В игровой платформе Steam обнаружена возможность восстановления пароля без ввода проверочного кода

image

Теги: пароль, Steam, уязвимость

Согласно с инструкцией на YouTube, для успешного проведения атаки достаточно знать только имя пользователя.

В одной из крупнейших игровых платформ Steam от компании Valve была обнаружена опасная уязвимость. Брешь позволяет сменить пароль произвольного пользователя при знании одного лишь логина. Об этом стало известно в субботу, 25 июля, после появления на YouTube инструкции по эксплуатации уязвимости, предоставленной пользователем Elm Hoe.

Согласно пояснениям автора видео, система не различала верный и неверный код и подтверждала запрос, даже если поле для символов оставалось пустым. В результате взломщик мог сбросить пароль учетной записи и похитить внутриигровые ценности.

Стоит также отметить, что атака не позволяла нападающему раскрыть адрес электронной почты жертвы или старый пароль. В настоящий момент разработчики Steam уже устранили неисправность, однако компания не раскрывает статистку по скомпрометированным учетным записям.

Пользователи Reddit, в свою очередь, подтверждают , что служба поддержки самостоятельно связывается с пострадавшими игроками. В электронном письме к одной из жертв разработчики отметили, что несанкционированный сброс пароля мог произойти с 21 по 25 июля. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.