Steam opravil nebezpečnú chybu

Najstaršia a najrozšírenejšia platforma digitálneho predaja videohier objavila a opravila nebezpečnú chybu, ktorá umožňovala krádež účtov.

Napriek vzniku viacerých konkurenčných služieb (GoG, Uplay, Origin) ostáva Steam spoločnosti Valve pre viac ako sto miliónov hráčov miestom, kde nakupujú a hrajú rôzne počítačové hry.

Steam však nie je len o kúpe a správe hier. Má aj rozsiahlu sociálnu rovinu. Užívatelia si môžu vytvárať svoje profily, združovať sa do skupín, ale aj obchodovať s virtuálnym majetkom. Ten sa predáva za reálne peniaze, ktoré však ostávajú zviazané s vaším účtom a nedajú sa vyplatiť. Môžete ich využiť len na nákup hier a ďalších virtuálnych predmetov.

Cena jednotlivých obchodovateľných položiek je určovaná ponukou a dopytom a môže narásť až do absurdných čísel (tisíce dolárov). Práve preto sú Steam účty relatívne cenné a útočníkom sa oplatí pokúsiť sa o ich krádež.

Zraniteľnosť, ktorú sa podarilo Valve opraviť, súvisela práve so sociálnou dimenziou Steamu. Dovoľovala totiž vložiť si do svojho profilu kód (java script a iné). Valve umožňovalo užívateľom editovať si svoj profil a vkladať si doň vlastné texty. Tieto však neboli potom nijako upravené. Boli zobrazené a spracované v podobe, v akej ich vložil užívateľ.

Znamená to, že keď sa do textov vložil skript, tak ho stránka brala ako kód a spustila ho (niečo ako sql injection, odborne sa tento druh útoku nazýva XSS alebo cross-scripting). On potom väčšinou stiahol ďalší, už škodlivý, balíček pomocou ktorého sa útočník mohol pokúsiť o krádež účtu. Takže stačilo len navštíviť takto upravený profil a už ste sa mohli stať obeťou útoku.

Nebola to však jediná možnosť, útočník tiež dokázal presvedčiť obeť, aby zadala svoje prístupové údaje (zobrazil jej falošnú stránku, kde sa vyžadovalo meno a heslo), či jej mohol minúť všetky peniaze v jej Steam peňaženke (cez vytvorenie veľkého počtu nákupných príkazov na predmety, ktorých je na trhu takmer neobmedzené množstvo). Nie je známy počet obetí podobných praktík, avšak dobrovoľníkom sa podarilo nájsť relatívne vysoké množstvo nebezpečných profilov (obsahujúcich skrytý kód).

Našťastie sa Valve podarilo chybu opraviť. Preto by už v súčasnosti malo byť bezpečné navštevovať užívateľské profily. Napriek tomu stále platia základné bezpečnostné pravidlá.

  • Nezadávať svoje meno a heslo, pokiaľ si nie ste stopercentne istý, že je stránka pravá.
  • Používať dvojfaktorovú autentifikáciu.
  • A, samozrejme, používať antivírusové zabezpečenie.

Ak máte pocit, že ste sa mohli kliknúť na podozrivý profil, Valve odporúča zmeniť si meno a heslo, aktivovať autentifikačnú appku pre smartfóny (dvojfaktorová autentifikácia) a skontrolovať si počítač pomocou antivírusového programu.

(JF)