Исследователь в области кибербезопасности под ником Victor обнаружил в Steam критическую уязвимость в рамках программы Bug Bounty. По шкале CVSS ей присвоена оценка 9 из 10. Valve пока не выпустила патч, исправляющий ошибку.
Атака работает через вредоносную ссылку, внешне неотличимую от обычной страницы игры или магазина Steam. После перехода пользователя перенаправляет на главную страницу сервиса — всё выглядит штатно, однако в этот момент данные аккаунта уже передаются злоумышленнику. Вредоносный код затем начинает распространяться по Steam самостоятельно, заражая аккаунты из списка друзей жертвы.
Victor ранее находил критические уязвимости в Discord, что подтверждает его репутацию в сообществе. До выхода патча пользователям рекомендуется с осторожностью переходить по ссылкам на Steam, даже если они приходят от знакомых.
ссылка на оригинал статьи https://habr.com/ru/articles/1055552/