Falls das nicht evident ist, die eingefügte Profil-Beschreibung stammt jedenfalls nicht von Valve. ;) Also die ggf. wertvollen Skins besser nicht vertraden. Scheint ja so, dass der "Hacker" nicht vollständigen Zugriff auf den Account hat und vermutlich sich zwischen einem initiierten Trading-Vorgang schalten will, um das dann umzuleiten.

Vielleicht mal überlegen, die Festplatte zu formatieren, falls man sich was eingefangen hat. Und danach dann alle Passwörter (nochmal) ändern.

Alles klar :)

Guter alter API-Scam.

Ich frag mich nur wie er der mobilen Authentifizierung entgehen konnte

Originally posted by HeadSpaltner:

Ich frag mich nur wie er der mobilen Authentifizierung entgehen konnte

Originally posted by Gilga ™:

Guter alter API-Scam.

Hat er nicht. Hätte er die 2FA umgehen können, hätte er deine Items einfach zu einem neuen Account transferiert. Dein API-Key wurde kompromittiert, wozu auch immer du diesen benötigt hast. Das du nie auf anderen Seiten warst, glaubt dir sowieso keiner. Wie kommen die sonst an genau deine Zugangsdaten?

Der Hack wurde über den Mobile Authentificator erst möglich.
Ich weiß die Fanboys hier wollen dir einreden das du unglaubwürdig bist, aber ich hatte diese Situation konnte aber durch entfernen des Mobile Authentificator den Account bewahren bevor Schaden angerichtet wurde.
Das funktioniert über Bluetooth und WLAN Zugriff auf dein Smartphone.

Ich habe nie gesagt dass ich nicht auf anderen Seiten war. Ich habe lediglich gesagt dass ich zur tatzeit an diesem Tag bzw schon länger nicht mehr auf anderen Seiten war. Natürlich bin ich auch bei skinbaron angemeldet aber das ist schon mehr als en Monat her.

Okay krass..

Ja glaub den api code brauchte ich für skinbaron

Also brauch ich keine FestplattenFormatierung durchführen? Oder Vorsichtshalber doch?

Originally posted by HeadSpaltner:

Also brauch ich keine FestplattenFormatierung durchführen? Oder Vorsichtshalber doch?

Na ja, schaden kann es wohl kaum, aber vielleicht nicht nötig hier.

Anscheinend hatte also jemand hier (nur) Zugriff via API. Was mich wundert: warum kann man damit überhaupt die Profiltexte ändern? Welchen Sinn hat die Funktionalität für Anbieter, warum ist das Teil der API-Funktion?

Originally posted by HeadSpaltner:

Ich bin vorher auf keinen anderen Seiten gewesen oder habe mich woanders mit meinem steam Account angemeldet..

Originally posted by HeadSpaltner:

Ich habe nie gesagt dass ich nicht auf anderen Seiten war. Ich habe lediglich gesagt dass ich zur tatzeit an diesem Tag bzw schon länger nicht mehr auf anderen Seiten war. Natürlich bin ich auch bei skinbaron angemeldet aber das ist schon mehr als en Monat her.

Okay krass..

Ja glaub den api code brauchte ich für skinbaron

Dann war das etwas wage ausgedrückt

Originally posted by HeadSpaltner:

Ja glaub den api code brauchte ich für skinbaron

Nein, den braucht man für Skinbaron nicht. Den wollen nur gefälschte Seite um dich abzuzocken.

Originally posted by Mötley:

Das funktioniert über Bluetooth und WLAN Zugriff auf dein Smartphone.

Mal abgesehen davon das für Blauzahn und WLAN Freigabe erfolgen muss.
In Deutschland scheint es ja eine enorme "REICHWEITE" hierfür zu geben :)

Es gibt sowas wie API-Scams nicht. Die Web-API von Steam ist lediglich zur Datenerhebung zu gebrauchen (aktivierte Spiele, aktive trades, Inhalt des Inventar und so weiter).

Was hier passiert ist ist ganz einfach...
OP hat sich irgendwo eingeloggt wo er es nicht hatte tun sollen und schwubbs war ein automatisiertes System im Account vom OP. Von hier an könnte man meinen dass dieses System ja einfach den Account klauen könnte, Daten ändern und das wars dann... Falsch. Valve hat mit dem self-locking Tool gute Arbeit geleistet und selbst wenn das nichts hilf, sobald irgendwas auf dem Account geändert wird (zb der mobile authenticator gewechselt) besetzt erstmal ein 15 tätiges handelsembargo für den Account.

Daher wollte der Dieb den OP dazu bringen seine Items zu verschenken, in den folgenden schritten:
1) Ändere die Profil Beschreibung sodass OP Panik schiebt

2) sobald OP eine trade schickt, nimmt sich das automatisierte System die Infos über den Empfänger und imitiert diesen ( Profilbild, Namen und alles übernehmen)

3) brich den Handel ab und schicke OP eine identisches Angebot mit dem geklonten Account über den Tradelink vom OP (welchen man ohne mobile authenticator sehen kann)

4) OP denkt, dass irgendwas schief gelaufen ist und autorisiert diesen trade "erneut"

5) und zack OP hat seine Items verschenkt

So ist das gedacht mit diesem "Trade deine Items in so und so lange irgendwo hin dann wird dein Account gesperrt"-Scam. Hat nichts mit dem API-Key zu tun, noch nicht einmal mit dem mobile authenticator. Dieser Scam basiert darauf, dass man die Panik des Gegenübers ausnutzt

Der API-Key ist tatsächlich wertlos

Wertlos ist der API Key jetzt nicht, aber es stimmt schon, dass grundsätzlich der Nutzer jeden Handel über den Steam Mobile Authenticator bestätigen muss.
Wenn man da nicht aufpasst wer die Gegenstände nun letztendlich erhält, ist natürlich selber schuld.
Man bekommt ja sogar einen Warnhinweis, wenn der Empfänger nicht auf der eigenen Freundesliste ist.