Site icon Sophos News

Account rubati a Steam, Valve corregge il bug

Steam, la celebre piattaforma di gaming, è stata oggetto di una violazione alla sicurezza che ha permesso agli aggressori di dirottare un discreto numero di account.

Utilizzando il solo nome utente della vittima, l’aggressore ha potuto sfruttare ciò che Valve ha descritto come un “bug” nella funzione “forgotten password”.

Come ben sanno i gamer, una password dimenticata di Steam richiede l’inserimento di username, indirizzo email e numero di telefono per ricevere un messaggio di posta elettronica contenente le istruzioni e il codice richiesto per essere resettata.

Tuttavia, come mostra il gamer inglese Elm Hoe nel video che segue, una password può essere resettata anche se il campo del codice viene lasciato in bianco. Questo permetterebbe agli aggressori di prendere possesso di un account essendo a conoscenza unicamente dello Steam ID.

(Dato che l’azienda è ora a conoscenza dell’exploit, non tentate di riprodurlo! Potreste essere bloccati in modo permanente!)

Softpedia informa che Valve ha confermato che il buco è stato risolto attraverso un messaggio email inviato agli utenti colpiti, nel quale si afferma che il problema era presente dal 21 al 25 luglio.

La società ha informato chi è stato colpito di aver forzato le modifiche alle password per tutti coloro che hanno usato il wizard di recupero password durante quel lasso di tempo.

Valve ha inoltre affermato che, mentre alcune password sono state modificate, nessuna è stata svelata. E’ tuttavia fortemente auspicabile cambiarla. Ecco alcuni suggerimenti per la scelta di una nuova ed efficace password.

Nella stessa mail Valve ha inoltre approfittato per ricordare agli utenti la possibilità di usare la sua autenticazione a due fattori – Steam Guard – che richiede a chiunque tenti di accedere a un account da un dispositivo sconosciuto di digitare un codice inviato all’indirizzo email dell’utente registrato.

Valve – che si ritiene abbia oltre 125 milioni di utenti attivi – ha per precauzione bloccato per cinque giorni tutti gli account colpiti.

Se il vostro account è stato colpito o se avete difficoltà ad accedere, contattate il supporto di Steam per essere aiutati.

Exit mobile version