Mellékleteink: HUP | Gamekapocs
Keres

Csendben javított egy súlyos hibát a Valve

Gálffy Csaba, 2015. július 27. 14:57
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Durva biztonsági hiba keresítette a Steam-felhasználók életét a hétvégén, a felhasználói név birtokában rosszindulatú (vagy csak poénkodni akaró) illetéktelenek cserélhették a jelszót. A nevetséges hibát mára a Valve foltozta.

A múlt héten számos Steam-fiókot szereztek meg ideiglenesen illetéktelenek a Steam platformon található, kissé abszurd biztonsági rést kihasználva. A hiba az alábbi GIF-en tökéletesen kivehető, a Steam jelszóvisszaálító űrlapja hibásan működik, az emailben küldött visszaállító kód helyességét egyáltalán nem ellenőrzi, rögtön felajánlja az új jelszó rögzítésének lehetőségét.

A hiba úgy kapott gyorsan nagy publicitást, hogy a hibát kihasználva több népszerű felhasználó jelszavát is módosították vicces kedvű illetéktelenek. Az érintettek között Twitchen közvetítők és profi Dota 2 játékosok is voltak, a jelszó elvesztése pedig gyorsan a műsor leállásához vezetett mindkét esetben.

A hibát a Valve, a Steam platform üzemeltetője 25-én javította, az oldal immár helyesen elvégzi az ellenőrzést, az új jelszó megadása csak akkor lehetséges, ha a felhasználó a helyes kódot adja meg az előző oldalon. A cég érdemben nem kommunikált a hiba kapcsán, csupán annyit tett közzé, hogy a felhasználók védelmében az érintett fiókok jelszavát alaphelyzetbe állítja, vagyis új jelszó beállítására kéri őket. A Valve felhívja a figyelmet, hogy a biztonsági rés csak a jelszó megváltoztatását tette lehetővé egy tetszőleges új jelszóra, a régi jelszóhoz a támadók egyáltalán nem férhettek hozzá.

A tátongó biztonsági rés azért okozott meglepetést, mert a Valve híresen ügyel a rendszer integritására, alapértelmezésben kínálja például bejelentkezéskor a kétfaktoros autentikációt, új gépről bejelentkezve a jelszó mellett szükség van az emailben elküldött kódsorra is. A biztonsági réteg kikapcsolható, azonban a regisztrált emaillel rendelkező felhasználóknál alapértelmezésben aktív. A Steam Guard névre keresztelt rendszer a fenti támadás esetében is működött, és az aktív védelem esetén meggátolta a fiókhoz való hozzáférést - igaz, a jelszó megváltoztatását nem akadályozta meg.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.