Csendben javított egy súlyos hibát a Valve
Durva biztonsági hiba keresítette a Steam-felhasználók életét a hétvégén, a felhasználói név birtokában rosszindulatú (vagy csak poénkodni akaró) illetéktelenek cserélhették a jelszót. A nevetséges hibát mára a Valve foltozta.
A múlt héten számos Steam-fiókot szereztek meg ideiglenesen illetéktelenek a Steam platformon található, kissé abszurd biztonsági rést kihasználva. A hiba az alábbi GIF-en tökéletesen kivehető, a Steam jelszóvisszaálító űrlapja hibásan működik, az emailben küldött visszaállító kód helyességét egyáltalán nem ellenőrzi, rögtön felajánlja az új jelszó rögzítésének lehetőségét.
A hiba úgy kapott gyorsan nagy publicitást, hogy a hibát kihasználva több népszerű felhasználó jelszavát is módosították vicces kedvű illetéktelenek. Az érintettek között Twitchen közvetítők és profi Dota 2 játékosok is voltak, a jelszó elvesztése pedig gyorsan a műsor leállásához vezetett mindkét esetben.
Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.
A hibát a Valve, a Steam platform üzemeltetője 25-én javította, az oldal immár helyesen elvégzi az ellenőrzést, az új jelszó megadása csak akkor lehetséges, ha a felhasználó a helyes kódot adja meg az előző oldalon. A cég érdemben nem kommunikált a hiba kapcsán, csupán annyit tett közzé, hogy a felhasználók védelmében az érintett fiókok jelszavát alaphelyzetbe állítja, vagyis új jelszó beállítására kéri őket. A Valve felhívja a figyelmet, hogy a biztonsági rés csak a jelszó megváltoztatását tette lehetővé egy tetszőleges új jelszóra, a régi jelszóhoz a támadók egyáltalán nem férhettek hozzá.
A tátongó biztonsági rés azért okozott meglepetést, mert a Valve híresen ügyel a rendszer integritására, alapértelmezésben kínálja például bejelentkezéskor a kétfaktoros autentikációt, új gépről bejelentkezve a jelszó mellett szükség van az emailben elküldött kódsorra is. A biztonsági réteg kikapcsolható, azonban a regisztrált emaillel rendelkező felhasználóknál alapértelmezésben aktív. A Steam Guard névre keresztelt rendszer a fenti támadás esetében is működött, és az aktív védelem esetén meggátolta a fiókhoz való hozzáférést - igaz, a jelszó megváltoztatását nem akadályozta meg.