最近几周,发生了大规模的Steam账号被盗事件,涉及众多游戏主播和知名的Dota2专业玩家。这一切的魁祸首竟然是Steam的安全漏洞。
据一位知名的Twitch主播ElmHoe在视频中的爆料,这个漏洞可以被利用来轻易地Steam账户。攻击者可以通过Steam登录页面,输入的账号并点击“忘记密码”选项。在恢复密码的过程中,通常Steam会向注册邮箱发送安全码。盗号者并不需要实际输入从注册邮箱中获取的安全码。他们只需将这一栏留空,然后点击继续,Steam就会弹出一个新页面,允许他们设置新的密码。这意味着,只要知道他人的Steam账号,就能够轻易地盗取该账号。
对于这次大规模盗号事件的原因,这些游戏主播认为可能是因为他们在直播时轻易地将账号展示给观众看,导致账号信息被不法分子获取。
Valve公司最近已经注意到了这个漏洞并进行了修复。这次漏洞问题在7月25日才被Valve关注到,而在7月21日就已经有大批Steam用户被盗号了。对于被盗号的用户,Valve表示将通过新邮件通知他们更改密码。装载了Steam令牌的用户不受此问题影响,因为Steam会保护账户的安全,一旦账户发生变动,如密码更改等,Steam会采取相应的保护措施。