Сервис распространения цифрового контента Steam преподнес своим пользователям очень своеобразный «подарок» к Рождеству. В ночь с 25 на 26 декабря Steam пережил серьёзный сбой, в результате которого можно было получить доступ к чужим учетным записям и всем конфиденциальным данным других пользователей сервиса.
22 декабря в Steam стартовала традиционная рождественская распродажа, во время которой число активных пользователей сервиса увеличивается на порядок. В это время года миллионы людей присматривают, покупают и играют в игры через платформу компании Valve.
Минувшей ночью удивлению пользователей Steam не было предела. Миллионы людей обнаружили, что язык в магазине контента вдруг самопроизвольно сменился, а при попытке просмотреть информацию об аккаунте, Steam демонстрирует им чужие данные.
I can confirm that: Steam gave me access to another person’s account with credit card info and purchase history pic.twitter.com/IzhE4M5sme
— Steam Spy (@Steam_Spy) December 25, 2015
При попытке войти в свой аккаунт, пользователи попадали в аккаунт другого человека и получали возможность во всех подробностях ознакомиться с чужим профилем.
Хотя проблема возникла не вследствие уязвимости или кибератаки, приятного все рано мало. Пользователи получили доступ не только к чужим библиотекам игр и публичному профилю социальной сети Steam. Также можно было ознакомиться с чужой историей покупок, платежной информацией (данными о PayPal-аккаунте или несколькими цифрами номера банковской карты), узнать адреса другого пользователя или номер его телефона.
I guess if I hated this @steam_games user, I could remove these licences? pic.twitter.com/hMLrTJYu3d
— Colin Kringle (@afreak) December 25, 2015
Официальные форумы Steam, Reddit и Twitter буквально утопали в сообщениях от недоумевающих и разгневанных пользователей сервиса. Хотя нанести какой-либо серьёзный вред другому пользователю, в чьем аккаунте ты оказался по ошибке, было нельзя, — чужой профиль можно было только просматривать, паника поднялась нешуточная.
Проблема не затронула лишь тех, кто использует двухфакторную аутентификацию посредством мобильного устройства. Случайно попасть их в профиль, никто не мог. Но стоит отметить, что таких пользователей меньшинство. Если же аккаунт защищен только посредством email и Steam Guard, пользователь становился жертвой сбоя.
В итоге компания Valve была вынуждена на некоторое время полностью приостановить работу Steam. Представители Valve, с которыми журналистам удалось связаться далеко не сразу, поспешили успокоить игроков, сообщив, что волноваться не о чем, а пароли менять не нужно. Проблема возникла не из-за атаки хакеров, а в результате изменений в конфигурации сервиса, которые были произведены ранее 25 декабря. Компания, однако, никак не прокомментировала тот факт, что из-за сбоя третьим лицам были раскрыты конфиденциальные данные огромного количества людей.
Известное сообщество Steam Database, администрация которого обычно поддерживает контакт с Valve, сообщает, что проблема возникла в результате ошибки работы кеша Steam, что очень похоже на правду.
Valve is having caching issues allowing users to view things such as account information of other users. Don’t use Store for now.
— Steam Database (@SteamDB) December 25, 2015
Valve до сих пор не извинилась перед пользователями и не выпустила никаких официальных заявлений о случившемся. Хотя Steam уже возобновил свою работу, компания хранит молчание. Пользователи на официальных форумах рекомендуют друг другу временно не пользоваться магазином, так как до сих пор неясно, стабилен ли Steam на данный момент.
Взято с Xakep.ru