Wystarczyło znać login i mail, aby bez problemu kraść graczom ich konta Steam

Trudno dziwić się miłośnikom gier w pudełkach, że nie ufają cyfrowej dystrybucji. Jedna sprawa to kwestia tego, czy naprawdę należą do nas nabywane na przykładowo Steam tytuły, a druga to wizja błyskawicznego stracenia całej kolekcji w ataku hakerskim. Jak się okazało, przejęcie konta na platformie prowadzonej przez Valve, najpopularniejszej i używanej przez miliony osób na całym świecie, było bardzo zaskakująco wręcz łatwe.

Wystarczyło znać login i mail, aby bez problemu kraść graczom ich konta Steam

27.07.2015 09:35

Obraz

Dostęp do zakupionych produkcji uzyskuje się na Steam standardowo po podaniu loginu oraz hasła, co jest mechanizmem szeroko stosowanym w Internecie, ogólnie w większości przypadków uznawanym za w miarę bezpieczny, jeśli ktoś ma głowę na karku. Połączenia czy hasła są szyfrowane, niebezpieczeństwo przejęcia istotnych danych do logowania technikami innymi niż powiedzmy phishing jest niewielkie. Wystarczy się pilnować. Dziura w Steam opierała się jednak zupełnie na czymś innym.

Zawinił mechanizm weryfikacji konta przy próbie zmiany hasła, a raczej w sumie jego brak. Steam w procesie odzyskiwania stosuje również powszechnie używaną metodę. Prosi o login użytkownika plus jego adres mailowy, na który po chwili podsyła losowo wygenerowany kod. Ten należy przepisać do odpowiedniego okienka, by następnie móc wybrać sobie nowe hasło, gdy zapomni się starego. Ponieważ z danego maila może teoretycznie korzystać wyłącznie właściciel konta na Steam, nikt inny się do niego nie dobierze. Szkoda tylko, że nie wpisując nic w pole z kodem oszukiwało się ten system.

Znając więc czyjś login oraz podczepiony pod konto adres poczty elektronicznej, czyli dane, które bez problemu można od ludzi, z którymi gramy, wyciągnąć, dało się łatwo zmienić hasło na własne. Kod weryfikujący przychodził zaraz na maila właściciela, ale przecież nie był atakującemu wcale potrzebny. Trudno powiedzieć, ile osób padło ofiarą luki, na pewno są wśród nich jednak zawodowi gracze, jak również kolekcjonujący przedmioty np. w MMO z myślą o zarobieniu na nich. Tym dorobek poznikał, choć Valve przyznało, że był problem między 21 a 25 lipca i dlatego firma zresetowała hasła dla kont, na których zaobserwowała podejrzany ruch. Bagatelizuje wpadkę, zalecając zastanowienie się nad aktywacją Steam Guard, dodatkowej opcji zabezpieczającej.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Wybrane dla Ciebie
Komentarze (37)