Из-за сбоя пользователи Steam увидели электронные адреса и платёжную информацию чужих аккаунтов Статьи редакции
Миллионы пользователей популярного игрового сервиса Steam получили доступ к чужим аккаунтам в результате ошибки, связанной с кэшированием страниц.
Обновление на 11:00 26 декабря: добавлен комментарий Valve.
Вечером 25 декабря пользователи Steam сообщили, что при переходе во вкладку Account Details у них отображаются данные чужих профилей.
I can confirm that: Steam gave me access to another person's account with credit card info and purchase history pic.twitter.com/IzhE4M5sme
— Steam Spy (@Steam_Spy) December 25, 2015
В Account Details находится наиболее важная информация, включая список последних транзакций, адрес электронной почты, номер телефона (последние четыре цифры), домашний адрес и номер кредитной карты (последние четыре цифры).
Проверка TJ подтвердила неисправность. В частности, редакции удалось получить доступ к профилю шведского геймера под ником karpion.
Из профиля karpion, например, можно узнать, что 23 декабря он заплатил за две встроенные покупки в шутере Counter-Strike: Global Offensive.
Каждый пользователь Steam мог видеть аккаунт не только одного чужого человека. При многократном обновлении страницы Account Details TJ удалось получить доступ ещё к нескольким профилям.
На чужих аккаунтах было возможно совершать различные действия. Например, начать процесс «отвязки» номера мобильного телефона. Однако завершить его не получалось, так как для этого нужно было ввести код из полученной на этот номер SMS.
С ошибками работал не только Account Details, но и сам магазин Steam, который при каждом обновлении менял языки и валюты. Некоторые пользователи сообщали, что им удалось даже добавить в корзину других аккаунтов игры, но не совершить покупку.
По мнению создателей сервиса Steam Database, анализирующего библиотеку игр в магазине Steam, речь шла о технической неисправности, связанной с кэшированием страниц, а не о взломе. Поэтому пользователям порекомендовали ничего не делать и ждать разрешения ситуации.
By the way, this is not a security breach. This is page caching gone rogue. Most likely not respecting Cache-Control headers.
— Steam Database (@SteamDB) December 25, 2015
Do NOT attempt to unlink PayPal, remove your credit card details or anything else. Doing so will put you at risk instead.
— Steam Database (@SteamDB) December 25, 2015
«Вторжению» подверглись даже аккаунты пользователей, защищённых приложением Mobile Authenticator, генерирующем ключ при каждом логине, и Steam Guard, привязывающим профиль к конкретному аппаратному обеспечению.
Около 0:20 по московскому времени сервис Steam перестал работать. По-видимому, началось устранение ошибки.
Масштабные проблемы Steam пришлись на середину Рождественской распродажи игр, которая должна закончиться 4 января. На момент появления неисправности в Сиэтле, где находится штаб-квартира Valve, было около двух часов дня 25 декабря — разгар праздничных приготовлений.
Поломка вызвала шквал шуток и комментариев в соцсетях.
Valve сейчас pic.twitter.com/gezCxbBtVm
— Никотинка с Бровями (@Yoghikitt) December 25, 2015
Всем, кто ковыряется в моем аккаунте и видит, что я в последнее время сидел в анимушных гаремниках: Я могу все объяснить.
— Katarn (@old_katarn) December 25, 2015
Токо вчера у Кинга читал рассказ про киндл, который может загружать книжки из параллельных вселенных, а тут жизнь опять побеждает выдумку.
— Некстджен и Усиление (@turbojedi) December 25, 2015
#Valve #Steam pic.twitter.com/3G3laTu8M6
— AGB (@AllGamesBeta) December 25, 2015
Распродажа персональных данных в Steam
— Darth Zareckiy (@shaikhulud) December 25, 2015
Когда купил вообще все игры в Steam pic.twitter.com/c9ZslIVLQS
— Darth Zareckiy (@shaikhulud) December 25, 2015
Все у вас Стим да Стим. Важные новости игнорируете! pic.twitter.com/Lypmzb9vK4
— Алексей (@3om6o6ep) December 25, 2015
I guess Valve weren't kidding when they said the Steam Winter Sales would be a bit different this time.
— Rami Ismail (@tha_rami) December 25, 2015
Многие комментаторы делились своими находками в чужих аккаунтах.
А у меня французский Steam, я доволен даже, ибо мой первый язык по диплому pic.twitter.com/KcMWHJ7sQF
— Alexey Tyurenkov (@SolidPumba) December 25, 2015
ааааааааааааа pic.twitter.com/bIARy0mycd
— anVlad11 (@anVlad11) December 25, 2015
SKLEP SPOŁECZNOŚĆ WOW pic.twitter.com/dNal1BGAli
— Некстджен и Усиление (@turbojedi) December 25, 2015
ÜBER STEAM! pic.twitter.com/TEcjpfgs0Y
— Alexey Tyurenkov (@SolidPumba) December 25, 2015
Блогеры вспомнили, что в похожем случае с поломкой сети PlayStation Network корпорация Sony дарила своим пользователям игры.
Гейб, а халявные игры будут? А то Каз после PSN уже два раза раздавал.
— Alexey Tyurenkov (@SolidPumba) December 25, 2015
Какая же Sony хорошая корпорация, а PSN - замечательный сервис,
— Прах и Одичание (@HaroHaroGenki) December 25, 2015
Администраторы сообществ компании подтвердили, что речь идёт не о хакерской атаке.
Спустя несколько часов после поломки сервис Steam вернулся в обычное рабочее состояние.
Steam вернулся и работает без каких-либо проблем. Мы считаем, что в результате сбоя не было совершено никаких несанкционированных действий помимо просмотра кэшированных страниц. Пользователи могут не предпринимать никаких дополнительных мер по защите.
из официального комментария Valve
And we have a winner.
Судя по всему, админский акк.
Комментарий недоступен
Хорош!
Если это правда, то это просто pizdec my friend
Flush Homepage и Flush this app? А где "Wipe stim"? Без нее фейк
Ну всё, теперь кто-то узнает, что я покупаю игры и не играю в них. Какой позор.
Очень серьёзный факап, тем более во время распродаж, скандалят уже все западные ресурсы и борды, так-то.
Комментарий удален модератором
Можно было увидеть адрес, привязанный к карте на аккаунте, если нажать "Добавить средства" или "Изменить [данные привязанной карты]". Так что это полный факап.
Говорят, что денежку увести всё-таки можно. С Хабра:
http://geektimes.ru/post/268352/
Действительно, почта, на которую зареган пэйпал, у подавляющего большинства народа будет той же, что указана в стиме. А там перебрать каким-нибудь брутфорсом и на тебе празднички.
Приплыли...благо на карте денег нет
Но там в аккаунте привязан еще и стимгард
This is the darkest timeline
Там же последние 4 цифры карты, вряд ли этим можно воспользоваться.
Комментарий недоступен
FIXED
впринципе ничего страшного нет так как украсть аккаунт нельзя та и деньги можно будет потом вернуть если что.Думаю не стоит переживать,а просто сменить пароль.
Похоже включили. У меня уже открывается, и там мой аккаунт.
Комментарий удален модератором
Только добрался до карточки, только увидел скидку на Siege, добавил в корзину, а дальше Dodaj siebie lub dać Perdoje =)
Комментарий недоступен
Придется сознаться. Я вчера купил игрушку в стиме для одного региона, а потому скачал ее из другого. Вот тут ему кэш и вышибло. Простите, парни!
Не очень страшно, вряд ли будет скандал.
А у меня всегда все реквизиты всех платёжных систем удалены из стима, после каждой покупки удаляю. На подобные случаи.
советую начать перевыпускать карту после каждого платежа
Я как чувствовал, не надо было сохранять карту
А чем грозит утеря последних 4 цифр карты, просветите нуба. Стоит ли заблокировать карту на всякий?
Ничем не грозит. Единственный косяк -- утечка электронных почт.
Ну, и как вы вошли в чужой аккаунт?
1) Авторизуешься под своим.
2) Заходишь в Об аккаунте.
3) Видишь чужой.
А лучше:
1) Читаешь статью.
2) Конец.
Че там, кстати, с группой тж в стиме? Она не живая не мертвая какая-то
PS4 у Лихачёва и Елистратова
Ссылка есть? :)
она мертва, Люк
Все, сервера легли.
Ну теперь консол пизантс будут вспоминать этот день
Вспоминать надо, что есть https://www.gog.com/
У меня просто весь день не пашет сайт, а вы тут так развлекаетесь, оказывается.
Честно, не помню как раздавали игры Сони, когда у них были проблемы с безопасностью
Был какой-то херовый купон процентов на 10 скидки и просто извинения
всьо, конец веселью
Давайте соревнование. У кого самый богатый рандомный аккаунт.
Я вин!)
Чот спалил чутка(((