Skip to main content

Kdokoli mohl velmi jednoduše ukrást váš Steam účet

Zásadní chyba Valve.

Pro firmu velikosti Valve jde o trestuhodnou až školáckou chybu. Kdokoli ji mohl zneužít ve dnech 21. - 25. července, než byla v sobotu opravena.

Pokud jste šli na stránku Steamu pro obnovu zapomenutého hesla, stačilo zadat něčí existující uživatelské jméno. Odkliknout další dialog se zasláním verifikačního kódu na váš e-mail a potom nechat následující okno prázdné, abyste se vzápětí dostali na obrazovku, kde si pro daný účet smíte zvolit nové heslo - viz video:

Watch on YouTube

Tímto primitivním způsobem byla ukradena řada účtů prominentních Youtuberů i běžných uživatelů. Nebyl k tomu přitom potřeba phishing či jiné pokročilé metody. Postižení se o tom pak dozvěděli z výpisu přihlášení na jejich účet, když se tam logovali lidé z opačné strany zeměkoule. Obvykle šlo jen o dočasné odcizení účtu.

Valve na závažný problém reagovali slovy, že šlo o chybu, proto rizikovým uživatelům pro jistotu zresetovali heslo. Také zdůraznili, že heslo se "útočník" neměl šanci dozvědět, pouze mohl zadat nové vlastní. Znovu doporučují zapnout si Steam Guard, který v této konkrétní situaci pomohl tím, že se na účet nedalo přihlásit, ani když někdo nepovolaný změnil heslo (thx Kotaku).

Read this next