Компания Valve сообщила об устранении уязвимости в системе безопасности онлайн-службы Steam, крупнейшего сервиса, специализирующегося на цифровом распространении компьютерных игр, передает портал Kotaku.
Представители компании сообщили, что узнали о бреши 25 июля. Произошедшее они назвали результатом ошибки в коде. В компании предупредили, что обнулят пароли к ряду учетных записей. Владельцы получат новые коды доступа по e-mail. Это затронет аккаунты, в которых совершались подозрительные изменения в период с 21 по 25 июля.
В Valve отметили, что если пользователи активировали cистему дополнительной авторизации Steam Guard, то у злоумышленников не было возможности зайти в их учетную запись, даже если пароль был изменен без ведома владельца аккаунта.
Согласно появившимся в открытом доступе на сервисе YouTube объяснениям, за счет бреши в безопасности кражу могли осуществить даже неспециалисты. Злоумышленникам требовалось знать только имя пользователя (логин). Отправив запрос на восстановление пароля, они получали доступ к форме, куда требовалось ввести авторизационный код, отправленный законному владельцу учетной записи. Однако оказалось, что поле можно было оставить чистым — система все равно предоставляла автору запроса возможность сменить пароль и таким образом перехватить аккаунт.
Точное количество взломанных учетных записей неизвестно. Однако на форумах Reddit появились сообщения, что без доступа к аккаунтам остались несколько популярных на западе видеоблогеров.
Steam — крупнейший сервис цифровой дистрибуции игр для PC. Количество зарегистрированных в нем аккаунтов на данный момент превышает 75 миллионов.