Solitamente quando si pensa a Steam viene in mente un servizio affidabile e senza problemi di sicurezza, ma questo weekend il mito è stato sfatato da un bug che definire ingenuo è dir poco.
Negli ultimi giorni diversi account, inclusi quelli di alcuni streamer famosi e giocatori professionisti di DOTA 2, sono stati rubati con un trucco semplicissimo.
Per completare l'operazione era sufficiente andare nella sezione dell'assistenza di Steam dedicata al recupero password, inserire il nome dell'account desiderato e procedere con il reset della password, senza bisogno di verifiche o indirizzo mail.
Tutti gli account senza autenticazione in due passaggi erano potenzialmente vulnerabili. Bastava premere invio nella casella in cui bisognava mettere il codice di reset (senza digitare nulla) per terminare la procedura in modo semplice, come potete vedere nel video qui sotto.
Fortunatamente possiamo parlare al passato visto che Valve ha svelato di aver corretto il bug, scoperto il 25 luglio, e di aver resettato le password di tutti gli account coinvolti in "attività sospette" dal 21 al 25 luglio.
L'azienda spiega che gli utenti con account compromessi riceveranno una mail con una password. "Dopo aver ricevuto l'email consigliamo agli utenti di effettuare il login al loro account tramite il client di Steam e d'impostare una nuova password", si legge nella breve nota trasmessa da Valve al sito web Kotaku.
Fortunatamente sembra che i caratteri della password originale siano rimasti nascosti, ma ora Valve sta fronteggiando un altro problema. L'home page di Steam è infatti offline da diverse ore, e anche usando il client si può navigare soltanto nelle pagine della community, o nel proprio profilo e libreria, senza accedere allo store.
Per ora non è chiaro se il down di Steam sia legato al problema degli account trafugati o a un attacco informatico da parte di malintenzionati, come riportano diverse testate. Aggiorneremo la notizia con ulteriori dettagli non appena la vicenda sarà più chiara.
Aggiornamento: lo store di Steam è tornato online, sia tramite browser sia con il client.