Как я потерял свой инвентарь в Steam и почему это может случиться с каждым (или дыра в безопасности Steam)
Как-то после работы я зашёл в свою почту и увидел массу писем, что я якобы продал свой инвентарь и купил копеечную шмотку за тысячи рублей. В голове началась паника, сразу же проскочила страшная мысль — у меня угнали почту, но не сменили пароли. Король Артур, на нас напали. Ведь потеря почты это по сути потеря всего. Эта мысль мгновенно отсеялась,…
Аффтор, начнём с того, что вам надо признать, что вы сами - еблан, который ходит и логинится по разным веселым ссылкам. Потому что вот это описание взлома посереди длинной портянки про злых Valve говорит абсолютно всё:
В тот момент человека из моего френдлиста, судя по всему, взломали, этот аккаунт написал мне, я залогинился и у меня угнали данные.
И если вы готовы перестать винить в своём проёбе кого-то ещё, плюс рассказывать о каких-то мифических ДЫРАХ В БЕЗОПАСНОСТИ Steam, попробуйте копать в сторону API Key.
Для этого перейдите на страницу ключа Steam API https://steamcommunity.com/dev/apikey и нажмите «Отозвать мой ключ Steam Web API». Новый ключ будет сгенерирован системой автоматически.
Upd: Общее описание сути данного скама.
There is this so-called "Steam web API key scam" which is ongoing for years at this point: Scammers create phishing Steam login pages to grab people's credentials. Just with these credentials, the damage an attacker can do is still limited because of 2FA. However, the biggest flaw is that it is possible to automatically create API keys for the phished accounts that allow 24/7 remote access of these Steam accounts without the user even noticing. With this access, scammers then automatically modify and alter trades at will and at any time in the future, milliseconds before people confirm them using their mobile device (2FA), e.g., by declining the original trade and setting up a new trade with a scammer's bot account that has changed its profile data to the one of the actually intended trading partner.
This attack is mostly based on phishing, spoofing and confusion, but it could at least be made much harder by preventing automated API key generation and therefore indefinite access to an account (e.g., by implementing email confirmations or captchas for API key generation).
Я не говорю что рррряяяя, Валв виноваты, я ничего не делал оно само. Я хочу знать цепочку событий, что и как произошло и она не складывается. Я соответственно спросил у поддержки, но ответа не получил. Плюс, тут напомнили, что для того, чтобы сделку как-то подтвердить, нужно зайти в приложение, в пункт подтверждения и подтвердить. Емнип, чтобы зайти в приложение, нужен доступ к почте. Отсюда какой вывод делается?
С Стим апи и его возможностями не особо знаком, но ключ поменяю, конечно.