Компания Valve сообщила о закрытии серьезной бреши в сервисе Steam. Уязвимость позволяла сбросить пароль от чужого аккаунта и изменить его, без ведома владельца. Хуже того, баг оказался настолько примитивным, что требовал несколько секунд для реализации, и воспользоваться им мог, в буквальном смысле, любой школьник.
Уязвимость работала примерно с 21 по 25 июля; компания Valve сообщила, что узнала о баге 25 июля и почти сразу приняла меры. Точное число пострадавших неизвестно, но на Reddit в эти дни можно было наблюдать множество сообщений о взломах, в том числе от известных игроков.
Проблема заключалась в функции сброса забытого пароля. Чтобы восстановить свой пароль в Steam, пользователь должен ввести имя своего аккаунта и email, на который придет код подтверждения. Из-за программной ошибки последний этап, когда пользователь должен ввести код подтверждения, из полученного письма, можно было попросту опустить. Поле для ввода кода подтверждения следовало оставить пустым, нажать кнопку «продолжить» и все, можно выбирать новый пароль к чужому аккаунту.
Valve сообщает, что пароли, измененные в период 21-25 июля, были обнулены, и пользователям разосланы соответствующие письма. Также сообщается, что фактические, существующие пароли пользователей раскрыты не были, а пользователи, активировавшие опцию Steam Guard в Steam, и вовсе не пострадали – данная проблема их не коснулась.
Британский геймер под ником Elm Hoe, даже опубликовал видео эксплуатации бага:
Фото: sergesegal@flickr
