autor: Krzysztof Nieradko
Valve naprawiło rażącą lukę w systemie bezpieczeństwa Steam
W ciągu ostatnich dni wielu użytkowników platformy Steam informowało, że ich konto zostało tymczasowo skradzione. Jak się okazuje, wszystko ze względu na lukę w systemie pozyskiwania nowego hasła, które… mogło zostać zresetowane przez dowolną osobę i nie wymagało to żadnej weryfikacji.
Takie sytuacje nie zdarzają się zbyt często – zważywszy że ich powód w ostatecznym rozrachunku okazuje się być zatrważająco prozaiczny. W ciągu ostatniego tygodnia wielu użytkowników platformy Steam (w tym również prominentni streamerzy czy gracze DOTA 2) skarżyło się na tymczasową utratę konta. Wszystko ze względu na rażącą lukę w systemie pozyskiwania nowego hasła.
Poniżej znajdziecie krótkie nagranie prezentujące rzeczony błąd, który został wykorzystany przez złodziei. Pewnie mało kto zdawał sobie nawet z tego sprawę, ale nasze hasło mogło zostać zresetowane przez dowolną osobę bez jakiejkolwiek weryfikacji. W skrócie, wystarczyło znać nazwę konta potencjalnej ofiary, wysłać prośbę o dostarczenie nowego hasła, przeklikać okno domagające się wpisania kodu uprzednio wysłanego na pocztę elektroniczną i najzwyczajniej w świecie ustawić nowe hasło.
Valve zdążyło oczywiście załatać tę lukę w systemie zabezpieczeń, przepraszając jednocześnie za wszelkie niedogodności. Firma poinformowała, że zajmuje się resetowaniem tych haseł, które mogły zostać zmienione przez nieodpowiednie osoby. Poszkodowani użytkownicy otrzymają więc e-mail z zupełnie nowym kodem, który będą mogli wykorzystać wraz z kolejnym logowaniem do usługi Steam. Producent zaleca jednak, aby później jeszcze raz ustawić nowe hasło.
Firma podkreśla również, że zmiana hasła przez złodzieja nie wpłynęła na ujawnienie naszego poprzedniego. Ponadto, jeśli użytkownik posiadał wcześniej uruchomiony system Steam Guard, może spać spokojnie – to dodatkowe zabezpieczenie wymaga wszak podania dodatkowych danych uwierzytelniających.
Dajcie znać w komentarzach, czy w ostatnim czasie mieliście jakieś nieautoryzowane wejścia na Wasze konto Steam.