Računi Steam so bili 4 dni ranljivi za resne napake pri ponastavitvi gesla

Računi Steam so bili 4 dni ranljivi za resne napake pri ponastavitvi gesla

Storitev pretakanja video iger Steam je ranljiva za resno tehniko izkoriščanja gesel vsaj od 21. julija in če ne bi šlo za petdnevno prepoved spremembe gesla, bi bilo veliko uporabnikov Steama v velikih težavah.


optad_b

Način za pridobitev nepooblaščenega dostopa do računov Steam je bil komaj kvalificiran kot kramp. Zahteve za ponastavitev gesla ustvarijo e-poštno sporočilo na naslov zadevnega uporabnika Steama. To e-poštno sporočilo vključuje kodo, ki jo je treba vnesti za nadaljevanje postopka ponastavitve. Toda napaka pri ponastavitvi gesla je preskočila fazo kode in omogočila ponastavitev brez preverjanja.

Z drugimi besedami, če bi nekdo pozval vaše ime računa Steam - recimo, če ste svoje igre pretakali na Twitch in je bilo okno za prijavo vidno, bi lahko dostopali do vašega računa, spremenili vaše geslo in vas učinkovito zaklenili.



YouTuber Elm Hoe je postopek prikazal v videoposnetku, naloženem v soboto. V komentarjih je poročal tudi, da je po objavi videoposnetka 'okoli 2000' ljudi poskušalo uporabiti metodo za dostop do njegovega računa.

Elm Hoe je tudi poročal, da je bila ranljivost Steam računa popravljena deset minut po objavi videoposnetka.

Steam samodejno uporabi petdnevno prepoved trgovanja z izdelki po ponastavitvi gesla in sedemdnevno prepoved trgovanja z izdelki, ko do računa Steam dostopate z novega naslova IP. Ti ukrepi bi morali zaščititi vsakogar, čigar račun je bil s to napako ogrožen.



Na podlagi poročil uporabnikov, ki so bili zaradi napake zaklenjeni iz svojih računov, Valve očitno uporabnikov Steama ni takoj opozoril na težavo.

Pravzaprav v izjavi, izdani Kotaku, Valve rekel da je napako pri ponastavitvi gesla odkril šele 25. julija in da bi težava lahko vplivala na račune od 21. do 25. julija.

'Da bi zaščitili uporabnike, ponastavimo gesla za račune s sumljivimi spremembami gesla v tem obdobju ali pa [je] to lahko drugače vplivalo,' je dejal Valve v izjavi. »Ustrezni uporabniki bodo prejeli e-poštno sporočilo z novim geslom. Po prejemu tega e-poštnega sporočila je priporočljivo, da se uporabniki prijavijo v svoj račun prek odjemalca Steam in nastavijo novo geslo. '

Valve je še dejal, da bi hekerji sicer lahko spremenili gesla računa z izkoriščanjem napake, noben heker pa ne bi mogel videti prvotnega gesla računa in da če Dvofaktorska overitev Steama, Steam Guard , so bili aktivirani, bi bil vsak račun, do katerega bi dostopali prek napake, še vedno zaščiten pred nepooblaščenimi prijavami.

Ilustracija Jason Reed