15:09
26/7/2015

Błąd w formularzu resetowania hasła umożliwiał wczoraj przez kilka godzin przejmowanie dowolnego konta na platformie Steam, które nie miało włączonego dwuskładnikowego uwierzytelnienia. Ofiarą padło wielu znanych graczy. Na czym polegał exploit?

Wystarczyło rozpocząć procedurę resetu hasła, a następnie, na stronie która oczekiwała podania kodu wysłanego przez system e-mailem, po prostu nacisnąć “Dalej”.

Ekran resetu hasła na Steam

Ekran przypominania hasła na Steam – kod z e-maila nie był wymagany do resetu hasła.

Formularz pomimo braku podania jakiegokolwiek kodu pozwalał na ustawienie nowego hasła do danego konta, a więc w efekcie jego całkowite przejęcie (o ile właściciel nie posiadał aktywnego SteamGuarda). Oto video obrazujące “atak” krok po kroku:

Szczęście w nieszczęściu — jeśli komuś przejęto konto — mógł je odzyskać w ten sam sposób ;-) Ta sytuacja to kolejny przykład (po podobnym problemie w Skype) na to, dlaczego nie tylko hasła, ale i loginy powinny być unikatowe i nieprzewidywalne.

Jeśli chcecie zwiększyć bezpieczeństwo zakładanych przez siebie kont w różnych serwisach, to polecamy nasz artykuł sprzed roku — dowiecie się z niego dlaczego warto posiadać nieprzewidywalny login, jak namierzyć skąd spammer pozyskał nasz adres e-mail oraz jak tworzyć unikatowe e-maile, jeśli posiadacie skrzynkę na GMailu lub własną domenę.

Za informacje o problemach Steama dziękujemy czytelnikowi Tomkowi

Przeczytaj także:

35 komentarzy

Dodaj komentarz
  1. Ale loginy na Steamie nie są ‘ogólnie znane’, w każdej z gier można mieć inny nick niż login Steama

    • Jak ktoś nazwie swój profil swoim loginem, to staje się powszechnie znany. Jak ktoś wrzuci screena ze steama na reddita bez zamazania loginu, to też staje się powszechnie znany. Jak ktoś streamuje (a streamerzy głównie byli ofiarami) i alt-tabnie do steama, to jego login jest powszechnie znany. Pokazywanie loginu w górnym prawym rogu to durnota na jaką zdecydowało się valve.

    • Mało tego, wystarczy wejść na profil gracza w przeglądarce i w URLu jest jego login niezależnie od tego jaki ma nick. Chyba najprostsza metoda.

    • Przecież w oknie steama wyświetla się nick a nie login. (Obok sklepu, społeczności itd.) A w linku nasze ID, jakie sobie wybierzemy, aby przekierowywało na profil. Więc obydwoje się mylicie. :v

    • @Marcin to w URLu to nie login, no chyba że ktoś sobie tam login ustawi.

      @Drakalen prawy górny róg głównego okna steam, obok środków na Twoim koncie, przycisku przejścia do big picture, powiadomień, a nie w menu.

    • A faktycznie. Mój błąd, przepraszam.

  2. A co ze Steam Guard? Logowanie z nowego urządzenia wymaga dodatkowo kodu…

    • Dobre pytanie.

    • SteamGuard pozostawał aktywny.

    • Nie, jeśli się wyłączy Steam Guarda. :)

    • Osoby ze Steam Guardem nie zostaly dotkniete przez ten ficzer… a wiec artykul lekko wprowadza w blad, bo ten “exploit” nie pozwalal na przejecie dowolnego konta

    • No to napastnik wciśnie “Next” raz jeszcze.

    • W przypadku gdy ktoś miał włączone Steam Guard to nie było możliwości aby zalogować się na czyjeś konto po zmianie hasła, chyba że dana osoba miałaby dostęp do poczty.

    • Można było zmienić hasło do konta, ale zalogować się na nie już nie. Chyba, że ktoś nie miałby włączonego SteamGuarda, ale to znacznie ogranicza funkcjonalność Steam, więc mało kto ma to wyłączone.

      Ciekawie by było jakby ktoś kto włamał się np. na konto Olofmeistera załatwiłby mu VAC bana.

    • Ja na wszelki wypadek mam włączoną na Steamie dwuskładnikowe uwierzytelnienie, wszystkie kody wymagane do logowania czy zmiany danych nie są brane z e-maila a z aplikacji Steam w telefonie, także bez posiadania mojego telefonu(lub kontroli nad nim) nie można zrobić nic z kontem. A co do gdybania na temat VAC bana na koncie takiego gracza jak np. Olofmeister: wydaje mi się że nie miałby większego problemu z odzyskaniem konta, jako że jest profesjonalnym graczem.

    • Pewnie, że by odzyskał, ale na pewno poruszyłoby to scenę do czasu wyjaśnienia. A jak wiemy niesłuszne bany na VAC Valve potrafi rozpatrywać miesiącami.

  3. No i artykol sie jednak pojawil :D
    @Agalin Tak wymaga ale streamerzy nie mieli tego ustawionego i w skutek czego stalo sie co sie stalo …

  4. czemu tylko wczoraj? ponad tydzień temu na maila przychodziły mi formularze resetowania hasła , doszło ich ok 5 pod rząd. już domyślałem się że coś nie tak. więc wydaje mi się że expl0it pojawił się już wcześniej.

  5. > jeśli posiadacie skrzynkę na GMailu lub własną domenę

    Nieładnie tak reklamować sprzedających treść maili reklamodawcom :) Gwoli ścisłości, plus jako recipient-delimiter działa również w Outlooku (dawny Hotmail) czy Yahoo i w pocztach opartych ma usługach tych dostawców.

  6. Hah, nie mam i nigdy nie miałem Steam’a.

    • To jak kiedyś kolega, który się chwalił że nie ma emaila. ;)

    • Nie wiedziałem, że DRM jest teraz traktowany na równi z e-mailem. cośtam cośtam tempora, mores

    • Darmowe skrzynki e-mailowe nie różnią się za bardzo od Steama – nie masz kontroli ani nad adresem, ani zawartością “swojej” skrzynki. Jak provider strzeli focha to wszystkie maile może ci skasować, a adres przekierować do /dev/null. Zupełnie jak Steam z “twoimi” grami.

    • @Raf: miałbyś rację, gdybyś napisał “to jak kiedyś kolega się chwalił, że nie prowadzi kontaktu z ludźmi”. Nie gram w gry, więc po mi Steam? Gdy jeszcze grałem, preferowałem wersje pudełkowe, ale z zupełnie nieważnych dla publiki powodów. Poza tym w tamtych czasach łatwiej i szybciej było się ubrać i pójść do sklepu po grę, niż ściągnąć ;)

  7. Ninja ja też, dopuki paru producentów (np symulatorów) nie powzięło tak durnego pomysłu żeby przejść z nowymi wersjami swoich produktów WŁĄCZNIE na tą platformę … Dramat, bo teraz żeby uruchomić np coś ze stajni Bohemia Interactive muszę odpalać jakieś badziewie które nie dość że siedzi cały czas w trayu i zżera ponad 1000 GDI Objects w windzie to jeszcze (próbuje) śledzić co robię etc . A teraz taki pasztet (na szczęście nie mam takich… pomysłów żeby prezentować swój profil (jak powyżej) :)

    • ja rozumiem ze jestes idiota komputerowy, nie umiejacym sobie skonfigurowac kompa, ale zeby zaraz sie tym chwalic ? :P

  8. Jakby kolega jeszcze ze zrozumieniem czytać spróbował … być może świat wydałby mu się mniej agresywny i nie trzeba byłoby takich epitetów używać :)

    Dobrze spróbuje to napisac jasniej żeyb trafiło
    Tu nie chodzi o to że ktoś chce/nie chce konfigurować, ale że się go do tego zmusza. Za jego własne pieniądze zresztą. Np. kupując ciasto nie oczekuję że bede musiał wykonywać piętnaście dodatkowych czynności żeby go uzyć , czyli zjeść, tylko po prostu rozpakować przełozyć na talerz i spozyć. Tak samo oczekuję od (legalnie) zakupionego produktu . Tego I TYLKO TEGO że będę instalował TEN konkretny produkt i go uzywał.
    Przecież gdyby chciało mi się kupować sobie taką czy inną platformę społecznościową to bym sobie kupił/załozył/etc konto w niej i chwatit’ . Ale ja nie kupuję konta w Steamie, bo do niczego nie jest mi ono potrzebne ja tylko chcę kupić KONKRETNY PRODUKT i tyle . A nie produkt + gadżety + popierdułki + 500 lajków w promocji + …. + obietnice że jesli sobie pogrzebię trochę to będzie i tak prawie działać to co chcę :D :P

    A streamingi, zrzuty udostępnianie plików i innych rzeczy, dziękuje ale załatwiam robię skutecznie sam.

    • ten wpis kolejny raz uzmyławia mi jacy zabawni ludzie na świecie istnieją.. tzw. problemy pierwszego świata “narzekam bo dostałem więcej niż chciałem”

    • @bart
      raczej: “narzekam bo dostałem to czego nie chciałem, a w zamian zabrano mi to co chciałem”

    • Osobiście używam i nawet lubię Steama, ale trzeba przyznać rację markooff’owi.
      Obecnie kupując większość gier nie dość, że nie kupuje się ich na własność (Steam może ot tak ci je zabrać i nic ci do tego) to jeszcze trzeba je aktywować przez dodatkowe oprogramowanie (Steam, Uplay, Origin).
      Dodatkowo, jeśli kupisz wersję pudełkową to bardzo często płytę możesz wyrzucić, bo instalacja i tak polegać będzie na ściągnięciu masy aktualizacji z sieci.

  9. Myślę, że najłatwiej uzyskać dostęp do czyjegoś konta może właściciel skrzynki e-mail. Nie znam serwisu, który pozwalałby na podanie klucza publicznego, żeby zaszyfrować nim link do zresetowania albo nowe hasło. Kiedy taka niezaszyfrowana wiadomość przychodzi na naszą skrzynkę, jej admini (np. w przypadku Gmaila – właściciele i pracownicy Google) również mają dostęp do naszego konta. Ciekawe, czy korzystają z tej możliwości…

  10. Drogi niebezpieczniku! Nie bałbym się nawet podać ani loginu (który jest niewidoczny na profilu, co było wspomniane) ani nawet hasła publicznie (wspomniany steam guard). Oczywiście oznaczałoby to zaspamowanie próbami zalogowania się, ale nikt by mi konta nie przejął… To co tu robi to “przejąć dowolne konto” w tytule?

  11. To już trudno nazwać atakiem. W sądzie użycie przycisku *dalej” bez próby łamania hasła chyba by nie przeszło jako naruszenie zabezpieczenia elektronicznego, ponieważ de-facto zabezpieczenia nie było.

  12. To ktoś chyba wykorzystał jakiegoś bota i sprawdzał wszystkie ID po kolei, bo przypominam sobie, że też miałem raz klucz do Steam Guarda, którego nie aktywowałem. Wtedy to olałem, ale teraz ma to sens :)

  13. A faktycznie. Mój błąd, przepraszam.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.