พบช่องโหว่ Steam รีเซ็ตรหัสผ่านคนอื่นได้ ขอแค่รู้ชื่อบัญชี

By: mk

on 27 July 2015 - 18:06 Tags:

Topics:

Security

Valve

Steam

มีผู้ใช้งาน Steam จำนวนหนึ่งถูกขโมยบัญชี เนื่องจากช่องโหว่ในหน้าจอรีเซ็ตรหัสผ่านของ Steam เอง

ช่องโหว่นี้เกิดกับหน้าจอรีเซ็ตรหัสผ่านที่มีช่องให้ยืนยันอีเมล แต่ผู้รีเซ็ตสามารถกดยืนยันได้โดยไม่ต้องกรอกอีเมล และเข้าไปยังหน้าจอตั้งรหัสผ่านใหม่ได้เลย ทำให้การขโมยบัญชีง่ายมากขอเพียงแค่รู้ชื่อบัญชีเท่านั้น

Valve ออกมาให้ข้อมูลว่าช่องโหว่นี้เกิดระหว่างวันที่ 21-25 กรกฎาคมที่ผ่านมา ตอนนี้ช่องโหว่ถูกอุดแล้ว และบริษัทก็รีเซ็ตรหัสผ่านของบัญชีที่ต้องสงสัย พร้อมทั้งอีเมลแจ้งเจ้าของบัญชีนั้นแล้ว

ที่มา - Kotaku, PCWorld

Hiring! บริษัทที่น่าสนใจ

Getlinks (On behalf of our partners)

Getlinks is helping our partners to find top-notch engineering talents.

SCB Securities

บริษัทหลักทรัพย์ ไทยพาณิชย์ จำกัด (SCBS) มุ่งมั่นนำเสนอผลิตภัณฑ์ทางการเงินด้วยมาตรฐานระดับสากล

AISCB

Joint-venture between AIS&SCB with the goal to improve lives of millions though financial innovation

Comments

By: jaideejung007

on 27 July 2015 - 18:26 #830040

ไม่ถงไม่ถามสุขภาพอีเมลซักคำ

By: LinkWii1GT

on 27 July 2015 - 18:26 #830041

ยังดีที่อุดรูโหว่แล้วครับ

By: zankumuro

on 27 July 2015 - 18:34 #830042

รูโหว่แบบนี้ โปรแกรมเมอร์ไม่ได้เขียนดักไว้แน่นอน เหอๆ รอดไปนะเนี่ยไม่โดนกับเขาด้วย

By: Phonphijak_Oak

on 27 July 2015 - 19:09 #830046

สงสัยดูแลปัญหานี้อยู่สิน่ะ ปัญหาผมเลยถูกเมินไป ปัญหามาจากเพราะพึ่งเปิดให้ใช้steam app on phoneในการgen code เพื่อlogin ซึ่งปกติส่งcode ไปทาง email

พอทีนี้ผมไปresetมือถือเพื่อเปลี่ยนrom พอเปลี่ยนเสร็จก็ลงsteam app พอจะlogin มันดันถามรหัสจากตัวgen code(ซึ่งก็reเครื่องไปแล้ว) ทีนี้ลามใหญ่ steam client ก็ถาม steampowered ก็ถาม ที่สำคัญให้มันส่งไปemailเหมือนเดิมก็ไม่ได้(ต้องการcodeเหมือนเดิม) ในขณะที่เจ้าอื่น เช่น fb google microsoft ที่ถ้าตัวappไม่พร้อม สามารถส่งไปทางemailหรือsmsได้

ส่งsupportไป1อาทิตย์กับอีก1วัน ไร้การตอบสนองใดๆ นอกจากบอกว่าได้รับข้อความผมแล้ว

By: Configuleto

on 27 July 2015 - 21:06 #830064 Reply to:830046

ผมเจอปัญหาเดียวกัน เข้า Steam Support มีเป็นระบบอัตโนมัติครับ ต้องเลือกหัวข้อปัญหาให้ถูกด้วยน่ะ คือปิด Steam Guard ไปก่อนเลย สตีมจะส่งเมล์มายืนยันว่าปิด ผมทำไม่ถึง 5 นาทีเสร็จ :3

By: arth

on 27 July 2015 - 21:10 #830066 Reply to:830046

ตอนแรกผมก็ว่าจะเปิด แต่คิดไปคิดมาถ้ามือถือมีปัญหานี่จบเลย เลยยอมยืนยันผ่าน email เหมือนเดิมดีกว่า ไม่ผูกกับ device

By: KuroNeko_Hiki

on 27 July 2015 - 21:36 #830074 Reply to:830046

ติดต่อ Support นานสุดน่าจะ 15 วันมั้ง กว่าจะตอบมา

By: X_Changer on 27 July 2015 - 23:01 #830089

กว่าจะลอกอินเครื่องใหม่ได้ ต้องไปยืนยันเมล์อีกที ป้องกันหนาแน่นสุดๆ ดันมาตกม้าตายง่ายๆ

By: jaideejung007

on 28 July 2015 - 09:01 #830175 Reply to:830089

เงิบจริงๆ ครับ

By: kotnarukkot on 28 July 2015 - 14:07 #830279

สอบถามหน่อยจ้า คือสงสัยว่า ถ้า มีคนรู้ id password steam เขาสามารถ เอาไปเปลี่ยน email ใหม่แล้วยึดไปเลยได้ไหม เพราะทดสอบ เปลี่ยน email มันส่งรหัสยืนยันไป email ใหม่ ไม่ได้ส่งไป email เก่า อะจ๊ะ เลยงงๆ แบบนี้้ถ้าโดน hack id pass เขาเอาไปเปลี่ยน email ก็ ตามคืนไม่ได้เลยหรือเปล่าจ๊ะ

By: hisoft

on 28 July 2015 - 14:51 #830291 Reply to:830279

จริงๆ ควรจะถามให้ยืนยันในเมลเก่าก่อนสัก 3-7 วันนะครับนั่น - -"

แต่บางบริการจะให้ยืนยันแต่จากเมลเก่า คือ เมลเก่าผมเค้าปิดบริการไปแล้ว (T^T)

Main menu