Do przejęcia konta użytkownika wystarczyła znajomość jego nazwy. Wszystko było możliwe dzięki wadliwej funkcji przywracania hasła. W normalnych okolicznościach usługa podczas resetowania hasła wysyła na przypisanego maila specjalny kod, który należy wprowadzić, by potwierdzić czynność. W tym przypadku też tak było, jednak jak się okazuje, kodu nie trzeba było przepisywać. Wystarczyło pozostawić puste pole i kliknąć dalej, a usługa nas przepuszczała, pozwalając ustawić nowe hasło.
W taki sposób przejąć można było dowolne konto, ustawiając własne hasło. Oczywiście ofiara mogła postąpić w ten sam sposób, resetując hasło i odzyskując dostęp do swojego profilu.
Valve załatało już lukę i przeprosiło graczy, którzy byli narażeni na utratę konta. Ponadto firma automatycznie zresetowała hasło osobom, u których w tym okresie odnotowano podejrzaną aktywność. Jeżeli zatem otrzymacie wiadomość od Valve, to ktoś próbował się włamać na wasze konto. Zmiana hasła w takim przypadku będzie konieczna.
Warto również zaznaczyć, że luka ta nie działała, jeżeli użytkownik miał włączoną ochronę Steam Guard. Wymaga ona podania specjalnego kodu wysłanego np. na maila, jeżeli użytkownik loguje się z nowego urządzenia.
Źródło: PC Gamer