Positive Technologies corporate blog
Information Security
July 2015 27

Ошибка в системе безопасности Steam: восстановление пароля без ввода проверочного кода

В системе безопасности крупнейшей игровой платформы Steam, разработанной компанией Valve, обнаружена серьезная уязвимость— 25 июля на YouTube была загружена видеодемонстрация эксплуатации ошибки. Проблема широко обсуждается пользователями ресурса Reddit.



Согласно данным, представленным на видео, злоумышленник может скромпрометировать учетную запись пользователя Steam благодаря некорректной работе функции восстановления пароля — система принимала в качестве верного кода даже пустое значение. В результате взломщик получал возможность сброса пароля учетной записи.

Для проведения успешной атаки требовалось знать лишь имя аккаунта пользователя. При этом злоумышленник не мог узнать email пользователя Steam или его старый пароль.

По сообщению издания Master Herald, Valve уже исправила ошибку безопасности, однако компания до сих пор не представила данных о том, какое количество учетных записей могло быть скомпрометировано таким образом. Тем не менее, пользователи, чьи учетные записи были скомпрометированы, получили письмо следующего содержания (спасибо Haoose за уточнение ):

Дорогой пользователь Steam,

25 июля мы обнаружили в системе Steam ошибку, которая могла привести к возможности сброса пароля на вашем аккаунте в период с 21 по 25 июля. Сейчас ошибка устранена.

Чтобы защитить пользователей сервиса, мы сбрасываем пароли учетных записей, пароли к которым были изменены в указанный период. Вы получите письмо с вашим новым паролем. После получения письма, рекомендуется зайти в свой Steam-аккаунт и задать новый пароль.

Особенно отмечаем, что несмотря на то, что злоумышленники могли изменить пароль вашей учетной записи в указанный период, они не могли узнать сам пароль. Если вы активировали функцию Steam Guard, то ваш аккаунт был защищен от несанкционированного доступа даже в случае сброса пароля.

Несмотря на то, что дыра в механизме восстановления паролей уже закрыта, злоумышленники успели взломать множество Steam-аккаунтов. В числе пострадавших даже некоторые известные «стримеры» с ресурса Twitch (например, RTZ и Resolut1on) — узнать их имя пользователя в системе Steam легко можно с помощью «стрима» игрового процесса.



По сообщениям профильных блогов, посвященных играм, пользователи, активировавшие защитную функцию Steam Guard, не были подвержены атаке.
+20
54.9k 38
Comments 16