Компания Valve закрыла брешь в геймерском сервисе Steam, которая позволяла любому человеку захватить чужой аккаунт.

Информацию о проблемах с защитой учетных записей геймеров распространил один из пользователей, опубликовав видео на YouTube. В ролике был показан настолько простой способ заполучить аккаунт другого человека, что с такой "хакерской" операцией справился бы даже ребенок.

Для начала достаточно было активировать стандартную процедуру восстановления забытого пароля. Затем сервис обещал выслать на почту код сброса пароля, и, используя этот код, можно было ввести новое парольное слово.

Самое интересное происходило на следующем этапе, когда система просила ввести код. Оказалось, что сервер не проверял код на валидность. Если поле для ввода оставить пустым, то сервис предлагал сменить пароль. В итоге, достаточно было знать логины (идентификаторы игроков), которые находились в открытом доступе, и "ломать" какой угодно аккаунт.

Следует сказать, что ряд пользователей в результате этого бага потеряли доступы к своим аккаунтам, а другие лишились ценных виртуальных вещей. Valve объявила, что заморозила на пять дней те аккаунты, в которых произошел сброс пароля после обнаружения проблемы.