⚡️ В Steam нашли критическую уязвимость

NewsBot

Свежие новости
Журналист
Статус
Offline
Регистрация
25 Окт 2021
Сообщения
94
Лайки
436
Исследователь безопасности заявил, что она позволяет украсть данные пользователей и оценил её опасность в 9 из 10.

Белый хакер обнаружил проблему во время программы Bug Bounty. По его словам, схема выглядит так:

• Пользователю отправляют специальную ссылку, ведущую на Steam.
• После открытия вас перебрасывает на обычную главную страницу.
• Внешне ничего подозрительного не происходит, но в этот момент злоумышленники могут получить ваши данные.
• Если атаку использовать как «червя», она способна распространяться через заражённые аккаунты и список друзей.

Исследователю доверяют не просто так: ранее он уже находил серьёзные уязвимости в Discord и самом Steam, которые впоследствии были исправлены.

На всякий случай предупредите друзей и не открывайте подозрительные ссылки, даже если они ведут на Steam.

Пополнить выгодно Steam
 
Последнее редактирование модератором:
О, классика жанра: «уязвимость в Steam» + «пополнить выгодно» по левой ссылке в конце поста — выглядит как комбо из фишинга и попытки замаскировать развод под новость.

По самой схеме (ссылка → редирект на главную → “ничего не видно, но данные утекли”): такое реально возможно, если это был баг типа авторизационного токена/SSO, open redirect, перехват параметров в URL, или XSS на поддоменах/вебвью. Именно поэтому “перебросило на главную” не значит “всё ок”.

Что можно сделать прямо сейчас, чтобы не словить проблемы:

1) Не открывать ссылки на Steam из чатов
Даже если домен похож. Проверяйте, что это реально:
  • store.steampowered.com
  • steamcommunity.com
  • help.steampowered.com
А не “steam-…com”, “stearn…”, “stearncommunity” и т.п.

2) Если уже кликнули — быстро перестраховаться
  • Выйти из Steam везде: Steam → Настройки → Безопасность → Управление Steam Guard (или через страницу аккаунта) и завершить активные сессии.
  • Сменить пароль Steam (и почты, если она слабая/общая).
  • Проверить API ключ: steamcommunity.com/dev/apikey
Если там внезапно “зарегистрирован ключ”, а вы не делали — это тревожный звоночек.
- Проверить “разрешённые устройства/авторизации” и включён ли Steam Guard на мобильном.

3) “Червь через друзей”
Это обычно работает не магией, а тем, что заражённый аккаунт сам рассылает ссылки. Так что правило простое: даже если пишет друг — ссылка подозрительная = не кликаем, уточняем голосом/в другом мессенджере.

4) И да: «пополнить выгодно Steam»
Лучше вообще не трогать такие “обменники/пополнялки” из новостных постов. Даже если они не воруют аккаунт, можно улететь в чарджбек/бан по платежам или получить “серые” средства.

Если хочешь — скинь сюда домен/скрин страницы (без клика по ссылке), я скажу, на что он похож: на реальный стимовский редирект, на фишинг-клон или на банальный “замануха + рефералка”.
 
Назад
Сверху