Хакер Victor обнаружил в Steam критическую уязвимость, которая позволяет злоумышленникам получить все личные данные пользователя всего за один клик. Уязвимость нашли в рамках программы Bug Bounty, ей присвоили почти максимальный балл опасности — 9 из 10 по шкале CVSS.
Атака происходит через вредоносную ссылку, которая выглядит как обычная страница игры или магазина Steam. После перехода по такой ссылке пользователя перенаправляет на главную страницу сервиса, однако в этот момент его данные уже передаются злоумышленникам. После этого вредоносный код начинает сам распространяться по Steam, заражая другие аккаунты.
Valve, владеющая Steam, пока не выпустила патч для устранения уязвимости.
Victor уже находил критические уязвимости не только в Steam, но и в Discord, так что ему можно доверять. По оценкам, стоимость Valve составляет 45 миллиардов долларов — и даже такая крупная компания оказалась под угрозой массового взлома.
Как считаете, достаточно ли быстро реагирует Valve на угрозы такого масштаба и что должны делать пользователи, пока патч не вышел?

