Цифрова незалежність з оновленням Immich 3.0
Критична прогалина в безпеці екосистеми Steam

У межах програми Bug Bounty було виявлено критичну вразливість у системі безпеки Steam, якій присвоєно рейтинг 9 з 10 за шкалою CVSS. Настільки висока оцінка свідчить про те, що експлойт потребує мінімальних зусиль від зловмисника та завдає максимальної шкоди користувачеві. Станом на зараз розробники з Valve ще не представили офіційного патчу, що залишає мільйони користувачів відкритими перед потенційною загрозою.
Механіка атаки базується на поєднанні технічної вразливості та соціальної інженерії. Жертві пропонують перейти за посиланням, яке візуально та структурно повністю імітує стандартну сторінку магазину або картку гри в Steam. Після переходу відбувається миттєве перенаправлення на головну сторінку сервісу, що створює ілюзію штатної роботи сайту й не викликає підозр у користувача. Проте саме в цей короткий проміжок часу відбувається ексфільтрація конфіденційних даних облікового запису.
Особливу небезпеку становить вірусна природа цієї вразливості. Після успішного захоплення облікового запису шкідливий код починає автономно поширюватися списком друзів жертви. Це перетворює атаку з точкового фішингу на повноцінну епідемію всередині соціальної мережі Steam, де рівень довіри до посилання від знайомої особи значно вищий, ніж до випадкового повідомлення.
Подібні інциденти нагадують про системні ризики, пов'язані з делегуванням прав доступу через вебінтерфейси. Досвід незалежних дослідників безпеки, які раніше виявляли аналогічні критичні помилки у великих сервісах на кшталт Discord, підтверджує: навіть гіганти індустрії можуть припускатися прорахунків у логіці обробки перенаправлень та токенів сесій.
До моменту виходу офіційного оновлення безпеки єдиним ефективним методом захисту залишається цифрова гігієна. Рекомендується бути максимально обережними під час переходу за зовнішніми посиланнями, навіть якщо вони надійшли від довірених контактів, та використовувати багатофакторну автентифікацію для мінімізації ризиків несанкціонованого доступу до профілю.

