Mihailovich Apr 12, 2020 @ 12:12pm
Кража аккаунта. Стим позволяет сменить в один миг почту и телефон без подтверждения?
Как защитить аккаунт? Стим позволяет сменить в один миг почту и телефон без подтверждения???!!!

Участились случаи угона аккаунтов. Пострадал мой друг. Друг щелкнул на ссылку и лишился аккаунта в один миг. Ссылка была похожа на оригинальные ссылки Стима.
Сразу скажу, что к аккаунту был подключен мобильный аутентификатор. Вирусов на компьютере не обнаружено.

При переходе выскочило окно, идентичное окну авторизации Стима. При этом левый сайт демонстрирует жертве видимость того, что авторизация Стима спала/пользователь вышел из аккаунта (такое бывает, если сменился IP или удалились cookie). Жертва торопится и вводит свои данные в это окно и тут же лишается аккаунта. В одно мгновение отключается Steam Guard, телефон и меняется почта. Даже если зайти в настоящий Стим (со своей ссылки) и попытаться авторизоваться, пароль уже не работает, войти нельзя.

Затем на почту приходят письма об удалении мобильного аутентификатора, удалении телефона и смене почты.

ЗАМЕЧУ, ЧТО ДОСТУПА К ПОЧТЕ У ЗЛОУМЫШЛЕННИКОВ НЕТ. Стим не требует от них никаких подтверждений, а сразу в один миг все меняет!??? Что за дела??? Какой толк тогда от Steam Guard и почты? Даже если есть доступ к почтовому ящику, вернуть аккаунт долго и сложно, а отжать могут в один миг!

Еще добавлю, что сейчас злоумышленники научились использовать авто заполнение в браузерах. Вы можете даже не вводить данные для входа, браузер сам подставляет ваш логин и пароль, вам достаточно лишь щелкнуть ОК, и вы лишаетесь аккаунта!
Столкнулся с угоном при автозаполнении лично! Хорошо, что акк был не основной, а у меня сохранился чек от оплаты первоначального баланса кошелька.

Не пора ли Валве что-то менять? Ввести, например, смс с подтверждением хотя бы при смене таких важных данных или сделать для желающих еще что-то, чтобы люди могли спокойно спать, а не трястись за акаунт, не ставить родительский контроль ради защиты от угона и т.д. Например, сделать, как в электронных кошельках, возможность привязать акк к реальным паспортным данным (для желающих)?
В Стиме полно пользователей, чьи аккауны стоят кучу денег. Такая защита, как сейчас, просто смешна!
< >
Showing 1-15 of 106 comments
Mihailovich Apr 12, 2020 @ 12:12pm 
Цитирую друга:
***При обычном серфинге можно потерять аккаунт! Так вот не задумываясь перешел по "якобы" стимовской ссылке и потерял все, что нажито.
Началось, с того, что я просто перешел по ссылке со стимовским значком и не обратил внимание на саму ссылку (ссылка была в профиле у человека из социальной сети).
После перехода в секунду появилось окошко, что я вышел из аккаунта Стим. После этого я попытался сразу войти, чтоб сменить пароль, но уже не пускало.
На почту сразу пришли письма об удалении мобильного аутентификатора, удалении телефона и смене почты.
Я пытался сразу через поддержку заблокировать и восстановить, наивный. Кучу писем отправил, с доказательством, что я владелец аккаунта, но спустя 3 часа тишина от поддержки.
Посоветовали с первого письма заблокировать аккаунт, я не сразу увидел эту возможность, опешил.
Поддержке отправил все данные, недавно активированные ключи, последние 4 цифры карточки, которая привязана к аккаунту, скрины и т.д. Надеюсь на благоразумность поддержки и скорейший возврат своего игрового профиля.***
★Rainbow Dash★ Apr 12, 2020 @ 12:17pm 
Если не быть дураком и не посещать лохотроны, то подобная кража аккаунтов невозможна. Все просто.
Nahagliiv Apr 12, 2020 @ 12:26pm 
Originally posted by Mihailovich:

Еще добавлю, что сейчас злоумышленники научились использовать авто заполнение в браузерах. Вы можете даже не вводить данные для входа, браузер сам подставляет ваш логин и пароль, вам достаточно лишь щелкнуть ОК, и вы лишаетесь аккаунта!
Столкнулся с угоном при автозаполнении лично! Хорошо, что акк был не основной, а у меня сохранился чек от оплаты первоначального баланса кошелька.
Как только ввели эту функцию сразу стали говорить, что это не безопасно, но люди продолжат терять свои аккаунты в любых сервисах....




Originally posted by Mihailovich:
не ставить родительский контроль ради защиты от угона и т.д.
Подбором за 5 сек ломается...



Originally posted by Mihailovich:
сделать, как в электронных кошельках, возможность привязать акк к реальным паспортным данным (для желающих)?
Врятли валве такое смогут сделать где либо кроме США,

хоть и старо, но пусть ваш друг почитает
https://мвд.рф/document/1910260
Last edited by Nahagliiv; Apr 12, 2020 @ 12:30pm
Andrey Apr 12, 2020 @ 12:28pm 
Уже стало привычным утверждение, что введя логин, пароль и код, человек отдает аккаунт. Но ведь сейчас это не так. Для смены телефона код Steam Guard не годится. Нужно подтвердить операцию в телефоне, как при обмене, или ввести код из СМС. Правда в смс не говорится, для чего этот код. Может быть люди его вводят?

Теперь даже не понятно, как происходят эти кражи.
LonerD Apr 12, 2020 @ 12:29pm 
Originally posted by Mihailovich:
Друг щелкнул на ссылку и лишился аккаунта в один миг....
... вводит свои данные
Таки "в один миг" после клика по ссылке или таки после того, как сообщил кому-то все свои данные?

Originally posted by Mihailovich:
браузер сам подставляет ваш логин и пароль,
Браузер подставляет логин и пароль только на тех сайтах, где они вводились ранее.

Originally posted by Mihailovich:
Не пора ли Валве что-то менять?
Нет.
Нестерпимое желание пользователей передать кому-нибудь данные от своего аккаунта не сможет остановить никакое Валве.


И снова повторюсь. Если положить ключи от квартиры посередине улицы, да ещё и прицепить бирочку с адресом, то не стоит удивляться, что квартиру могут "взломать".
Last edited by LonerD; Apr 12, 2020 @ 12:38pm
REX Apr 12, 2020 @ 1:02pm 
А как выглядит "якобы" стимовская ссылка?
REX Apr 12, 2020 @ 1:06pm 


Originally posted by Howl at the Moon:
Originally posted by Mihailovich:
браузер сам подставляет ваш логин и пароль,
Браузер подставляет логин и пароль только на тех сайтах, где они вводились ранее.

Не совсем так - есть опция позволяющая браузеру брать данные для входа из клиента Steam. Но она отключена по умолчанию. Где именно и как хранятся при этом данные - довольно интересный вопрос - если браузер уязвим - думаю не составит труда выцепить эти данные через скрипт на "плохой" странице или "плохое" расширение браузера.
Mihailovich Apr 12, 2020 @ 2:14pm 
Originally posted by Howl at the Moon:
Originally posted by Mihailovich:
Друг щелкнул на ссылку и лишился аккаунта в один миг....
... вводит свои данные
Таки "в один миг" после клика по ссылке или таки после того, как сообщил кому-то все свои данные?

Originally posted by Mihailovich:
браузер сам подставляет ваш логин и пароль,
Браузер подставляет логин и пароль только на тех сайтах, где они вводились ранее.

Originally posted by Mihailovich:
Не пора ли Валве что-то менять?
Нет.
Нестерпимое желание пользователей передать кому-нибудь данные от своего аккаунта не сможет остановить никакое Валве.


И снова повторюсь. Если положить ключи от квартиры посередине улицы, да ещё и прицепить бирочку с адресом, то не стоит удивляться, что квартиру могут "взломать".

*Браузер подставляет логин и пароль только на тех сайтах, где они вводились ранее.*
Тоже так думал, но в итоге это не так. Я никогда не авторизуюсь в выскакивающих окошках. Всегда открываю новое окно, открываю свою собственную ссылку на Стим (из закладок) и авторизуюсь. Один раз мне просто было лень. Там был акк, созданный для друга сына, почти пустой. Воровать нечего. В раздачу игры хотел войти. Выскочило окошко залогиниться через Стим, но в нем авторизация была скинута, зато уже стояли данные для входа. Хватило просто нажать ок. Доверился Chrome браузеру, думал, что он не поставит данные авторизации в левый сайт. Там акк без мобильного телефона. Сразу увели, сменили пароль и логин. Доступа к почте у них не было, но им не помешало это все поменять.
Хром иногда тупит, особенно после обнов. Стал терять пароли от сайтов. Я даже проверил, вдруг там какое-то расширение, но там вообще ничего лишнего. Чистый, как слеза.
В последнее время Firefox тоже тупит. Заметил за ним то, что сохраняет пароли для входа даже тогда, когда я этого не хочу. Например, часто пользуюсь банком онлайн и никогда не сохраняю для него данные входа даже в домашних браузерах, но тупой Firefox вдруг взял и запомнил, и при очередном подключении предложил автозаполнение.
Ну может какой-то вирус встраивается в браузер. В любом случае, это значит, что в них есть дыра для угона данных подобным способом (через авто заполнение).
Еще одна интересная фишка, которой не было ранее. Для Стима теперь авторизацию в браузерах просит дважды: отдельно для магазина и отдельно для сообщества. Не замечал подобного в прошлом. Когда это новшество ввели?
Mihailovich Apr 12, 2020 @ 2:52pm 
Originally posted by Nahagliiv:
Originally posted by Mihailovich:

Еще добавлю, что сейчас злоумышленники научились использовать авто заполнение в браузерах. Вы можете даже не вводить данные для входа, браузер сам подставляет ваш логин и пароль, вам достаточно лишь щелкнуть ОК, и вы лишаетесь аккаунта!
Столкнулся с угоном при автозаполнении лично! Хорошо, что акк был не основной, а у меня сохранился чек от оплаты первоначального баланса кошелька.
Как только ввели эту функцию сразу стали говорить, что это не безопасно, но люди продолжат терять свои аккаунты в любых сервисах....




Originally posted by Mihailovich:
не ставить родительский контроль ради защиты от угона и т.д.
Подбором за 5 сек ломается...



Originally posted by Mihailovich:
сделать, как в электронных кошельках, возможность привязать акк к реальным паспортным данным (для желающих)?
Врятли валве такое смогут сделать где либо кроме США,

хоть и старо, но пусть ваш друг почитает
https://мвд.рф/document/1910260

Учитывая, что к аккаунтам Стим может подключаться партнерка, то неплохо было бы больше думать о безопасности, поскольку злоумышленники могут нанести вред не только конкретным пользователям, но и Стиму. Через акк разработчика в теории много чего можно натворить. Вообще странно, что для партнерки используют обычные аккаунты, а не сделали отдельные.

Да и возврат аккаунта можно сделать более удобным. Например, добавить при регистрации секретный вопрос, как делают некоторые почтовые сервисы при создании ящика (девичья фамилия матери или улица, на которой родился и т.д.). Чтобы у пользователя был лишний козырь при возврате аккаунта.

В свое время был инцидент с майл_ру, когда сам сервис слил данные авторизации кучи аккаунтов злоумышленникам. В числе тысяч пострадавших оказался и мой почтовый ящик. Я его легко восстановил по секретному вопросу, который выбрал при регистрации.

А возврат акков по ключам вообще стремное дело. В теории ключ из коробки с игрой можно подарить, а потом трясти чеком и заявлять, что аккаунт ваш, его типа угнал. Вон, на нем купленная вами игра из реального магазина!
Last edited by Mihailovich; Apr 12, 2020 @ 2:53pm
vadim Apr 12, 2020 @ 5:30pm 
Originally posted by Mihailovich:
Еще добавлю, что сейчас злоумышленники научились использовать авто заполнение в браузерах. Вы можете даже не вводить данные для входа, браузер сам подставляет ваш логин и пароль, вам достаточно лишь щелкнуть ОК, и вы лишаетесь аккаунта!
Столкнулся с угоном при автозаполнении лично!
Не верю. Оно не сработает на сайте отличном от того, для которого были сохранены логин и пароль.
Originally posted by Mihailovich:
Не пора ли Валве что-то менять? Ввести, например, смс с подтверждением хотя бы при смене таких важных данных или сделать для желающих еще что-то, чтобы люди могли спокойно спать, а не трястись за акаунт
Не пора. Нормальные пользователи аккаунты не теряют, а от дурака защиты нет.
Если кто-то "трясётся за аккаунт", это его личное дело. Не надо создавать дополнительные сложности всем, чтобы защитить небольшое количество не самых умных людей. И так уже механизмов защиты явный перебор.
Into The Sun Apr 12, 2020 @ 5:58pm 
Весьма неоднозначная ситуация.
Тоесть вы пользовались автозаполнением сохраненного пароля? Так и зачем вы нажали? Данные в принципе вводить чревато последствиями вне оф. Сайтов стима. А входить только через "это вы"? Или "это ваш аккаунт"? Не помню точно как там было написано, но думаю вы меня поняли.
Originally posted by Mihailovich:
Цитирую друга:
***При обычном серфинге можно потерять аккаунт! Так вот не задумываясь перешел по "якобы" стимовской ссылке и потерял все, что нажито
Ключевое слово "не задумываясь".
Ваш друг сам накосячил, сам слил данные. Почему в его глупости стим виноват? Гейб не может приезжать к каждому и по рукам бить, когда человек на фейковой странице стима авторизоваться хочет.
Смотреть нужно было на ссылку. Или для безопасности сначала авторизоваться на оф сайте стима, и только тогда переходить на тот сайт. И если бы он снова запросил данные аккаунта, значит лохотрон.
Зачем бездумно тыкать? Торопится на поезд что ли? Думать надо.
Поддержка отвечает в течение нескольких дней. Если он доказательства им все нужные отправил, пусть ждёт восстановления.
Mihailovich Apr 12, 2020 @ 10:13pm 
Может кто-то не понял, что суть поста в том, что имя доступ к аккаунту без всяких подтверждений могут в один миг сменить телефон и почту. Почему такие действия не требуют подтверждения?
Вирусным программам утянуть пароль и логин не так сложно на самом деле. Любой может стать жертвой, даже самый умный. Программы для выбивания карт и ачивок, расширения браузера имеют доступ к аккаунтам пользователей и могут слить информацию для входа от сотен тысяч профилей. Люди ими пользуются, рассчитывая на добросовестность создателей, на открытость кода, но ничего не мешает программисту в один прекрасный момент переписать ядро, эти программы обновятся у пользователей автоматически, и отлетит сразу куча акков.
Mihailovich Apr 12, 2020 @ 11:48pm 
Что интересно, в случае с моим другом все стандартно: ввод данных в левую авторизацию, отвязка гварда с телефоном и смена почты отразилась письмами в первоначальном почтовом ящике.

В моем случае, когда я понадеялся на Хром с его авто заполнением окошек с логином было так:
На раздаче выскочило окно авторизации через Стим. Оно было точно, как оригинальное. В нем уже стояли данные авторизации (логин был введен и виден, пароль звездочками скрыт). Мне было лень открывать отдельное окно и логиниться в Стим, чтобы освежить авторизацию. Я понадеялся, что браузер то знает точную ссылку сайта, для которого сохранен вход. Я просто щелкнул ОК. Это единственный раз, когда я допустил эту оплошность.

Я даже сознавал, чем это грозит, но поскольку доступ к почте, все данные при создании акка мне были известны, я сам лично ему пополнял баланс с карты, да еще акк был почти пустой (воровать там нечего, игр мизер, а в списке друзей лишь мой сын). Ну так я подумал, что даже если угонят, то не смогут на нем ничего сделать, а вернуть его будет очень легко.
Я попытался войти через несколько минут по своей ссылке в Стим, но авторизация мне выдала, что пароль/логин не верны. Я начал грешить на глюк автозаполнения. Открыл снова точную ссылку Стима, ручками ввел пароль и логин. Мне пару раз выдало, что не они неправильные, а потом Стим вообще перестал принимать данные авторизации, выдавал сообщение про многократные попытки входа, и даже не пытался проверять данные, что я вбивал.

Удивительно, но бан на авторизацию продолжался весь день. Я сразу заглянул в почтовый ящик. Никаких писем о смене почты или каких-то подозрительных действиях не было. Последнее сообщение от Стима было об активации игры, которую я получил на злополучном сайте.

Я подумал, что злоумышленники пытались получить акк подбором паролей, но не получили, Стим выдал акку временный бан на авторизацию. Я спокойно лег спать в надежде, что на следующий день бан снимут, и я спокойно войду в аккаунт.

На утро бан сняли, но у аккаунта уже сменили почту и пароль. Никакой активности на акке не было. Все в том виде, как было до угона. Писем в почтовом ящике от поддержки тоже не было! Это очень странно. Я бы тогда щелкнул по соответствующей ссылке в письме, чтоб заблочить акк, но на почте пусто.

С геморроем, но акк я вернул, поскольку были все данные и все чеки. Я 100% уверен, что писем о смене мне не приходило. Как вообще такое возможно? (Почтовый ящик был на Яндексе. Папку со спамом проверял.).
Last edited by Mihailovich; Apr 12, 2020 @ 11:53pm
tmwichy Apr 12, 2020 @ 11:55pm 
К сожалению для Вас реальность не на Вашей стороне
< >
Showing 1-15 of 106 comments
Per page: 1530 50

Date Posted: Apr 12, 2020 @ 12:12pm
Posts: 106