Как я потерял свой инвентарь в Steam и почему это может случиться с каждым (или дыра в безопасности Steam)
Как-то после работы я зашёл в свою почту и увидел массу писем, что я якобы продал свой инвентарь и купил копеечную шмотку за тысячи рублей. В голове началась паника, сразу же проскочила страшная мысль — у меня угнали почту, но не сменили пароли. Король Артур, на нас напали. Ведь потеря почты это по сути потеря всего. Эта мысль мгновенно отсеялась, ведь у меня почта защищена двухфакторной аутентификацией, а именно Яндекс. Ключом. Потеряв доступ к телефону можно запросто потерять и почту, восстанавливать её будет гораздо сложнее. На всякий случай даже посмотрел логи входов — ничего подозрительного. Далее пошёл в Steam и действительно, меня поимели.
Было обидно. Обидно не за деньги, которые я потерял, обидно за то, что эти вещи я собирал годами. Кто-то дарил мне свой инвентарь в знак признательности и бросал Доту, плюнув на неё, потому что не мог больше этот цирк выдерживать, кто-то дарил ценные имморталы на дни рождения, какие-то я выбивал своим трудом. Это какая никакая, но приятная память. Это всё гораздо ценнее, чем какие-то деньги и сами текстурки. Но ладно, в сторону лирику, перейдём к анализу ситуации.
Очевидно, что меня сфишили. Даже помню когда и как, было это давненько, месяца полтора-два назад, но тогда я не придал этому особого значения. В тот момент человека из моего френдлиста, судя по всему, взломали, этот аккаунт написал мне, я залогинился и у меня угнали данные. Классика. Честно, в тот момент я подозревал, что возможно тут что-то не чисто, проверил адрес (емнип Хром вроде даже подставил логин:пасс, но возможно это мелкая конфабуляция), вроде всё нормально, но так или иначе я не капли не переживал, ведь есть одно но. Если я сейчас вам дам эти данные, вы не сможете залогиниться в моём аккаунте. Почему? Правильно! Steam Guard. Чтобы залогиниться в моём аккаунте, нужен код подтверждения, который приходит мне на телефон или же, если доступ к телефону потерян, доступ восстанавливается через почту. И это приводит в тупик дальнейшие размышления.
Осознав ситуацию, я пишу в саппорт. Описываю, что случилось, в ответ получаю отписку, что извините, мы понимаем что вы лох высшей категории, учите FAQ, чтобы не быть баттхёртом, включите Steam Guard, почистите компуктер и телефон от вирусов (хаха, вирус на айфон, Pegasus, не иначе), предметы мы вам не вернём. А ещё пожалуйтесь на мошенника сами, логи транзакций мы смотреть не будем.
Секундочку. Включите Steam Guard? Серьёзно? В ответ я пытаюсь выудить у поддержки подробности, ведь никто ничего не выключал. Следующий сотрудник уже немного пошевелился или же пошевелил извилиной и выдал такое:
Это ли не прекрасно? Вот и всё, дело раскрыто. Я сам отдал кому-то свой код безопасности Steam Guard, плюс имею вирусы на айфоне или ПК. Но…
Всё таки что-то не сходится. Я совершенно точно помню, что мне не приходили никакие пуши от Steam, не говоря уже о том, чтобы я их кому-то сообщал. ПК я не использовал к тому моменту две недели, да и Windows Defender к этому моменту стал не просто огромным куском кода, который съедает вашу ОЗУ. Сам я был в командировке и сидел с макбука, с которого я работаю, сёрфлю и почти не играю, к тому моменту со Стимом я не взаимодействовал как-либо несколько дней точно, а то и неделю. Возможно, конечно, я мог просто не заметить входящего пуша с кодом и вирус(!) утащил код. На первый взгляд звучит маловероятно, но вполне возможно, если закрыть глаза на огороженность iOS, но наши глаза открыты. Я встречал вредоносные программы на Android (это было очень давно, давайте без холиваров), но iOS устроен таким образом, что каждое приложение варится внутри самого себя, а любое действие во вне должно строго подтверждаться системными диалогами. Это его бич и в то же время спасение.
Короче говоря, несостыковка. Если кто-то и может разобраться в том, что произошло, посмотреть логи и т. п., то это Valve. Пользователю тоже доступны логи, но они настолько всратые и ограниченные, что смысла смотреть их немного. И я опять пишу в поддержку, пытаясь выяснить, как всё же всё таки хацкер смог получить код, на что получаю ответ: изучайте FAQ, пожалуйтесь на мошенника сами, возможно мы что-то даже с ним сделаем, возможно нет, предметы не вернём и ну в этой ситуации мы просто наша эта самая мы уже здесь наши полномочия всё, окончены. «Прекрасный ответ», — подумал я, но нисколько не раскрывает завесу тайны Steam Guard, поэтому делаю ещё попытку.
В этот раз я пишу, что в предыдущем обращении ответа на мой вопрос про код Steam Guard не последовало и прямо утверждаю, что судя по всему в Steam есть брешь в безопасности, поскольку никакой код я никому не отдавал, я нахожусь в трезвом уме и здравой памяти. И если Valve не объяснит мне, где я был не прав, или не разберётся с дырой, то я предам ситуацию огласке, что я собственно сейчас и делаю, потому что если мои выводы верны, то Steam Guard это просто дверь без стен для тех, кто знает об этом, более того, он даже вреден, так как, емнип, если у вас не активен Steam Guard, то при логине с нового устройства ваш инвентарь лочится на две недели. А уж за две недели вы точно восстановите аккаунт и при этом ничего не потеряете. Ответом было то, что то что меня сфишили моя ответственность и никто кроме меня ответственность не несёт, а что касается Steam Guard…
Какой вывод можно сделать из всего произошедшего? Valve не очень заинтересованы в вашей и своей безопасности и их не очень колышит то, что всё вами нажитое может в любой момент утеряно. Разбираться со своими проблемами у них нет желания, хотя можно было бы как минимум по логам отследить кто и куда вывел деньги и залочить его, но это почему-то, по их словам, моя забота. Никто не застрахован от фишинга, например я, опытный пользователь сети «Интернет» со стажем около 25 лет, всегда его боялся и всегда смотрю в адресную строку хотя бы одним глазом, стараюсь иметь разные пароли и менять их хотя бы раз в пару лет. И для того, чтобы вы оставались в безопасности, есть Steam Guard, который, судя по всему, просто не работает должным образом. Особенно это интересно на фоне того, что в мобильном бета-клиенте Steam проходит тест логина по QR-коду.
Будьте внимательнее и берегите себя.
upd
Дело раскрыто в комментариях. Valve в своём репертуаре. Если вы обычный юзер, то для вас есть двухфакторка, а если мошенник, то нет.
Комментарий недоступен
Спору нет. Но где в этот момент был Steam Guard?
Реально почему-то под каждым постом "Жесть может случится с каждым" оказываются то видеокарты авитодоставкой, то ввод логина и пароля в хз какую форму.
Автору сочувствую, но блин.
Аффтор, начнём с того, что вам надо признать, что вы сами - еблан, который ходит и логинится по разным веселым ссылкам. Потому что вот это описание взлома посереди длинной портянки про злых Valve говорит абсолютно всё:
В тот момент человека из моего френдлиста, судя по всему, взломали, этот аккаунт написал мне, я залогинился и у меня угнали данные.
И если вы готовы перестать винить в своём проёбе кого-то ещё, плюс рассказывать о каких-то мифических ДЫРАХ В БЕЗОПАСНОСТИ Steam, попробуйте копать в сторону API Key.
Для этого перейдите на страницу ключа Steam API https://steamcommunity.com/dev/apikey и нажмите «Отозвать мой ключ Steam Web API». Новый ключ будет сгенерирован системой автоматически.
Upd: Общее описание сути данного скама.
There is this so-called "Steam web API key scam" which is ongoing for years at this point: Scammers create phishing Steam login pages to grab people's credentials. Just with these credentials, the damage an attacker can do is still limited because of 2FA. However, the biggest flaw is that it is possible to automatically create API keys for the phished accounts that allow 24/7 remote access of these Steam accounts without the user even noticing. With this access, scammers then automatically modify and alter trades at will and at any time in the future, milliseconds before people confirm them using their mobile device (2FA), e.g., by declining the original trade and setting up a new trade with a scammer's bot account that has changed its profile data to the one of the actually intended trading partner.
This attack is mostly based on phishing, spoofing and confusion, but it could at least be made much harder by preventing automated API key generation and therefore indefinite access to an account (e.g., by implementing email confirmations or captchas for API key generation).
Я не говорю что рррряяяя, Валв виноваты, я ничего не делал оно само. Я хочу знать цепочку событий, что и как произошло и она не складывается. Я соответственно спросил у поддержки, но ответа не получил. Плюс, тут напомнили, что для того, чтобы сделку как-то подтвердить, нужно зайти в приложение, в пункт подтверждения и подтвердить. Емнип, чтобы зайти в приложение, нужен доступ к почте. Отсюда какой вывод делается?
С Стим апи и его возможностями не особо знаком, но ключ поменяю, конечно.
Комментарий недоступен
С API стимгвард не нужонУ меня улыбка до ушей уже. Дверь без стен.