Kdokoli mohl velmi jednoduše ukrást váš Steam účet
Zásadní chyba Valve.
Pro firmu velikosti Valve jde o trestuhodnou až školáckou chybu. Kdokoli ji mohl zneužít ve dnech 21. - 25. července, než byla v sobotu opravena.
Pokud jste šli na stránku Steamu pro obnovu zapomenutého hesla, stačilo zadat něčí existující uživatelské jméno. Odkliknout další dialog se zasláním verifikačního kódu na váš e-mail a potom nechat následující okno prázdné, abyste se vzápětí dostali na obrazovku, kde si pro daný účet smíte zvolit nové heslo - viz video:
Tímto primitivním způsobem byla ukradena řada účtů prominentních Youtuberů i běžných uživatelů. Nebyl k tomu přitom potřeba phishing či jiné pokročilé metody. Postižení se o tom pak dozvěděli z výpisu přihlášení na jejich účet, když se tam logovali lidé z opačné strany zeměkoule. Obvykle šlo jen o dočasné odcizení účtu.
Valve na závažný problém reagovali slovy, že šlo o chybu, proto rizikovým uživatelům pro jistotu zresetovali heslo. Také zdůraznili, že heslo se "útočník" neměl šanci dozvědět, pouze mohl zadat nové vlastní. Znovu doporučují zapnout si Steam Guard, který v této konkrétní situaci pomohl tím, že se na účet nedalo přihlásit, ani když někdo nepovolaný změnil heslo (thx Kotaku).