Пользователи Reddit сообщили об эксплойте, срабатывающем при просмотре профилей в Steam

Отправляем письма
с главными игровыми новостями недели

Valve пока не подтвердила информацию.

7 февраля в подразделе Reddit, посвящённом Steam, появилась информация о возможной уязвимости сервиса Valve, которая позволяет злоумышленникам выполнять действия от лица пользователей, просмотревших определённые профили.

Обновление на 20:33: существование эксплойта подтвердил сервис SteamDB. По информации модератора Reddit, уязвимость уже была частично устранена — она осталась только при просмотре ленты новостей друзей.

По словам модератора r/Steam под ником R3TR1X, он не планирует подробно рассказывать об эксплойте до тех пор, пока сотрудники Valve не устранят его. Он утверждает, что уже отправил всю необходимую информацию создателям сервиса.

По словам R3TR1X, эскплойт позволяет злоумышленникам спрятать вредоносный код прямо в профилях пользователей Steam, поэтому стать жертвой можно просто просматривая чужие страницы в сервисе или ленту с новостями друзей.

R3TR1X рекомендует всем пользователям Steam на время отключить Java Script в настольных и мобильных браузерах, а также не открывать профили незнакомых людей. Тем, кто уже подвергся атаке, он советует сменить пароль, включить мобильный аутентификатор и просканировать компьютер на наличие вирусов.

Всех, кто будет делиться информацией об эксплойте или делиться ссылками на заражённые профили на Reddit,  R3TR1X обещает забанить.

Как отмечает пользователь под ником DirtDiglett, назвавшийся веб-программистом, в теории с помощью уязвимости злоумышленники могут перенаправить пользователя на фишинговую страницу и попросить заново ввести логин и пароль, таким образом завладев ими. Кроме того, хакеры также могут выполнять определённые действия, не требующие подтверждения — например, тратить средства из кошелька владельца в Steam.

На текущий момент информация об эксплойте никак не подтвердилась, поэтому заявления  R3TR1X, пусть он и является модератором r/Steam, пока стоит воспринимать с долей скепсиса.

#хакеры #steam

Комментарии
Последние Лучшие

Ну это ясное дело, просто, Steam это же не какой то mySpace где можно свой код писать, там максимум выделение текста и другие косметические приемы, что же там такое?

Стим - очень сложная система, и косметика там - очень небольшая часть кода. Честно говоря, всё объяснять сейчас лень. Просто вспомни, что умеет стим, начиная с первоначальной функции - покупки игр, заканчивая всякой приватностью и социалкой типа ачивок и карточек, и сразу вопросы о том, "что же там, кроме косметики может быть" отпадут.

как я понял, от разработки ПО ты далёк, поэтому, возможно, тебе так и кажется. если коротко - всё не так, как ты себе представляешь. уязвимости могут появиться на любом уровне: на уровне самого приложения, её собственных библиотек, сторонних компонентов и сервисов, и даже операционных систем и железа, так что любой написанный кусок кода может содержать уязвимость ДАЖЕ в случае, когда конкретно выделенный разработчик его написал корректно. поэтому - ничего удивительного, такое бывает у всех, вне зависимости от размера компании и инфраструктуры

При чём тут разные уровни, библиотеки и компоненты ОС, если здесь речь конкретно про XSS? Принципы XSS-атак общеизвестны, как от них защищаться - тоже. Вопрос лишь аккуратности и тщательности.

это конкретно здесь, а я про проблемы в общем. когда в каком-нибудь openvpn вылезает 0-day уязвимость, страдают все, не только конкретные пользователи, но и огромные компании, которые полагаются на неё.
конкретно здесь - да, не спорю, это xss вполне привычный.

Исключительно по твоей просьбе! Держи

Ответ в стиле "Ой, все, мне вас жаль, тебе не понять"
Наглядный пример, как выйти из спора и при этом остаться дураком.

R3TR1X рекомендует всем пользователям Steam на время отключить Java Script в настольных и мобильных браузерах, а также не открывать профили незнакомых людей.

так это актуально для браузеров или для клиента тоже?

Эксплоит реально существует, отлично обрабатывается в клиенте и браузере :)

Даже на всякий случай поставил семейный режим)

А мне плевать, я чужие профили не просматриваю, незнакомцев не добавляю, в группы не вступаю :)

Как во встроенном браузере клиента вырубить javascript?
steam://open/console - в консоли никаких подобных команд не нашел

Молодой человек, отключите javascript. Ишь чего удумал, вопросики он тут задаёт, видите ли.

Прямой эфир
Узнавайте первым
о важных новостях
Мы будем присылать вам только срочные уведомления в браузере
Хидэо Кодзима покинул Konami и перешел в Sony
Хочу знать!
Не нужно