Perkhidmatan streaming permainan video Steam rentan terhadap teknik eksploitasi kata laluan yang serius sejak sekurang-kurangnya 21 Julai, dan jika tidak kerana larangan perubahan kata laluan selama lima hari, banyak pengguna Steam mungkin menghadapi masalah besar.
optad_b
Kaedah untuk mendapatkan akses tanpa izin ke akaun Steam hampir tidak layak sebagai peretasan. Permintaan penetapan semula kata laluan menghasilkan e-mel ke alamat pengguna Steam yang dimaksudkan. E-mel itu merangkumi kod yang mesti dimasukkan untuk proses penetapan semula untuk meneruskan. Tetapi bug tetapan semula kata laluan melewati fasa kod dan membenarkan penetapan semula tanpa sebarang pengesahan.
Dengan kata lain, jika seseorang mengetahui nama akaun Steam anda — katakan, jika anda mengalirkan permainan anda di Twitch dan tetingkap log masuk anda dapat dilihat — mereka dapat mengakses akaun anda, menukar kata laluan anda, dan mengunci anda dengan berkesan.
YouTuber Elm Hoe menunjukkan proses tersebut dalam video yang dimuat naik pada hari Sabtu. Dia juga melaporkan dalam komentar bahwa, setelah merilis video tersebut, 'sekitar 2000' orang berusaha menggunakan metode tersebut untuk mengakses akunnya.
Elm Hoe juga melaporkan bahawa kerentanan akaun Steam diselesaikan sepuluh minit selepas dia menyiarkan video tersebut.
Steam secara automatik menerapkan larangan perdagangan barang selama lima hari berikutan penetapan semula kata laluan dan larangan tujuh hari untuk item perdagangan apabila akaun Steam diakses dari alamat IP baru. Langkah-langkah ini semestinya melindungi sesiapa sahaja yang akunnya terganggu menggunakan pepijat ini.
Berdasarkan laporan dari pengguna yang terkunci dari akaun mereka kerana bug, Valve nampaknya tidak memberi amaran kepada pengguna Steam mengenai masalah itu segera setelah mengetahuinya.
Malah, dalam kenyataan yang dikeluarkan kepada Kotaku, Valve kata bahawa ia hanya menemui bug tetapan semula kata laluan pada 25 Julai dan masalah itu boleh mempengaruhi akaun dari 21 Julai hingga 25 Julai.
'Untuk melindungi pengguna, kami mengatur ulang kata sandi pada akaun dengan perubahan kata sandi yang mencurigakan selama periode itu atau [yang] mungkin terpengaruh,' kata Valve dalam pernyataan itu. 'Pengguna yang relevan akan menerima e-mel dengan kata laluan baru. Setelah e-mel itu diterima, disarankan agar pengguna masuk ke akaun mereka melalui klien Steam dan menetapkan kata laluan baru. '
Valve juga mengatakan bahawa sementara penggodam dapat mengubah kata laluan akaun dengan memanfaatkan bug, tidak ada penggodam yang dapat melihat kata laluan asal akaun, dan jika Pengesahan dua faktor Steam, Steam Guard , diaktifkan, setiap akaun yang diakses melalui bug akan tetap dilindungi dari log masuk yang tidak sah.
Ilustrasi oleh Jason Reed
