В игровой платформе Steam обнаружена возможность восстановления пароля без ввода проверочного кода

В игровой платформе Steam обнаружена возможность восстановления пароля без ввода проверочного кода

Согласно с инструкцией на YouTube, для успешного проведения атаки достаточно знать только имя пользователя.

В одной из крупнейших игровых платформ Steam от компании Valve была обнаружена опасная уязвимость. Брешь позволяет сменить пароль произвольного пользователя при знании одного лишь логина. Об этом стало известно в субботу, 25 июля, после появления на YouTube инструкции по эксплуатации уязвимости, предоставленной пользователем Elm Hoe.

Согласно пояснениям автора видео, система не различала верный и неверный код и подтверждала запрос, даже если поле для символов оставалось пустым. В результате взломщик мог сбросить пароль учетной записи и похитить внутриигровые ценности.

Стоит также отметить, что атака не позволяла нападающему раскрыть адрес электронной почты жертвы или старый пароль. В настоящий момент разработчики Steam уже устранили неисправность, однако компания не раскрывает статистку по скомпрометированным учетным записям.

Пользователи Reddit, в свою очередь, подтверждают , что служба поддержки самостоятельно связывается с пострадавшими игроками. В электронном письме к одной из жертв разработчики отметили, что несанкционированный сброс пароля мог произойти с 21 по 25 июля. 


Чем страшны "Алхимик", "Евангелие" и "Глубина мудрости”? Подробнее об этом и других новостях кибербезопасности в новом выпуске Security-новостей на нашем Youtube канале.