Комментарии 160
И ведь действительно fkn0wned.
Еще один пример того, что взломать можно всё, что угодно (недавно совсем адидас ломали — писали об этом на хабре), — дыры есть почти везде и нормальные хакеры, если зададутся целью взломать, — все равно взломают.
Нас тоже взломали в конце 2009 (прямо под новый год), тогда мы думали, что у нас хорошая защита, однако хакеры получили очень много доступов (root access!).
Подобные атаки позволяют пересмотреть свое отношение к защите ресурса.
Еще один пример того, что взломать можно всё, что угодно (недавно совсем адидас ломали — писали об этом на хабре), — дыры есть почти везде и нормальные хакеры, если зададутся целью взломать, — все равно взломают.
Нас тоже взломали в конце 2009 (прямо под новый год), тогда мы думали, что у нас хорошая защита, однако хакеры получили очень много доступов (root access!).
Подобные атаки позволяют пересмотреть свое отношение к защите ресурса.
в дополнение к форумам, взломщики также получили доступ к базе данных Steam. эта база содержала такую информацию, как имена аккаунтов,Какая-то странная логика.
Нам не известен ни один похищенный Steam аккаунт, вследствие чего мы не планируем заставлять пользователей менять пароли (так как Steam аккаунты отличаются от форумных аккаунтов)
Что странного? Вам же сказали, пароли в открытом виде не хранились, украли только хеши (перевожу: воспользоваться нельзя). Соответственно, заставлять пользователей менять пароль бесполезно.
Хэш хэшу рознь.
Соль решает.
Смотря, опять же, какой хэш.
Соль ничего не решает, если хранится тут же в БД. Если отдельно, то да.
Она по крайней мере спасет от радужных таблиц.
При проектировании системы всегда нужно исходить из того, что соль по определению доступна тому, кто получил доступ к БД, потому как это, как правило, именно так, даже если соль не лежит именно в самой БД. Некоторая безопасность в идеале должна быть даже при похищенных всех данных.
Надежда на неизвестную злоумышленнику соль — первый шаг к security through obscurity.
То есть вы верите, что можно украсть хеш, а соль все равно будет надежно защищена?
Если ломанули сервер БД, то точно так же можно сломать сервер приложений.
Нужно всегда исходить из того, что если украдут одно, то и другое тоже смогут.
Если ломанули сервер БД, то точно так же можно сломать сервер приложений.
Нужно всегда исходить из того, что если украдут одно, то и другое тоже смогут.
Воспользоваться можно, но лишь спустя время. Или Вы сбрасываете со счетов старину Джонни? (Join the Ripper)
Интересно каким образом они получили доступ к БД со стимовскими аккаунтами.
Было 2 уязвимости? Или админы тупо не настроили разграничение прав доступа между форумом и главной базой?
Было 2 уязвимости? Или админы тупо не настроили разграничение прав доступа между форумом и главной базой?
вот и покупай игрушки в Steam.
Странно, но мне не пришло. В спаме тоже на всякий случай проверил. Возможно дело в том что я просто зарегистрирован и карточку не прописывал?
Тут что-то другое — и с привязанной карточкой письма люди не получили.
Это сообщение висит при входе на форум Steam.
Перезапустите клиент, появится сообщение.
Ну вот, а я только недавно оплатил Left For Dead 2 на хэллоуниской распродаже=/
НЛО прилетело и опубликовало эту надпись здесь
Лучше получить комментарий позже, чем не получить его вообще.
Не могу сказать, заботит ли меня это, или нет — поскольку форумом я не пользовался — однако, сам факт меня расстраивает. Всегда воспринимал Valve как контору, делать пакости которой — кощунственно.
Не могу сказать, заботит ли меня это, или нет — поскольку форумом я не пользовался — однако, сам факт меня расстраивает. Всегда воспринимал Valve как контору, делать пакости которой — кощунственно.
Возненавидел Стим после того, как они забанили мой Black Ops (и 4х моих друзей) за наличие антивирусного ПО на компьютере.
Т.е. они вам написали именно «мы забанили вашу Black Ops за наличие антивирусного ПО на компьютере»?
Забанили БО, или запретили играть на VAC-серверах?
И как назывался антивирус?
И как назывался антивирус?
Похоже это что-то типа «AutoAim Antivir 2011» или «TextureHackpersky Personal Edition» с новыми базами.
Если забанили только БО, то скорее всего, потому что игры были куплены на каком-нибудь плати.ру по самой низкой цене, которые в ссвою очередь были куплены на карженые карты.
Много раз покупал игры на плати ру, и первый раз слышу о таком. Были реальные случаи?
Бала куплена игра, а потом ключ был забанен, т.к. его продали еще несколько раз.
Конечно. Если нету скана ключа, то игры лучше не брать.
Вы покупаете скан ключа, купленный в свою очередь на краденную мою кредитку. Я иду в банк с заявлением, транзакция отзывается, стим банит ключ.
Вывод: забудьте про сканы ключей — покупайте либо напрямую в стиме, либо диски, либо ключи в надежных источниках с репутацией. Все остальное — рандом и сканы вас не спасут.
Вывод: забудьте про сканы ключей — покупайте либо напрямую в стиме, либо диски, либо ключи в надежных источниках с репутацией. Все остальное — рандом и сканы вас не спасут.
Диск не гарантия. Купил несколько лет назад пару дисков с цс2, оказалось что один уже зарегистрирован. Потом долго переписывался с ними, отсылал сканы чека и тд.
В теории у вас все круто, конечно.
У меня как раз недавно украли кредитку, физически, и что-то никто не торопится отзывать никакие левые транзакции, которые успели произойти.
У меня как раз недавно украли кредитку, физически, и что-то никто не торопится отзывать никакие левые транзакции, которые успели произойти.
В буржуйских странах с этим проще.
НЛО прилетело и опубликовало эту надпись здесь
Ты сам то писал хоть раз такое заявление, умник?
НЛО прилетело и опубликовало эту надпись здесь
Касперский.
На MW2 читерили дико, нагло и очень долго, а забанили когда все уже забили на эту игру (примерно через пол года). Все создали новые акки и договорились играть без читов, поиграли неделю и получили бан.
Единственное общее, что могло вмешиться в память процесса игры — антивирусник.
Игры куплены в магазине (сеть их по Киеву, название не помню), по средней цене.
На MW2 читерили дико, нагло и очень долго, а забанили когда все уже забили на эту игру (примерно через пол года). Все создали новые акки и договорились играть без читов, поиграли неделю и получили бан.
Единственное общее, что могло вмешиться в память процесса игры — антивирусник.
Игры куплены в магазине (сеть их по Киеву, название не помню), по средней цене.
А Вы думали, что вы запустите чит, и VAC вас в ту же секунду забанит? VAC практически никогда не банит сразу. Пол года, это конечно много, но то, что VAC может забанить через несколько месяцев после запуска чита — факт.
Во-первых, у валв используется отложенный бан, то есть они знают, что вы читер, но не банят сразу, чтобы вы догадались за какой именно чит забанили.
Во-вторых, стим сканит процессы во время своей работы, это значит, что он мог найти остатки прошлых читов(а ведь не известно, куда еще себя они пихают в систему), и потом может на то же самое мыло регили новые акки или еще чего-нибудь.
Во-вторых, стим сканит процессы во время своей работы, это значит, что он мог найти остатки прошлых читов(а ведь не известно, куда еще себя они пихают в систему), и потом может на то же самое мыло регили новые акки или еще чего-нибудь.
1. MW2 был на абсолютно другом аккаунте, а значит бан не был из-за старых читов.
2. За год я дважды менял ОС с полным форматированием, двое с 4х друзей приобрели новые компьютеры, читы я удалил когда удалял MW2. Стим на новых ПК был установлен с нуля, в старый аккаунт я не заходил (тк. нет смысла, он же забанен). Более того я и ещё один человек сменили провайдеров, а значит и IP адрес.
Я знаю, как работает VAC, но другого логического вывода, кроме как поиск общих переменных во всех этих ситуациях у меня нет.
2. За год я дважды менял ОС с полным форматированием, двое с 4х друзей приобрели новые компьютеры, читы я удалил когда удалял MW2. Стим на новых ПК был установлен с нуля, в старый аккаунт я не заходил (тк. нет смысла, он же забанен). Более того я и ещё один человек сменили провайдеров, а значит и IP адрес.
Я знаю, как работает VAC, но другого логического вывода, кроме как поиск общих переменных во всех этих ситуациях у меня нет.
я предупреждал про отечественных школоло http://habrahabr.ru/blogs/sandbox/131348/
Анонимусы повеселились?
зол на Steam
Хм. Стоит ли боятся тем у кого карта привязана была? Удалять то ее нет уже смысла. Блокировать карту? Не хотелось бы так сильно заморачиваться из за слухов. С другой стороны мало ли…
Скажите, а на сайте steampowered.com можно сменить пароль или только через клиент?
Я как не пытался, не смог найти на сайте такой возможности. Видимо только через клиент
только в клиенте, зная ответ на секретный вопрос
Нынче да, пароль меняется только через клиента из-за аппаратной аутентификации.
А еще в клиенте есть чудесная функция SteamGuard!
SteamGuard — и враг не пройдет :)
SteamGuard — и враг не пройдет :)
А вот если бы это случилось в России:
— У нас все работает — проверьтесь на вирусы!
— У нас все работает — проверьте интернет!
— У нас все работает — мы не телепаты!
— У нас все работает — отстаньте от нас, мы ваше бабло уже получили!
— У нас все работает — проверьтесь на вирусы!
— У нас все работает — проверьте интернет!
— У нас все работает — мы не телепаты!
— У нас все работает — отстаньте от нас, мы ваше бабло уже получили!
— С нашей стороны пакеты вышли!
Локализаторы игры «Рагнарок Онлайн» (сначала ЗАО «Мадос», а потом уже и Gravity СНГ) так до сих пор по-моему и не признали, что в конце 2008го у них увели БД на 400 тысяч записей с логинами, незашифрованными паролями, а так же адресами, телефонами итд. Винили всех, «кировского взломщик аккаунтов», вирусописателей, ботов, даже mail.ru (см. второй абзац).
К сожалению, так делают очень многие.
К сожалению, так делают очень многие.
… и классическое «переустановите Windows».
Как хорошо, что я включил секью режим, и мне каждый раз при авторизации на новой телеге приходит новый код на гмеил почту, в которой мало того, что пароль отличается от стима, так еще и в гмеил включен второй уровень авторизации по СМС, так что можно спать спокойно!
Меня больше не пароли солью беспокоят, а то, что украли «зашифрованную информацию о кредитных картах». Где гарантия того, что с базой не утащили и ключи шифрования? Кредитки — это намного более интересный мотив преступления, чем аккаунты стим и в первую очередь я бы, на месте хакеров, начал искать именно их.
НЛО прилетело и опубликовало эту надпись здесь
А как тогда работает Автоматическое пополнение счёта в Skype, если они не хранят CVV2/CVC2? А покупки в AppStore?
При покупке чего-либо в Стиме я его не ввожу каждый раз. Банк платеж без него не проводит. Но оплата проходит => 3-digit security code они хранят.
Нет, банк авторизует платеж без этого кода. Хранить его нельзя.
Суть в том, что некоторые крупные компании могут себе позволить такую роскошь, как откат платежей в случае, если от пользователя приходит заявка о том что платеж был совершен нелегально.
А CVV/CVC им хранить для этого не обязательно.
А CVV/CVC им хранить для этого не обязательно.
Есть такое понятие — «Регулярный платёж» (Recurring payment). Используется для оплаты различных «подписок». При первоначальной регистрации cvv2 требуется, а для последующих регулярных платежей — не требуется если соблюдены определенные условия: тот-же мерчант, тот-же сервис, та-же сумма, тот-же период. А вообще если CNP(Cardholder Not Present)-транзакция не 3D-Secure то Liability при этом практически всегда будет на мерчанте независимо от использования CVV2.
А если разные периоды, разные суммы и разные сервисы, судя по выписке из банка. Неизменным остаётся только мерчант, что тогда?
Как говорится, it depends. Вполне возможно что условия подписки предполагают автоматическое списание за некие дополнительные сервисы, или вы можете захотеть перейти на другой тарифный план, не дожидаясь окончания биллиногового цикла. Вообще — всё зависит от соглашения, которое вы заключаете с мерчантом при оплате подписки на услугу. При попытке клиента опротестовать транзакцию типа Recurring payment мерчант должен будет показать банку подтверждение согласия клиента с условиями подписки. Если мерчант не сможет подтвердить факт того, что спорная транзакция являлась частью подписки — chargeback будет за его счёт. Но основная мысль, которую я хотел донести — мерчанты работающие по принципу подписки не хранят CVV2. CVV2 вообще никто кроме владельца карты хранить не имеет права.
Кстати всегда было интересно. Все пишут, что не имеют права хранить, но тем не менее у того же Blizzard recurring subscription каким-то образом работает при этом. Значит всё-таки Blizzard хранит? Или как?
Даже PayPal не спрашивает код.
Т.е. либо хранят, либо есть какие-то списки доверенных продавцов и после первого ввода кода его уже не спрашивают
Т.е. либо хранят, либо есть какие-то списки доверенных продавцов и после первого ввода кода его уже не спрашивают
Пейпел проводит транзакцию без использования CVV. Поэтому мне, например, нужно перед каждой оплатой в пейпел звонить в банк и просить отключить проверку CVV.
сменить банк быстрее и проще
При чем тут банк? Банк требует, чтобы при проведении платежа указывался CVV и это правильно. Возможно есть банки, которые отключают проверку CVV для пейпела автоматически, не знаю. Но смысл в том, что в Blizzard и Steam карточка работает с включенной проверкой CVV, значит они его всё-таки отсылают, а раз отсылают — значит хранят.
Никаких списков нет, просто банки стали массово переходить на 3dsecure и VbV, по правилам которой ответственность за транзакции, проведенные не по этой технологии лежит на принявшей ее стороне (магазине, грубо говоря).
уже нет такого правила. Спокойно авторизуют. Другое дело, что такие платежи потом отозвать можно.
НЛО прилетело и опубликовало эту надпись здесь
Пользовался, пользуюсь и буду пользоваться, потому что все аналоги — смех да и только, взять хотя бы ориджин или, прости господи, юплей какой-нибудь.
Если бы эти поганцы еще давали активировать игры друг у друга.
На GG сейчас распродажа игр от Юби, но к стиму те ключи не прицепить
На GG сейчас распродажа игр от Юби, но к стиму те ключи не прицепить
Хотя плохо, что с приходом рублей убрали пайпал, раньше я только им платил.
А зачем покупать игры в Стиме? Есть же ИгроМагаз, plaaay.ru и т.п., там же вроде дешевле обычно.
Вы серьезно? А дешевле они там под доброте душевной продавцов?
Вы про то, что они получены нелегальным путем? Я же не про плати ру, где с кардинга. Тут официально от издателей.
Или вы про нежелание кормить ру издателей? (англ язык как правило везде можно выбрать, хотя в БФ3 например пришлось скачивать дополнительно файлы для англ. в стиме)
Или вы про нежелание кормить ру издателей? (англ язык как правило везде можно выбрать, хотя в БФ3 например пришлось скачивать дополнительно файлы для англ. в стиме)
Что означает этот ехидный комментарий?
Я, как человек имеющий прямое отношение к plaaay.ru отвечу, что все ключи белые и куплены напрямую у издателей. Дешевле они по той причине, что они для России и СНГ, вот и все.
Я, как человек имеющий прямое отношение к plaaay.ru отвечу, что все ключи белые и куплены напрямую у издателей. Дешевле они по той причине, что они для России и СНГ, вот и все.
А вы только хиты покупаете? Я, например, indie games частенько балуюсь, кроме как в стиме или через сайт разработчика — их не купить.
К тому же, я честно говоря, не готов кормить отечественных издателей, ибо делают они всё через ж. И дело даже не в дешевле.
К тому же, я честно говоря, не готов кормить отечественных издателей, ибо делают они всё через ж. И дело даже не в дешевле.
Персонально я покупаю потому, что я хочу играть в игры на языке оригинала. Купить тот же Скайрим ритейловый в России на английском будет почти невозможно — а в русской одноэсной версии нынче не только сабы переведены, но и озвучка сделана.
В Стиме же это сделать — раз плюнуть.
В Стиме же это сделать — раз плюнуть.
Все в одном месте, возможность скачать игры, патчи к ним. Следить за обновлениями. Распродажи, инди игры, море dlc
Игромагаз никогда дешевле чем другие не был — в стиме цены были европейские просто.
НЛО прилетело и опубликовало эту надпись здесь
Поди пролезли по закрытому UDP порту :)
Эх, пошёл Блокировать карту и делать новую. Кто его знает…
НЛО прилетело и опубликовало эту надпись здесь
Вот именно поэтому у меня к стиму и прочим аппсторам привязана Virtual Visa с тремя рублями на счету.
Не лень перевыпускать каждые несколько месяцев и потом еще платить за выпуск новой? Не проще держать отдельный трехгодичный классик, с тремястами рублями(тремя тысячами и тд), и по мере надобности докладывать на него? Из бонусов, нормальная статистика и логи(если придется подтверждать стиму право владения акком, может пригодиться выписка транзакций), можно ходить с ней по улице для терминалов, не таскаясь с зарплатной и тд.
А, вот, не нужно было интегрироваться с PSN'ом.
НЛО прилетело и опубликовало эту надпись здесь
Использую виртуальную карту с привязкой к счёту, которая стоит 75р. за три месяца с изменяемым лимитом. Просто в интернет-банке поставлю лимит 0р. и заведу новую :)
Помнится, когда был взлом Sony кто-то злорадствовал — так и надо мол, а вот Steam не ломают — потому, что там по человечески всё… Да плевали все… Ну, кто-то не будет ломать т.к. уважает Valve, но другим всё равно — им в принципе не важно — что ломать. Ломается — сломают. А разговоры о том, что кто-то корпорация зла и их нужно ломать, раз они такие козлы, а вот те молодцы и их ломать не надо(да и видите — не ломают) — это так… оправдать действия до поры до времени.
Кого-то в КС убили хедшотом — решили вычислить адрес и набить морду.
Пост переписи геймеров хабра.
Хороший повод включить Stam Guard и двухэтапную авторизацию в GMail. Собственно, так и сделал.
Только непонятно, почему при перезапуске стима этот флажок все время сбрасывается, хотя при сохранении настроек пишет, что все ОК и включено.
Только непонятно, почему при перезапуске стима этот флажок все время сбрасывается, хотя при сохранении настроек пишет, что все ОК и включено.
Этот флаг выполняет разовое действие: отзывается авторизация с других компьютеров, разрешение для которых было выдано раньше. Далее как обычно, подтверждение на каждую новую авторизацию.
Это ж разовое действие. Отмечаешь, нажимаешь далее и все авторизации везде кроме этого клиента сбрасываются. Им в интерфейсе клиента надо было сделать кнопку вместо checkbox-а.
Блин, как в воду глядел, в сообщении где говорилось что Sony Network взломали, я упоминал Steam…
Вот ж, дела то какие
Вот ж, дела то какие
Полностью накрылся Стим. Как назло пару недель назад купил новый ДВД посмотреть Source.
Поменял пароль, статус акка нормальный. При попытке зайти в игрушки на сервера либо вишу как тень спектатором — не могу ничего сказать, через несколько секунд дисконектит. Либо если удается войти — несколько секунд бегает потом зависает.
Неделю назад все четко работало!
Поменял пароль, статус акка нормальный. При попытке зайти в игрушки на сервера либо вишу как тень спектатором — не могу ничего сказать, через несколько секунд дисконектит. Либо если удается войти — несколько секунд бегает потом зависает.
Неделю назад все четко работало!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Steam взломан