Пользователи Reddit сообщили об эксплойте, срабатывающем при просмотре профилей в Steam

Valve пока не подтвердила информацию.

В закладки

7 февраля в подразделе Reddit, посвящённом Steam, появилась информация о возможной уязвимости сервиса Valve, которая позволяет злоумышленникам выполнять действия от лица пользователей, просмотревших определённые профили.

Обновление на 20:33: существование эксплойта подтвердил сервис SteamDB. По информации модератора Reddit, уязвимость уже была частично устранена — она осталась только при просмотре ленты новостей друзей.

По словам модератора r/Steam под ником R3TR1X, он не планирует подробно рассказывать об эксплойте до тех пор, пока сотрудники Valve не устранят его. Он утверждает, что уже отправил всю необходимую информацию создателям сервиса.

По словам R3TR1X, эскплойт позволяет злоумышленникам спрятать вредоносный код прямо в профилях пользователей Steam, поэтому стать жертвой можно просто просматривая чужие страницы в сервисе или ленту с новостями друзей.

R3TR1X рекомендует всем пользователям Steam на время отключить Java Script в настольных и мобильных браузерах, а также не открывать профили незнакомых людей. Тем, кто уже подвергся атаке, он советует сменить пароль, включить мобильный аутентификатор и просканировать компьютер на наличие вирусов.

Всех, кто будет делиться информацией об эксплойте или делиться ссылками на заражённые профили на Reddit,  R3TR1X обещает забанить.

Как отмечает пользователь под ником DirtDiglett, назвавшийся веб-программистом, в теории с помощью уязвимости злоумышленники могут перенаправить пользователя на фишинговую страницу и попросить заново ввести логин и пароль, таким образом завладев ими. Кроме того, хакеры также могут выполнять определённые действия, не требующие подтверждения — например, тратить средства из кошелька владельца в Steam.

На текущий момент информация об эксплойте никак не подтвердилась, поэтому заявления  R3TR1X, пусть он и является модератором r/Steam, пока стоит воспринимать с долей скепсиса.

#хакеры #steam

{ "author_name": "Вадим Елистратов", "author_type": "editor", "tags": ["steam","\u0445\u0430\u043a\u0435\u0440\u044b"], "comments": 25, "likes": 46, "favorites": 0, "is_advertisement": false, "subsite_label": "flood", "id": 4181, "is_wide": false }
{ "id": 4181, "author_id": 3351, "diff_limit": 1000, "urls": {"diff":"\/comments\/4181\/get","add":"\/comments\/4181\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/4181"}, "attach_limit": 2, "max_comment_text_length": 5000 }

25 комментариев 25 комм.

Популярные

По порядку

Написать комментарий...

Костик Смит

13

удаляйте пост, Юрию Флешу плевать

Ответить

Сергей Сафронов

Костик
0

Что за детсад... о.О

Ответить

Andrey Apanasik

5

Ещё есть те, кто двухфакторную аутентификацию не прикрутил? =\

Ответить

Георгий Ёлкин

–19

Как же я обожаю эти баги в коде от компании которая стоит несколько миллиардов долларов

Ответить

Рашит Шарафутдинов

Георгий
24

никто не застрахован

Ответить

Orgazmator Ivanovich

Георгий
12

Баги в коде не делает только тот, кто код не пишет.

Ответить

Георгий Ёлкин

Orgazmator
–2

Ну это ясное дело, просто, Steam это же не какой то mySpace где можно свой код писать, там максимум выделение текста и другие косметические приемы, что же там такое?

Ответить

Orgazmator Ivanovich

Георгий
10

Стим - очень сложная система, и косметика там - очень небольшая часть кода. Честно говоря, всё объяснять сейчас лень. Просто вспомни, что умеет стим, начиная с первоначальной функции - покупки игр, заканчивая всякой приватностью и социалкой типа ачивок и карточек, и сразу вопросы о том, "что же там, кроме косметики может быть" отпадут.

Ответить

Антон Лапшин

Георгий
5

как я понял, от разработки ПО ты далёк, поэтому, возможно, тебе так и кажется. если коротко - всё не так, как ты себе представляешь. уязвимости могут появиться на любом уровне: на уровне самого приложения, её собственных библиотек, сторонних компонентов и сервисов, и даже операционных систем и железа, так что любой написанный кусок кода может содержать уязвимость ДАЖЕ в случае, когда конкретно выделенный разработчик его написал корректно. поэтому - ничего удивительного, такое бывает у всех, вне зависимости от размера компании и инфраструктуры

Ответить

Ivan Polyacov

Антон
0

При чём тут разные уровни, библиотеки и компоненты ОС, если здесь речь конкретно про XSS? Принципы XSS-атак общеизвестны, как от них защищаться - тоже. Вопрос лишь аккуратности и тщательности.

Ответить

Антон Лапшин

Ivan
0

это конкретно здесь, а я про проблемы в общем. когда в каком-нибудь openvpn вылезает 0-day уязвимость, страдают все, не только конкретные пользователи, но и огромные компании, которые полагаются на неё.
конкретно здесь - да, не спорю, это xss вполне привычный.

Ответить

Георгий Ёлкин

Георгий
0

можно было*

Ответить

Георгий Ёлкин

Георгий
–16

Ой нафлудили тут, даже и не поняв про что я, типичные комментаторы дтф и тижорнала, такое и ожидал, сюда тоже поставьте минусов хД

Ответить

Антон Лапшин

Георгий
1

КОММЕНТЫ НЕ ЧИТАЙ
@
В АТАКУ НАБИГАЙ

Ответить

Павел Осипкин

Георгий
1

Ответ в стиле "Ой, все, мне вас жаль, тебе не понять"
Наглядный пример, как выйти из спора и при этом остаться дураком.

Ответить

WildBLR

Георгий
0

Исключительно по твоей просьбе! Держи

Ответить

Георгий Ёлкин

WildBLR
0

Сюда тоже хочу!

Ответить

Andrey Apanasik

2

Btw, обновите пост. Эксплоит уже пофиксили https://www.reddit.com/r/Steam/comments/5smjle/an_xss_exploit_on_steam_profiles_has_been_fixed/

Ответить

Юрий Флеш

0

А мне плевать, я чужие профили не просматриваю, незнакомцев не добавляю, в группы не вступаю :)

Ответить

Soldier: 76

Юрий
2

Ну обосраться теперь.

Ответить

Федор Котов

1

Как во встроенном браузере клиента вырубить javascript?
steam://open/console - в консоли никаких подобных команд не нашел

Ответить

Marty E. Oneil

Федор
–1

Молодой человек, отключите javascript. Ишь чего удумал, вопросики он тут задаёт, видите ли.

Ответить

Андрей Юкевич

0

R3TR1X рекомендует всем пользователям Steam на время отключить Java Script в настольных и мобильных браузерах, а также не открывать профили незнакомых людей.

так это актуально для браузеров или для клиента тоже?

Ответить

Egin Kaman

0

Эксплоит реально существует, отлично обрабатывается в клиенте и браузере :)

Ответить

Вячеслав Малашкін

0

Даже на всякий случай поставил семейный режим)

Ответить
0

Прямой эфир

Подписаться на push-уведомления
[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjog" } } }, { "id": 10, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-250597-0", "render_to": "inpage_VI-250597-0-1134314964", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=clmf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudo", "p2": "ftjf" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvc" } } } ]