Steam exploit maakte het mogelijk om wachtwoorden van accounts te veranderen

In de afgelopen dagen werden enkele Steam-gebruikers opgeschrikt door het bericht dat het wachtwoord van hun account was veranderd. Een exploit, die inmiddels is opgelost door Valve, maakte het mogelijk om het wachtwoord van ieder account te veranderen, zolang de naam van het account maar bekend was. De exploit zat in de authenticatieprocedure. Die kon namelijk worden omzeild door simpelweg op ‘continue’ te klikken wanneer er om een verificatiecode werd gevraagd. De onderstaande video geeft weer hoe makkelijk het was om een wachtwoord te veranderen.

Inmiddels is de exploit dus opgelost. Dankzij de extra beveiligingsmaatregelen van Steam is de aangerichte schade beperkt. Je moet immers een verificatiecode uit je mail plukken om een account te kunnen gebruiken op een nieuw systeem. Daarnaast is het niet mogelijk om te handelen op een Steam account kort na een verandering van het wachtwoord. Desondanks is het een erg slordige fout van Valve. In een reactie op Kotaku laat Valve weten dat van accounts waarbij verdachte wachtwoordveranderingen hebben plaatsgevonden het wachtwoord opnieuw moet worden ingesteld:

To protect users, we are resetting passwords on accounts with suspicious password changes during that period or may have otherwise been affected. Relevant users will receive an email with a new password. Once that email is received, it is recommended that users login to their account via the Steam client and set a new password.

Please note that while an account password was potentially modified during this period the password itself was not revealed. Also, if Steam Guard was enabled, the account was protected from unauthorized logins even if the password was modified.

We apologize for any inconvenience.

Valve komt voor nu dus met de schrik vrij. Deze exploit maakt, heel toevallig, de onlangs geïntroduceerde Steam Guard Mobile Authenticator in ieder geval een stuk aantrekkelijker.