Уязвимость в Steam позволяет похитить данные за один клик и распространиться по его друзьям

от автора

Исследователь в области кибербезопасности под ником Victor обнаружил в Steam критическую уязвимость в рамках программы Bug Bounty. По шкале CVSS ей присвоена оценка 9 из 10. Valve пока не выпустила патч, исправляющий ошибку.

Атака работает через вредоносную ссылку, внешне неотличимую от обычной страницы игры или магазина Steam. После перехода пользователя перенаправляет на главную страницу сервиса — всё выглядит штатно, однако в этот момент данные аккаунта уже передаются злоумышленнику. Вредоносный код затем начинает распространяться по Steam самостоятельно, заражая аккаунты из списка друзей жертвы.

Victor ранее находил критические уязвимости в Discord, что подтверждает его репутацию в сообществе. До выхода патча пользователям рекомендуется с осторожностью переходить по ссылкам на Steam, даже если они приходят от знакомых.

ссылка на оригинал статьи https://habr.com/ru/articles/1055552/