Баг Steam позволил украсть аккаунты известных стримеров
На выходных в Steam была обнаружена уязвимость, позволяющая получить доступ к любому аккаунту, не защищенному Steam Guard.
При попытке смены пароля Steam высылает вам на почту код, который вы должны ввести, чтобы подтвердить, что пароль меняете действительно вы. Из-за бага в системе безопасности можно было не вводить кода и просто нажать «Продолжить» для того, чтобы сменить пароль!
От рук злоумышленников пострадал ряд известных стримеров — в том числе Summit1g с его миллионом подписчиков и узбекско-канадский Dota 2-стример Артур Бабаев:
Представители Valve сообщили Kotaku, что 25 июля был обнаружен «баг», который мог «повлиять на смену паролей на ряде Steam-аккаунтов с 21 по 25 июля. Баг теперь устранен».
Ради защиты пользователей Valve автоматически сменила пароли на подозрительных аккаунтах и выслала новые пароли законным владельцам.
Даже если пароль к вашему аккаунту потенциально могли изменить за этот период, сам пароль не был доступен для злоумышленников.
Также сообщается, что при включенной Steam Guard ваш аккаунт был защищен от неавторизованных входов с чужих PC даже после смены пароля.
В 2015 году двухфакторная авторизация через Steam Guard должна быть включена у абсолютно любого человека… но аналогичный баг может позволить столь же спокойно обойти ввод кода, высылаемого через Steam Guard.