Na Steamu se objevila obří zranitelnost dovolující spustit infikovaný kód

7. 2. 2017

Pokud pravidelně sledujete subforum Steam na Redditu, určitě jste si všimli něčeho velice neobvyklého. Objevilo se tu totiž velké červené varování, které poukazuje na velice nepříjemnou zranitelnost.Jistí hackeři přišli na způsob, jak vložit do oficiální profilové stránky na steamcommunity JS kód, který dokáže oběť buď přesměrovat na phishingový web a nebo ještě hůře provádět nákupy například na marketu. Prodávat nebo vyměňovat předměty nejde, protože zde je vyžadována další autentizace.

Valve již bylo varováno a očekává se nějaký hotfix. Každopádně vývojáři upozorňují, že kdokoliv, kdo se pokusí tuto zranitelnost použít, bude bez milosti zabanován. Návodů si lze „vygooglit“ hned několik a jsou podrobné a funkční, takže je to opravdu velký problém. Nezbývá nám nic jiné než čekat na opravu.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

7. 2. 2017 14:27

Tomáš Materna (neregistrovaný)

Rada je neklikat na profily lidí, které neznáte nebo kteří si Vás přidávají bez nějakého důvodu. Obezřetnost je na prvním místě.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 2. 2017 17:34

J (neregistrovaný)

Hmm.. Pokud lze tím skriptem prodávat a nakupovat, tak bych předpokládal, že z toho lze asi i změnit některé věci v profilu, ne?
Neboli: Jsem zvědav, kdy z toho někdo udělá červa.
Jinak, udivuje mě možnost provádět nákupy bez dalšího ověření.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 2. 2017 17:52

Sten (neregistrovaný)

Kód, který při zobrazení cizího napadeného profilu změní vlastní profil a při zobrazení svého profilu požádá o přihlášení, které odešle na web třetí strany? To by byl pro Steam dost velký problém.

Nákupy bez ověření jdou provádět, pokud to uživatel povolil. Do 14 dnů to může vrátit bez důvodu, pokud to nehrál, jinak pokud má „dostatečný důvod“ (Steam přímo uvádí nedostatečný HW či hra rychle omrzela, na podvodný nákup se to pravděpodobně bude vztahovat taky).
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 2. 2017 20:01

tomasfuk (neregistrovaný)

Při platbě kartou (asi většina nákupů na steamu), může rovnež platbu zrušit, a vrátit peníze, banka. Stačí platbu reklamovat jako neautorizovanou, neboť platby online může povést kdokoliv bez potřeby autorizace (zadání pinu).

Určitě ale bude mít Valve připravané jednoduché řešení pro zajištění zákaznické spokojenosti. Přecijen při vrácením peněz za digitální licenci o nic nepřijdou.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 2. 2017 23:45

kutr (neregistrovaný)

"Každopádně vývojáři upozorňují, že kdokoliv, kdo se pokusí tuto zranitelnost použít, bude bez milosti zabanován."
Už se všichni třesou před rukou spravedlnosti. Zvlášť když vytvoření účtu nic nestojí a dá se to zvládnou anonymně za pár minut.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
8. 2. 2017 7:36

ZXc (neregistrovaný)

Napřed ho zabanujou a pak na něj podaj trestní oznámení.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
8. 2. 2017 10:10

BlackRider

Na koho? Je spousta zpusobu jak na internetu skryt svou identitu a pokud je dotycnej treba nekde v Asii nebo v Africe, tak ho to vubec nemusi trapit...
- Zobrazit celé vlákno