечаем, что несмотря на то, что злоумышленники могли изменить пароль вашей учетной записи в указанный период, они не могли узнать сам пароль. Если вы активировали функцию Steam Guard, то ваш аккаунт был защищен от несанкционированного доступа даже в случае сброса пароля.
Несмотря на то, что дыра в механизме восстановления паролей уже закрыта, злоумышленники успели взломать множество Steam-аккаунтов. В числе пострадавших даже некоторые известные «стримеры» с ресурса Twitch (например, RTZ и Resolut1on) — узнать их имя пользователя в системе Steam легко можно с помощью «стрима» игрового процесса.
По сообщениям профильных блогов, посвященных играм, пользователи, активировавшие защитную функцию Steam Guard, не были подвержены атаке.
Haoose
На самом деле не первыми.
На Reddit'е запись появилась 26 июля 02:15:31 по Москве.
Российские «хакеры» заметили ошибку почти за час до этого. На пикабу тоже писали. И в паблике ВК с 3,5 млн. подписчиков опубликовали инструкцию в 1:43
Мне об ошибке стало известно ~в 23:30, когда мой пароль так сменил друг и потом рассказал об этом )
Баг был исправлен ~в 3 часа ночи по Москве.
Что мог сделать «хакер»:
Узнать логин стима, зная мыло
Зайти на аккаунт под новым паролем, если на аккаунте выключен Guard
ptsecurity Автор
Спасибо за уточнения!
Haoose
Дополню.
Вслед за сообщением об уязвимости, Valve сбросили пароли.
Что это повлекло? Правильно. Очередной трейд-бан на 5 дней. Спасибо, Valve!
Haoose
Рекомендую привязать акк к нормальной почте, с двухфакторной авторизацией по смс (например gmail) и обязательно включите Steam Guard!
А также можно привязать сам стим к телефону. Вот тут: store.steampowered.com/phone/manage
Также можно привязать к мобильному приложению тут: store.steampowered.com/mobile
Haoose
Что интересно, народ пытался сбросить и пароль самого Гейба )
gaben@valvesoftware.com
Но видимо таких было очень много. Потому что при попытке поиска аккаунта с этим мылом получали сообщение:
zorgrhrd
Гейб публиковал свой пароль, когда внедряли Steam Guard, в доказательство его надежности. Так что Steam Guard у него думаю не выключался никогда, с момента внедрения.
KorDen32
Более того, у него где-то с 2013 отображалось что надо ввести код из мобильного приложения…
KorDen32
Вообще, на данный момент привязка к телефону выглядит немного глупо. Когда привязывал приложение в первый раз (хотя я был в первой сотне бетатестеров и с тех пор не отключал его, поэтому возможно что-то поменялось в тексте сообщений, на STS не заглядывал...), там был выбор подтверждения либо по почте либо по SMS — второй скриншот в альбоме imgur.com/a/as7VG
Так вот, выбирая SMS, я предполагаю, что в случае удаления приложения/сброса настроек, я могу восстановить по коду из SMS. Однако вроде как получается, что восстановить можно и через основную почту, таким образом по сути привязка телефона не является дополнительным шагом в безопасности, а является только дополнительным средством восстановления — имея доступ к почте ИЛИ к телефону, можно получить полный доступ к аккаунту.
zorgrhrd
Вот это косяк, внезапно.
Главное чтобы Steam Guard не принимал корректным значения аля 'SMS', у кого то такой косяк тоже был.
Xao
Были. Просто злоумышленник не мог войти в аккаунт, ибо не мог получить подтверждения по почте.
berezuev
А, так вот кто мой пароль пытался сбросить…
eyeless_watcher
Та же фигня. Посмотрел по датам писем, сбрасывали 21 июня, так что уязвимости минимум месяц.
Хорошо хоть Guard был включен.
KorDen32
Похоже, то, что было в конце июня-начале июля, это было немножко другое. До этого, чтобы восстановить аккаунт, надо было пользоваться клиентом, и знать логин. В июне ввели новый сервис автоматической поддержки ( help.steampowered.com ) и на нем появилась возможность запросить пароль, зная только E-Mail или только номер мобильного.
Выдавалось что-то вроде «Мы нашли аккаунт, связанный с этим номером телефона, как вы хотите сбросить пароль» — «По email a*****@y***.ru» — косвенно можно было узнать почтовый сервер или две последние цифры привязанного телефона, зная почту… Ну и можно было отправить письмо/SMS
Makc666
Спасибо за инфу!
Там и сейчас такое же поведение системы и можно узнать (читай «догадаться») почту, если логин совпадает с алиасом почты.
KorDen32
Такое же, но слышал что ввели лимит, чтобы нельзя было перебором проверять быстро
mifki
Тех, кто не включает 2FA, не жалко.