Из-за сбоя пользователи Steam увидели электронные адреса и платёжную информацию чужих аккаунтов
Миллионы пользователей популярного игрового сервиса Steam получили доступ к чужим аккаунтам в результате ошибки, связанной с кэшированием страниц.
Обновление на 11:00 26 декабря: добавлен комментарий Valve.
Вечером 25 декабря пользователи Steam сообщили, что при переходе во вкладку Account Details у них отображаются данные чужих профилей.
I can confirm that: Steam gave me access to another person's account with credit card info and purchase history pic.twitter.com/IzhE4M5sme
— Steam Spy (@Steam_Spy) December 25, 2015
В Account Details находится наиболее важная информация, включая список последних транзакций, адрес электронной почты, номер телефона (последние четыре цифры), домашний адрес и номер кредитной карты (последние четыре цифры).
Проверка TJ подтвердила неисправность. В частности, редакции удалось получить доступ к профилю шведского геймера под ником karpion.
Из профиля karpion, например, можно узнать, что 23 декабря он заплатил за две встроенные покупки в шутере Counter-Strike: Global Offensive.
Каждый пользователь Steam мог видеть аккаунт не только одного чужого человека. При многократном обновлении страницы Account Details TJ удалось получить доступ ещё к нескольким профилям.
На чужих аккаунтах было возможно совершать различные действия. Например, начать процесс «отвязки» номера мобильного телефона. Однако завершить его не получалось, так как для этого нужно было ввести код из полученной на этот номер SMS.
С ошибками работал не только Account Details, но и сам магазин Steam, который при каждом обновлении менял языки и валюты. Некоторые пользователи сообщали, что им удалось даже добавить в корзину других аккаунтов игры, но не совершить покупку.
По мнению создателей сервиса Steam Database, анализирующего библиотеку игр в магазине Steam, речь шла о технической неисправности, связанной с кэшированием страниц, а не о взломе. Поэтому пользователям порекомендовали ничего не делать и ждать разрешения ситуации.
By the way, this is not a security breach. This is page caching gone rogue. Most likely not respecting Cache-Control headers.
— Steam Database (@SteamDB) December 25, 2015
Do NOT attempt to unlink PayPal, remove your credit card details or anything else. Doing so will put you at risk instead.
— Steam Database (@SteamDB) December 25, 2015
«Вторжению» подверглись даже аккаунты пользователей, защищённых приложением Mobile Authenticator, генерирующем ключ при каждом логине, и Steam Guard, привязывающим профиль к конкретному аппаратному обеспечению.
Около 0:20 по московскому времени сервис Steam перестал работать. По-видимому, началось устранение ошибки.
Масштабные проблемы Steam пришлись на середину Рождественской распродажи игр, которая должна закончиться 4 января. На момент появления неисправности в Сиэтле, где находится штаб-квартира Valve, было около двух часов дня 25 декабря — разгар праздничных приготовлений.
Поломка вызвала шквал шуток и комментариев в соцсетях.
Valve сейчас pic.twitter.com/gezCxbBtVm
— Никотинка с Бровями (@Yoghikitt) December 25, 2015
Всем, кто ковыряется в моем аккаунте и видит, что я в последнее время сидел в анимушных гаремниках: Я могу все объяснить.
— Katarn (@old_katarn) December 25, 2015
Токо вчера у Кинга читал рассказ про киндл, который может загружать книжки из параллельных вселенных, а тут жизнь опять побеждает выдумку.
— Некстджен и Усиление (@turbojedi) December 25, 2015
#Valve #Steam pic.twitter.com/3G3laTu8M6
— AGB (@AllGamesBeta) December 25, 2015
Распродажа персональных данных в Steam
— Darth Zareckiy (@shaikhulud) December 25, 2015
Когда купил вообще все игры в Steam pic.twitter.com/c9ZslIVLQS
— Darth Zareckiy (@shaikhulud) December 25, 2015
Все у вас Стим да Стим. Важные новости игнорируете! pic.twitter.com/Lypmzb9vK4
— Алексей (@3om6o6ep) December 25, 2015
I guess Valve weren't kidding when they said the Steam Winter Sales would be a bit different this time.
— Rami Ismail (@tha_rami) December 25, 2015
Многие комментаторы делились своими находками в чужих аккаунтах.
А у меня французский Steam, я доволен даже, ибо мой первый язык по диплому pic.twitter.com/KcMWHJ7sQF
— Alexey Tyurenkov (@SolidPumba) December 25, 2015
ааааааааааааа pic.twitter.com/bIARy0mycd
— anVlad11 (@anVlad11) December 25, 2015
SKLEP SPOŁECZNOŚĆ WOW pic.twitter.com/dNal1BGAli
— Некстджен и Усиление (@turbojedi) December 25, 2015
ÜBER STEAM! pic.twitter.com/TEcjpfgs0Y
— Alexey Tyurenkov (@SolidPumba) December 25, 2015
Блогеры вспомнили, что в похожем случае с поломкой сети PlayStation Network корпорация Sony дарила своим пользователям игры.
Гейб, а халявные игры будут? А то Каз после PSN уже два раза раздавал.
— Alexey Tyurenkov (@SolidPumba) December 25, 2015
Какая же Sony хорошая корпорация, а PSN - замечательный сервис,
— Прах и Одичание (@HaroHaroGenki) December 25, 2015
Администраторы сообществ компании подтвердили, что речь идёт не о хакерской атаке.
Спустя несколько часов после поломки сервис Steam вернулся в обычное рабочее состояние.
Steam вернулся и работает без каких-либо проблем. Мы считаем, что в результате сбоя не было совершено никаких несанкционированных действий помимо просмотра кэшированных страниц. Пользователи могут не предпринимать никаких дополнительных мер по защите.
из официального комментария Valve
#Steam #Valve #ошибка_Steam #получили_доступ_к_чужим_аккаунтам