Очевидно, что меня сфишили. Даже помню когда и как, было это давненько, месяца полтора-два назад, но тогда я не придал этому особого значения. В тот момент человека из моего френдлиста, судя по всему, взломали, этот аккаунт написал мне, я залогинился и у меня угнали данные. Классика. Честно, в тот момент я подозревал, что возможно тут что-то не чисто, проверил адрес (емнип Хром вроде даже подставил логин:пасс, но возможно это мелкая конфабуляция), вроде всё нормально, но так или иначе я не капли не переживал, ведь есть одно но. Если я сейчас вам дам эти данные, вы не сможете залогиниться в моём аккаунте. Почему? Правильно! Steam Guard. Чтобы залогиниться в моём аккаунте, нужен код подтверждения, который приходит мне на телефон или же, если доступ к телефону потерян, доступ восстанавливается через почту. И это приводит в тупик дальнейшие размышления.
Комментарий недоступен
Спору нет. Но где в этот момент был Steam Guard?
Реально почему-то под каждым постом "Жесть может случится с каждым" оказываются то видеокарты авитодоставкой, то ввод логина и пароля в хз какую форму.
Автору сочувствую, но блин.
Аффтор, начнём с того, что вам надо признать, что вы сами - еблан, который ходит и логинится по разным веселым ссылкам. Потому что вот это описание взлома посереди длинной портянки про злых Valve говорит абсолютно всё:
В тот момент человека из моего френдлиста, судя по всему, взломали, этот аккаунт написал мне, я залогинился и у меня угнали данные.
И если вы готовы перестать винить в своём проёбе кого-то ещё, плюс рассказывать о каких-то мифических ДЫРАХ В БЕЗОПАСНОСТИ Steam, попробуйте копать в сторону API Key.
Для этого перейдите на страницу ключа Steam API https://steamcommunity.com/dev/apikey и нажмите «Отозвать мой ключ Steam Web API». Новый ключ будет сгенерирован системой автоматически.
Upd: Общее описание сути данного скама.
There is this so-called "Steam web API key scam" which is ongoing for years at this point: Scammers create phishing Steam login pages to grab people's credentials. Just with these credentials, the damage an attacker can do is still limited because of 2FA. However, the biggest flaw is that it is possible to automatically create API keys for the phished accounts that allow 24/7 remote access of these Steam accounts without the user even noticing. With this access, scammers then automatically modify and alter trades at will and at any time in the future, milliseconds before people confirm them using their mobile device (2FA), e.g., by declining the original trade and setting up a new trade with a scammer's bot account that has changed its profile data to the one of the actually intended trading partner.
This attack is mostly based on phishing, spoofing and confusion, but it could at least be made much harder by preventing automated API key generation and therefore indefinite access to an account (e.g., by implementing email confirmations or captchas for API key generation).
Я не говорю что рррряяяя, Валв виноваты, я ничего не делал оно само. Я хочу знать цепочку событий, что и как произошло и она не складывается. Я соответственно спросил у поддержки, но ответа не получил. Плюс, тут напомнили, что для того, чтобы сделку как-то подтвердить, нужно зайти в приложение, в пункт подтверждения и подтвердить. Емнип, чтобы зайти в приложение, нужен доступ к почте. Отсюда какой вывод делается?
С Стим апи и его возможностями не особо знаком, но ключ поменяю, конечно.
Комментарий недоступен
С API стимгвард не нужонУ меня улыбка до ушей уже. Дверь без стен.