Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты

Steam, очнись

Советую обратить внимание на этот пост всех владельцев аккаунтов стим. Особенно владельцев аккаунтов с онлайн играми и дорогими вещами в инвентаре.Мобильный аутентификатор Steam Guard был удален с вашего аккаунта с помощью СМС-кода, отправленного на ваш телефон.


Вчера ко мне добавился в друзья неизвестный пользователь. Естественно, в сети стима. Я добавил его в друзья, он мне прислал следующее

Steam, очнись Мошенничество, Steam, Valve, Длиннопост

Сайт, если что, к этому времени уже лежит в бане от хостинг провайдера. Наверняка постарался какой-нибудь @moiseyka, На сайте предлагали открыть кейсики pubg, первый бесплатно. И, естественно, залогиниться через стим.


Я, по святой наивности и неведению, кликаю на волшебной зеленой кнопке, меня перекидывает на страницу авторизации стима. Причем авторизованную. Подсвеченную зеленым замочком. Я, без задней мысли, ввожу логин-пароль и код от аутентификатора.


Я, в принципе, предполагал, что, возможно, это какое-то наебалово. Но факт того, что мою жопу надежно защищает привязанный телефон и аутентификатор в приложении стима, меня успокаивал. Плюс к тому же пароль от почты никто не знает. Каково же было мое удивление, когда в ближайшую минуту мне на почту пришли такие уведомления.

Steam, очнись Мошенничество, Steam, Valve, Длиннопост

А сам стим предложил перелогиниться, т.к. текущий пароль устарел. Естественно, он уже не подходил. А через полчаса пришло еще одно письмо.

Steam, очнись Мошенничество, Steam, Valve, Длиннопост

Моему удивлению не было предела. Я был вообще в ахуе, когда прочитал в одном из писем, что "Мобильный аутентификатор Steam Guard был удален с вашего аккаунта с помощью СМС-кода, отправленного на ваш телефон". Мне даже на телефон ничего не приходило.


Что же имеем по итогу? Моя почта больше к аккаунту не привязана, телефон не привязан, аутентификатор не привязан. Все, уровни безопасности кончились.


Но на этом моменте вора ждало несколько сюрпризов


Во-первых, я, конечно, долбоеб, но не совсем поехавший. И вводить куда-то данные от моего главного аккаунта куда-то, кроме самого стима, у меня рука не поднимется. Поэтому я просто подсунул ему мой аккаунт пубг с игровой блокировкой. :). Если кого-то это сильно волнует, это была блокировка за ботоводство.


Во-вторых, саппорт стима отреагировал крайне быстро (по их меркам, после историй о том, как парню несколько месяцев ничего не писали в ответ, а потом написали, что данные устарели и они не при делах, лол). Я написал обращение, приложил старый е-мейл, номер телефона и последние цифры карты, с которой делал покупки. Еще и написал слезливую историю в разделе "дополнительно". Понятия не имею, насколько это повлияло, но аккаунт мне вернули, это факт.


А теперь - самый главный вывод. Абзац, ради которого стоило вникать в ситуацию, и на который ПИЗДЕЦ как нужно обратить внимание Valve. Но они, конечно, этого не сделают. Текущий алгоритм генерирования кодов взломан. Полностью и бесповоротно. И его нужно очень срочно менять.


Суть в чем - эти коды генерируются по определенным формулам, в которых в качестве переменных используются текущие дата и время. Вы, должно быть, замечали, что коды приходят на телефон даже тогда, когда он выключен. А если вы поменяете на телефоне время, то и коды станут неправильными. И для каждого аккаунта своя формула. И есть программа, которая умеет находить этот алгоритм, исходя из кода, который получил пользователь и времени, когда он его получил. Также с помощью этого алгоритма возможно получить другой алгоритм, для получения кодов для открепления почты и номера телефона.


А теперь к выводам. Возможно, мне повезло с саппортом, а вам не повезет. Возможно, есть способ подтвердить обмен без доступа к мобильному приложения стима. Возможно, мошенник просто не стал продолжать свои махинации с аккаунтом, т.к. увидел игровую блокировку, и могло быть гораздо хуже. Предположений много.


НИКОГДА И НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ не логиньтесь на непонятных/"левых" сайтах, если вам дорог ваш аккаунт. Достаточно одного кода для того, чтобы вычислить алгоритм для вашего аккаунта и зайти на него через неделю/месяц/год, и вы даже не поймете, с чем это связано. И помните - вальве пидарасы и все делают через жопу, поэтому уже сейчас можете забыть о их системе безопасности. Возможно, скоро нужно будет опасаться вводить логин-пароль в самом приложении стима.


Дисклеймер. Пусть и в конце поста. Вполне возможно, я неправильно понял технические детали/тонкости. Вполне возможно, что я поддался гипнозу через монитор и сам отдал аккаунт, а потом еще и послал нахуй все уровни защиты. А еще переслал все свои деньги, только я теперь уже не помню, что они у меня были.Вполне возможно, что я вообще нихуя не поняли и вам наебываю. На 100%-ю достоверность не претендую. Но если хотя бы один человек не потеряет аккаунт из-за моего поста, мне будет похуй. Я просто хочу плюсиков.


Спасибо за прочтение. Удачи. Посты про макдак будут по настроению, но, т.к. я работаю в макдаке, вы можете сами догадаться, какое оно у меня. Получается замкнутый круг. :(

[моё] Мошенничество Steam Valve Длиннопост
27
Все комментарии Автора