Не открывайте чужие профили Steam! Серьезная брешь в безопасности сервиса

Не открывайте чужие профили Steam! Серьезная брешь в безопасности сервиса

В данный момент, пока Steam не получил очередное обновление, существует опасность фишинга информации или активации опасных скриптов, при просмотре или открытии страниц других пользователей Steam. 

Пользователи сабреддита Steam предупреждают, что не стоит открывать или даже нажимать на ссылки на профили пользователей сервиса — как на десктопе, так и в мобильной версии на ВСЕХ браузерах.

Еще раз — НЕ нажимайте на подозрительные ссылки профилей Steam. В качестве метода предосторожности можете отключить JavaScript в своем браузере.

Информацию о бреши в системе безопасности уже подтвердил модератор сабреддита, выяснив, что желающий навредить вам пользователь может сделать следующее, если вы перейдете по его ссылке в профиль Steam:

  • Перенаправить на стороннюю страницу, к примеру на фишинговый сайт — вы можете не знать, что оказались не в Steam, ввести данные для входа и потерять доступ к реальному аккаунту
  • Использовать ваш кошелек Steam, вам даже не потребуется ничего подтверждать
  • Манипулировать элементами на странице, как вздумается

Внимание! Ваша безопасность в интернете — это в первую очередь ваша собственная забота!

34 Комментария

  • Roman_Koev
    Комментарий скрыт. Показать

    Подтверждаю печальную инфу...
    Вовремя сообразил, что перешёл куда-то не туда.

    6
  • celeir
    Комментарий скрыт. Показать

    @Roman_Koev, и как выглядело?

    4
  • holyduck
    Комментарий скрыт. Показать

    "Чем больше шапок люди потеряют, тем больше они купят новых" - Гейбен

    6
  • baobab
    Комментарий скрыт. Показать

    @Roman_Koev, как догадался?

    1
  • Комментарий скрыт. Показать

    ввести данные для входа и потерять доступ к реальному аккаунту

    Просто используйте двухфакторную аутентификацию.

    1
  • StarJericho
    Комментарий скрыт. Показать

    Так вот о чем говорили ребятки с реддита, когда утверждали, что хакерцы добавляют всех подряд в друзья и таким образом ломают аккаунты. Переходим в режим параноика...

    6
  • Roman_Koev
    Комментарий скрыт. Показать

    @celeir, @baobab, выглядело как стим, догадался потому что попросили снова ввести данные для входа. А зачем, если до перехода они уже были введены?

    7
  • DarkDef
    Комментарий скрыт. Показать

    ввести данные для входа и потерять доступ к реальному аккаунту

    От этого разве не должен защищать мобильный аутентификатор?

    5
  • Комментарий скрыт. Показать

    Почему если в стиме происходит какая-то хрень то всегда показывают кадры какой-то старой железнодорожной катастрофы?

    0
  • xXsimbatXx
    Комментарий скрыт. Показать

    Зачем вообще эти профили карточки и тд, пустое мерение пипирками. Отродясь этим не занимался

    1
  • DarkDef
    Комментарий скрыт. Показать

    @akhtyamovv, потому что стим пар, а валве -- вентиль?
    Про связь пара, вентилей и паровоза догадайся сам

    3
  • xXsimbatXx
    Комментарий скрыт. Показать

    @akhtyamovv, ну типо СТИМ - пар, ПАРовоз

    0
  • Комментарий скрыт. Показать

    @Roman_Koev, Я тоже один раз на какую то левую страницу вошёл.

    0
  • Gizmous
    Комментарий скрыт. Показать

    Пару дней назад в друзья добавлялся подозрительный типочек, но я параноик и добавляю в друзья только по предварительному сговору =)

    1
  • Rodosds
    Комментарий скрыт. Показать

    @Gizmous, это не паранойя, а нормальное поведение.

    2
  • YOBAGames
    Комментарий скрыт. Показать

    не перехожу, ибо не интересуют чужие профили и в друзья никого не добавляю, ибо нафиг не нужны мне никакие друзья, мне и одному хорошо

    2
  • Drv42
    Комментарий скрыт. Показать

    Стиму давно уже пора создать нейросеть, которая при переходе на другой сайт будет сравнивать дизайн странички и предупреждать о возможном фишинге.

    1
  • Комментарий скрыт. Показать

    @Drv42, так возьми и создай для них, в чём проблема))
    вообще, самая лучшая защита от кидка лежит в головах пользователей. вот в чём потаенный смысл данной "бреши", если всё так и так сводится к "переходу по ссылкам" ?

    это как пенсионерам и ветеранам миллион раз в бошки вдалбивать, чтоб не подписывали никакие непонятные документы и в спешке не переводили деньги - так нет, всё равно попадаются на крючок.

    3
  • mrErass
    Комментарий скрыт. Показать

    @DarkDef, тоже не понимаю. По идее должен.

    0
  • RiLi
    Комментарий скрыт. Показать

    Сделаю ссылку в профиле на эту новость, хыыыыыыыыы.

    0
  • winter_fox
    Комментарий скрыт. Показать

    Ой пару дней назад добавился какой то Вася. Зашел не его страницу, профиль скрыт. Теперь боязно чета(.
    Аутентификацию пришлось выключить на неделю телефон в ремонте.

    0
  • Rakula
    Комментарий скрыт. Показать

    кто-то до сих пор в, в 2к17, вводит свои данные на левых сайтах?

    0
  • kaaz
    Комментарий скрыт. Показать

    Неделю назад просился какой то левый чувак, глянул профиль, но через Стим сам, двойная аутенфикация включина... Надеюсь в самой проге Стима такая хрень то не работает?!

    Короче всех левых чуваков в игнор сразу.

    0
  • TomaHawk
    Комментарий скрыт. Показать

    С первым и третьим пунктами, в общем, понятно. А вот как используют кошелек?

    0
  • IllusuveMam
    Комментарий скрыт. Показать

    @TomaHawk, Если на кошельке есть деньги, покупают игры , дарят на аккаунт хакера. А хакер затем продаёт аккаунт с подаренными.

    0
  • Hitman_X3Z
    Комментарий скрыт. Показать

    Не парит)) Пользуюсь uMatrix.

    0
  • Lupin
    Комментарий скрыт. Показать

    "Не будьте идиотами - это может быть опасно!"

    0
  • djyver
    Комментарий скрыт. Показать

    Да уже подлатали.

    0
  • CohenCohen
    Комментарий скрыт. Показать

    @IllusuveMam, @TomaHawk, судя по описаниям, в фоне запускается JavaScript, который инициирует действия в фоновом режиме, пока вы делаете что-то другое. А так как вы уже активны на сайте, то даже подтверждения действий не требуется. Единственный вариант обнаружить — по пропаже средств и логам покупок/передач гифтов

    0
  • djyver
    Комментарий скрыт. Показать

    @Cohen, создаёшь руководство, в названии руководства пишешь <iframe тыры-пыры> Руководство добавляешь в витрину. Друг так добавил ссылку на видео с youtube, так когда заходишь в его профиль автоматом видео проигрывалось.

    уже подлатали

    0
  • hacekomae
    Комментарий скрыт. Показать

    @Roman_Koev, а в строке что было?

    0
  • Roman_Koev
    Комментарий скрыт. Показать

    @hacekomae, ох, я уже и не вспомню. То ж утром было. Столько времени прошло. А скринов сделать я не догадался.

    0
  • Varidas
    Комментарий скрыт. Показать

    Пора уже вводить уголовную ответственность как в некоторых странах, давай большой срок и штрафы, от тогда доиграются , а так...

    0
  • Sombra
    Комментарий скрыт. Показать

    фух, хорошо что я чсв мразь и просто игнорю все заявки))))))0

    0
Войдите на сайт чтобы оставлять комментарии.