Steam-tilit olivat alttiita vakaville salasanan palautusvirheille 4 päivän ajan

Steam-tilit olivat alttiita vakaville salasanan palautusvirheille 4 päivän ajan

Videopelien suoratoistopalvelu Steam on ollut altis vakavalle salasanojen hyväksikäytötekniikalle ainakin 21. heinäkuuta lähtien, ja ellei salasananvaihdon viisipäiväisiä kieltoja, paljon Steamin käyttäjiä olisi voinut olla suurissa vaikeuksissa.


optad_b

Menetelmä luvattoman pääsyn saamiseksi Steam-tileille tuskin täyttää hakkeroinnin vaatimukset. Salasanan palautuspyynnöt luovat sähköpostin kyseisen Steam-käyttäjän osoitteeseen. Tämä sähköposti sisältää koodin, joka on syötettävä palautusprosessin jatkamiseksi. Mutta salasanan palautusvirhe ohitti koodivaiheen ja salli nollaamisen ilman tarkistusta.

Toisin sanoen, jos joku tiesi Steam-tilisi nimen - esimerkiksi, jos suoratoistoit pelejäsi Twitchissä ja kirjautumisikkuna oli näkyvissä, hän voi käyttää tiliäsi, vaihtaa salasanasi ja lukita sinut tehokkaasti.



YouTuber Elm Hoe esitteli prosessin lauantaina ladatussa videossa. Hän kertoi myös kommenteissa, että videon julkaisemisen jälkeen 'noin 2000' ihmistä yritti käyttää menetelmää hänen tilinsä käyttämiseen.

Elm Hoe kertoi myös, että Steam-tilin haavoittuvuus korjataan kymmenen minuuttia videon julkaisemisen jälkeen.

Steam asettaa viiden päivän kaupankäyntikiellon salasanan palauttamisen jälkeen ja seitsemän päivän kaupankäyntikiellon, kun Steam-tiliä käytetään uudesta IP-osoitteesta. Näiden toimenpiteiden olisi pitänyt suojata ketään, jonka tili on vaarantunut tämän virheen avulla.



Niiden käyttäjien raporttien perusteella, jotka olivat lukittu tilinsä virheen takia, Valve ei ilmeisesti varoittanut Steamin käyttäjiä ongelmasta heti sen löytämisen jälkeen.

Itse asiassa Kotakulle, Valve, annetussa lausunnossa sanoi että se löysi salasanan palautusvirheen vasta 25. heinäkuuta ja että ongelma olisi voinut vaikuttaa tileihin 21. heinäkuuta - 25. heinäkuuta.

'Käyttäjien suojaamiseksi palautamme salasanat tileille, joilla on epäilyttäviä salasanan muutoksia tuona aikana tai [että] muuten on saattanut vaikuttaa', Valve sanoi lausunnossaan. 'Asiaankuuluvat käyttäjät saavat sähköpostin uudella salasanalla. Kun sähköposti on vastaanotettu, on suositeltavaa, että käyttäjät kirjautuvat tililleen Steam-asiakasohjelman kautta ja asettavat uuden salasanan. '

Valve sanoi myös, että vaikka hakkerit olisivat voineet vaihtaa tilin salasanat hyödyntämällä virhettä, kukaan hakkeri ei olisi voinut nähdä tilin alkuperäistä salasanaa ja että jos Steamin kaksivaiheinen todennus, Steam Guard , oli aktivoitu, kaikki virheen kautta käytetyt tilit olisi silti suojattu luvattomilta kirjautumisilta.

Kuva: Jason Reed