Szerző: Gálffy Csaba

2015. július 27. 14:57:00

Csendben javított egy súlyos hibát a Valve

Durva biztonsági hiba keresítette a Steam-felhasználók életét a hétvégén, a felhasználói név birtokában rosszindulatú (vagy csak poénkodni akaró) illetéktelenek cserélhették a jelszót. A nevetséges hibát mára a Valve foltozta.

A múlt héten számos Steam-fiókot szereztek meg ideiglenesen illetéktelenek a Steam platformon található, kissé abszurd biztonsági rést kihasználva. A hiba az alábbi GIF-en tökéletesen kivehető, a Steam jelszóvisszaálító űrlapja hibásan működik, az emailben küldött visszaállító kód helyességét egyáltalán nem ellenőrzi, rögtön felajánlja az új jelszó rögzítésének lehetőségét.

A hiba úgy kapott gyorsan nagy publicitást, hogy a hibát kihasználva több népszerű felhasználó jelszavát is módosították vicces kedvű illetéktelenek. Az érintettek között Twitchen közvetítők és profi Dota 2 játékosok is voltak, a jelszó elvesztése pedig gyorsan a műsor leállásához vezetett mindkét esetben.

Python everywhere! Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt bárhol és bárki használhatja.

A hibát a Valve, a Steam platform üzemeltetője 25-én javította, az oldal immár helyesen elvégzi az ellenőrzést, az új jelszó megadása csak akkor lehetséges, ha a felhasználó a helyes kódot adja meg az előző oldalon. A cég érdemben nem kommunikált a hiba kapcsán, csupán annyit tett közzé, hogy a felhasználók védelmében az érintett fiókok jelszavát alaphelyzetbe állítja, vagyis új jelszó beállítására kéri őket. A Valve felhívja a figyelmet, hogy a biztonsági rés csak a jelszó megváltoztatását tette lehetővé egy tetszőleges új jelszóra, a régi jelszóhoz a támadók egyáltalán nem férhettek hozzá.

A tátongó biztonsági rés azért okozott meglepetést, mert a Valve híresen ügyel a rendszer integritására, alapértelmezésben kínálja például bejelentkezéskor a kétfaktoros autentikációt, új gépről bejelentkezve a jelszó mellett szükség van az emailben elküldött kódsorra is. A biztonsági réteg kikapcsolható, azonban a regisztrált emaillel rendelkező felhasználóknál alapértelmezésben aktív. A Steam Guard névre keresztelt rendszer a fenti támadás esetében is működött, és az aktív védelem esetén meggátolta a fiókhoz való hozzáférést - igaz, a jelszó megváltoztatását nem akadályozta meg.

a címlapról

Hirdetés

Python everywhere!

2020. február 24. 01:17

Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt előszeretettel használják az üzemeltetők és DevOps szakemberek, tesztelők, illetve az adattudósok is, és elfut szinte bárhol, a mikrovezérlőktől egészen a böngészőkig.