В игровой платформе Steam обнаружена возможность восстановления пароля без ввода проверочного кода

В игровой платформе Steam обнаружена возможность восстановления пароля без ввода проверочного кода

Согласно с инструкцией на YouTube, для успешного проведения атаки достаточно знать только имя пользователя.

В одной из крупнейших игровых платформ Steam от компании Valve была обнаружена опасная уязвимость . Брешь позволяет сменить пароль произвольного пользователя при знании одного лишь логина. Об этом стало известно в субботу, 25 июля, после появления на YouTube инструкции по эксплуатации уязвимости, предоставленной пользователем Elm Hoe.

Согласно пояснениям автора видео, система не различала верный и неверный код и подтверждала запрос, даже если поле для символов оставалось пустым. В результате взломщик мог сбросить пароль учетной записи и похитить внутриигровые ценности.

Стоит также отметить, что атака не позволяла нападающему раскрыть адрес электронной почты жертвы или старый пароль. В настоящий момент разработчики Steam уже устранили неисправность, однако компания не раскрывает статистку по скомпрометированным учетным записям.

Пользователи Reddit, в свою очередь, подтверждают , что служба поддержки самостоятельно связывается с пострадавшими игроками. В электронном письме к одной из жертв разработчики отметили, что несанкционированный сброс пароля мог произойти с 21 по 25 июля. 

Все еще проверяете уязвимости после сборки ПО?

8 июля CICADA8 покажет, как делать это до CI/CD — быстро, чётко, безопасно.

Реклама. 18+. Рекламодатель ООО «АЙТИПИ Сервисы», ИНН 7708719821