Как я потерял свой инвентарь в Steam и почему это может случиться с каждым (или дыра в безопасности Steam)
Как-то после работы я зашёл в свою почту и увидел массу писем, что я якобы продал свой инвентарь и купил копеечную шмотку за тысячи рублей. В голове началась паника, сразу же проскочила страшная мысль — у меня угнали почту, но не сменили пароли. Король Артур, на нас напали. Ведь потеря почты это по сути потеря всего. Эта мысль мгновенно отсеялась, ведь у меня почта защищена двухфакторной аутентификацией, а именно Яндекс. Ключом. Потеряв доступ к телефону можно запросто потерять и почту, восстанавливать её будет гораздо сложнее. На всякий случай даже посмотрел логи входов — ничего подозрительного. Далее пошёл в Steam и действительно, меня поимели.
Было обидно. Обидно не за деньги, которые я потерял, обидно за то, что эти вещи я собирал годами. Кто-то дарил мне свой инвентарь в знак признательности и бросал Доту, плюнув на неё, потому что не мог больше этот цирк выдерживать, кто-то дарил ценные имморталы на дни рождения, какие-то я выбивал своим трудом. Это какая никакая, но приятная память. Это всё гораздо ценнее, чем какие-то деньги и сами текстурки. Но ладно, в сторону лирику, перейдём к анализу ситуации.
Очевидно, что меня сфишили. Даже помню когда и как, было это давненько, месяца полтора-два назад, но тогда я не придал этому особого значения. В тот момент человека из моего френдлиста, судя по всему, взломали, этот аккаунт написал мне, я залогинился и у меня угнали данные. Классика. Честно, в тот момент я подозревал, что возможно тут что-то не чисто, проверил адрес (емнип Хром вроде даже подставил логин:пасс, но возможно это мелкая конфабуляция), вроде всё нормально, но так или иначе я не капли не переживал, ведь есть одно но. Если я сейчас вам дам эти данные, вы не сможете залогиниться в моём аккаунте. Почему? Правильно! Steam Guard. Чтобы залогиниться в моём аккаунте, нужен код подтверждения, который приходит мне на телефон или же, если доступ к телефону потерян, доступ восстанавливается через почту. И это приводит в тупик дальнейшие размышления.
Осознав ситуацию, я пишу в саппорт. Описываю, что случилось, в ответ получаю отписку, что извините, мы понимаем что вы лох высшей категории, учите FAQ, чтобы не быть баттхёртом, включите Steam Guard, почистите компуктер и телефон от вирусов (хаха, вирус на айфон, Pegasus, не иначе), предметы мы вам не вернём. А ещё пожалуйтесь на мошенника сами, логи транзакций мы смотреть не будем.
Секундочку. Включите Steam Guard? Серьёзно? В ответ я пытаюсь выудить у поддержки подробности, ведь никто ничего не выключал. Следующий сотрудник уже немного пошевелился или же пошевелил извилиной и выдал такое:
Это ли не прекрасно? Вот и всё, дело раскрыто. Я сам отдал кому-то свой код безопасности Steam Guard, плюс имею вирусы на айфоне или ПК. Но…
Всё таки что-то не сходится. Я совершенно точно помню, что мне не приходили никакие пуши от Steam, не говоря уже о том, чтобы я их кому-то сообщал. ПК я не использовал к тому моменту две недели, да и Windows Defender к этому моменту стал не просто огромным куском кода, который съедает вашу ОЗУ. Сам я был в командировке и сидел с макбука, с которого я работаю, сёрфлю и почти не играю, к тому моменту со Стимом я не взаимодействовал как-либо несколько дней точно, а то и неделю. Возможно, конечно, я мог просто не заметить входящего пуша с кодом и вирус(!) утащил код. На первый взгляд звучит маловероятно, но вполне возможно, если закрыть глаза на огороженность iOS, но наши глаза открыты. Я встречал вредоносные программы на Android (это было очень давно, давайте без холиваров), но iOS устроен таким образом, что каждое приложение варится внутри самого себя, а любое действие во вне должно строго подтверждаться системными диалогами. Это его бич и в то же время спасение.
Короче говоря, несостыковка. Если кто-то и может разобраться в том, что произошло, посмотреть логи и т. п., то это Valve. Пользователю тоже доступны логи, но они настолько всратые и ограниченные, что смысла смотреть их немного. И я опять пишу в поддержку, пытаясь выяснить, как всё же всё таки хацкер смог получить код, на что получаю ответ: изучайте FAQ, пожалуйтесь на мошенника сами, возможно мы что-то даже с ним сделаем, возможно нет, предметы не вернём и ну в этой ситуации мы просто наша эта самая мы уже здесь наши полномочия всё, окончены. «Прекрасный ответ», — подумал я, но нисколько не раскрывает завесу тайны Steam Guard, поэтому делаю ещё попытку.
В этот раз я пишу, что в предыдущем обращении ответа на мой вопрос про код Steam Guard не последовало и прямо утверждаю, что судя по всему в Steam есть брешь в безопасности, поскольку никакой код я никому не отдавал, я нахожусь в трезвом уме и здравой памяти. И если Valve не объяснит мне, где я был не прав, или не разберётся с дырой, то я предам ситуацию огласке, что я собственно сейчас и делаю, потому что если мои выводы верны, то Steam Guard это просто дверь без стен для тех, кто знает об этом, более того, он даже вреден, так как, емнип, если у вас не активен Steam Guard, то при логине с нового устройства ваш инвентарь лочится на две недели. А уж за две недели вы точно восстановите аккаунт и при этом ничего не потеряете. Ответом было то, что то что меня сфишили моя ответственность и никто кроме меня ответственность не несёт, а что касается Steam Guard…
Какой вывод можно сделать из всего произошедшего? Valve не очень заинтересованы в вашей и своей безопасности и их не очень колышит то, что всё вами нажитое может в любой момент утеряно. Разбираться со своими проблемами у них нет желания, хотя можно было бы как минимум по логам отследить кто и куда вывел деньги и залочить его, но это почему-то, по их словам, моя забота. Никто не застрахован от фишинга, например я, опытный пользователь сети «Интернет» со стажем около 25 лет, всегда его боялся и всегда смотрю в адресную строку хотя бы одним глазом, стараюсь иметь разные пароли и менять их хотя бы раз в пару лет. И для того, чтобы вы оставались в безопасности, есть Steam Guard, который, судя по всему, просто не работает должным образом. Особенно это интересно на фоне того, что в мобильном бета-клиенте Steam проходит тест логина по QR-коду.
Будьте внимательнее и берегите себя.
upd
Дело раскрыто в комментариях. Valve в своём репертуаре. Если вы обычный юзер, то для вас есть двухфакторка, а если мошенник, то нет.