看板 Steam
作者
標題 [問題] 打開2FA還被盜帳號
時間 Sun May 22 23:30:07 2022
作者
標題 [問題] 打開2FA還被盜帳號
時間 Sun May 22 23:30:07 2022
請問板上有人跟我一樣
打開2FA還是被盜帳號的嗎?
我的信箱也有2FA,需要使用手機才能解鎖
結果剛剛Steam發信說我帳戶被改
Steam的資安是狗屎懶蛋做的嗎
在這邊提醒各位小心一點啊
---------------------------UPDATE------------------------------
更新一下,我上次登入Steam是大前天,使用macOS版本steam desktop version遊玩
後續沒有任何登入steam跟瀏覽steam任何網站的紀錄,
今天20:07分被人暴力破解,收到驗證碼,我沒理會(可能我太習慣被暴力破解)
然後22:53分被通知郵件遭到更改,難道他驗證碼timeout可以長達2小時嗎...
然後22:53分被通知郵件遭到更改,難道他驗證碼timeout可以長達2小時嗎...
我2FA綁定Email,Email綁定手機驗證,所以我覺得不可能是因為Email被盜才導致
此事件發生,發這篇文章是希望各位最好小心一點,也不要像我一樣智障,覺得有
2FA就可以不用管密碼被暴力破解的事。
--
![[圖]](/img/ansi/d/d7068e91511.png)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.126.46.39 (臺灣)
※ 文章代碼(AID): #1YYbS1rS (Steam)
※ 文章網址: https://www.ptt.cc/bbs/Steam/M.1653233409.A.D5C.html
推 : 你是不是有登到假網站
這種2FA的技術都不是無敵的,如果你有勾「記住此裝置」就更有機會被盜。1F 05/22 23:31
我一直都是透過Steam app(macOS)登入我的帳號,上次登入官網應該是月初買peglin這種2FA的技術都不是無敵的,如果你有勾「記住此裝置」就更有機會被盜。1F 05/22 23:31
的時候的事情了,所以還真的不知道是什麼時候有機會被盜的
※ 編輯: gameqwert (59.126.46.39 臺灣), 05/22/2022 23:35:55
→ : 平常養成好的資安習慣,用密碼管理器並定期更換密碼、2FA設在手機而不是email、不要下載來路不明的程式(尤其是非法的)、點開網站前注意網址是否正確、不要任意關閉防毒軟體。若你有確實做好上面每一項原則再來檢討steam的資安作為吧。4F 05/22 23:35
→ : C大說的我捫心自問都有做到,畢竟我自己也是資訊從業人員,所以平常都會注意,永遠都是google進入Steam,不透過第三方連結,平常也都是用官方Desktop version9F 05/22 23:36
→ : 至於為什麼開了2FA還是會被盜,你可以在YT搜尋「Redline stealer」,簡單來說就是你瀏覽器裡紀錄你已經登入身份的Token被偷了,所以駭客可以繞過2FA登入你的帳號12F 05/22 23:37
→ : 所以我覺得我已經做得算是密不透風了,還是被盜15F 05/22 23:38
推 : 原來還有繞過2FA的方法哦16F 05/22 23:43
推 : 那我也是沒有辦法,這個盜帳號的技術連Google和微軟這種大廠都擋不太住,更別說Valve了,我建議直接重設電腦,畢竟這樣看起來中毒機率比較大,神仙也防不了你被駭17F 05/22 23:44
→ : 但是改密碼之前不是要去信箱確認?所以原Po的信箱的登入token也被偷?21F 05/22 23:45
→ : 回16樓:有,而且多的很。所以平時資安的觀念很重要。23F 05/22 23:47
推 : 看來以後要使用實體金鑰ㄌ24F 05/22 23:48
→ : 感覺要同時偷兩個地方的token,難度很高
而且我信箱還是用手機認證,我剛剛去看了活動紀錄也沒異常,我真心懷疑是Steam可能有leak25F 05/22 23:51
※ 編輯: gameqwert (59.126.46.39 臺灣), 05/22/2022 23:57:50而且我信箱還是用手機認證,我剛剛去看了活動紀錄也沒異常,我真心懷疑是Steam可能有leak25F 05/22 23:51
推 : Steam應該是不支援實體金鑰的,建議還是把steam guard設在手機App啦,比設在email安全一些。28F 05/23 00:02
推 : 原來2FA是綁EMail? 綁手機才是真的安全吧
綁EMail被盜的已經聽過不少案例了,綁手機的幾乎沒有30F 05/23 00:02
綁EMail被盜的已經聽過不少案例了,綁手機的幾乎沒有30F 05/23 00:02
→ : 有手機驗證之後用到現在沒被登過 帳號13年 給你參考32F 05/23 00:40
推 : steam有leak就是大規模了 應該不會只有你33F 05/23 00:42
噓 : 沒有 只有你34F 05/23 00:46
推 : 有兩階段驗證還被盜那一定是你登入 cookies 洩漏了
八成登到哪個偽裝的網站然後洩漏了
總不可能連你信箱都被盜,八成是你自己的問題35F 05/23 01:08
嗯...老實說我想不到,或許吧,但是我只是想透過這篇文章,八成登到哪個偽裝的網站然後洩漏了
總不可能連你信箱都被盜,八成是你自己的問題35F 05/23 01:08
提醒那或許是百分之一可能性不是我個人行為造成的問題而已。
推 : 我記得cookies會記token 可以直接登38F 05/23 01:11
我不曉得steam是走cookie還是web storage, 但是cookies應該也沒那麼容易拿到推 : 我N年沒開過防毒也沒被盜...39F 05/23 01:12
大大管理做得真好→ : 提到Steam的二階段驗證就是手機,信箱當作沒有就好40F 05/23 01:18
剛剛Steam馬上把帳號還給我,我就去下載mobile app了推 : 你484上惹些不該上der色色網站41F 05/23 01:22
我只看Pornhub and Onlyfans推 : 手機驗證 密碼幾秒就更新 我自己都很難登入42F 05/23 01:34
推 : 我還以為你是說手機驗證被盜,結果是信箱…信箱超不安全而且被暴力破解密碼了還不換一下嗎…43F 05/23 01:35
老實說我不是死忠蒸氣玩家,通常玩家機居多,我當初設定2FA時還沒有APP可以用所以經由這次經驗,剛剛趕快去下載了,哈
推 : f2a設mail已經不知多少案例出事了還不設在手機...45F 05/23 01:38
[閒聊] 中國的盜帳號集團真的很扯 - 看板 Steam - 批踢踢實業坊
如題 我的steam帳號已經持續被攻擊3年了 我有手機驗證所以都沒出事
如題 我的steam帳號已經持續被攻擊3年了 我有手機驗證所以都沒出事
→ : 到底用信箱登入還是用手機登入阿48F 05/23 01:51
信箱驗證Steam, 手機驗證信箱, 只是想表達信箱被黑的機率小於Steam※ 編輯: gameqwert (59.126.46.39 臺灣), 05/23/2022 01:56:23
推 : 他是用信箱驗證
然後他的信箱有手機認證
這會有問題就是你電腦有木馬的話
信箱的cookies 會被偷,可以繞過你信箱驗證
這樣的話steam的信箱驗證就掰了
我的猜測啦49F 05/23 01:52
然後他的信箱有手機認證
這會有問題就是你電腦有木馬的話
信箱的cookies 會被偷,可以繞過你信箱驗證
這樣的話steam的信箱驗證就掰了
我的猜測啦49F 05/23 01:52
→ : 確實有可能,是我的電腦有木馬55F 05/23 01:57
推 : 還以為是用App驗證被盜,如果是信箱的話就別特別說自己多注重資安了56F 05/23 02:31
我信箱特別保護他了,又不是信箱被盜,我不懂這樣有什麼不注重資安的XD推 : 真要安全就要連email,都要手機認證登入58F 05/23 02:43
大大,我有說喔,我信箱是手機登入認證喔→ : 我開手機驗證,天天被登持續兩三年了。目前還沒被破解59F 05/23 03:10
推 : 樓上你電腦基本上也是有木馬的狀態,不掃一下嗎…60F 05/23 04:55
推 : 2FA有人在綁email喔-.-61F 05/23 05:33
早期還是有喔,我那時候記得還沒有提供手機的2FA→ : 案例很多了 說steam的2FA就是指綁手機 email的沒啥用
綁手機的 除了自己被釣魚親自把驗證碼輸進去 目前還沒有傳出過被盜的案例62F 05/23 06:31
綁手機的 除了自己被釣魚親自把驗證碼輸進去 目前還沒有傳出過被盜的案例62F 05/23 06:31
推 : 你是2FA掛在信箱那邊 steam guard沒開到手機認證的等級?我是聽說有人在經營youtube頻道 他的google帳號有開2FA
但是還是被駭客以其他裝置冒充為信任裝置被盜走帳號 不知道你是不是這種的65F 05/23 07:31
對,我根本不知道Steam Mobile App XD,我昨天有下載台灣知名防毒軟體但是還是被駭客以其他裝置冒充為信任裝置被盜走帳號 不知道你是不是這種的65F 05/23 07:31
是沒掃到任何木馬,防火牆也沒關過,還是用macOS,實在不知道我這邊
中木馬機率還有多高。
PS: 我壞壞也都開無痕喔
→ : 你確定那封信是真的?69F 05/23 07:43
大大問的我當下也有思考,所以我是直接上Google搜尋Steam,嘗試登入,發現是真的登入不了,所以確認為真。
→ : 這樣你應該說你那家信箱的資安是不是狗屎懶蛋做的嗎70F 05/23 07:46
我是覺得如果是Email出現問題,波及層面應該不會只有Steam啦XD推 : 我不是資安從業啦 不過我有認識從事實體防盜措施的
從指紋辨識到紅外線動作感應器再到防盜箱的
他有解釋過實體防盜措施個別都是有弱點的
但複合目的是讓破解變得漫長使得破解行為容易被察覺
以2FA的郵件通知給你有人在試了 你當稀鬆平常
大概就像指紋鎖告訴用戶「欸有人在試門鎖喔」無動於衷你這樣真的叫從業人員嗎71F 05/23 07:56
我也很無奈,從早期收到信,就去改密碼,改到我不知道要改什麼密碼了從指紋辨識到紅外線動作感應器再到防盜箱的
他有解釋過實體防盜措施個別都是有弱點的
但複合目的是讓破解變得漫長使得破解行為容易被察覺
以2FA的郵件通知給你有人在試了 你當稀鬆平常
大概就像指紋鎖告訴用戶「欸有人在試門鎖喔」無動於衷你這樣真的叫從業人員嗎71F 05/23 07:56
就懶得管了...
老實說我有很多網路帳號,真的也就只有Steam常常傳出被偷盜,為什麼其他家都沒事
我也是很納悶,所以我才會更覺得是Steam官方的資安真的是有漏洞。
推 : 所以我好奇 都沒人懷疑2FA的問題嗎?資安背景的人都被盜了,還在懷疑受害者,到底在信仰什麼?78F 05/23 08:32
我也不是來引戰的,我只是想說,我平常很注重資安了,卻遇到這種問題希望大家也跟著重視一下而已,或許當下有情緒,比較怒,所以才會比較激烈
不過出意真的不是要來筆戰,謝謝Hakan大QQ
推 : 欸對欸,也有可能信是假的,確認一下是不是真的被改80F 05/23 08:39
有確認過喔,我自己對釣魚信很防範的。→ : 資訊?資安? 因為大部分的人都沒事吧,看那個要改到韓國才能連線的就滿多人的81F 05/23 09:08
可能我比較倒霉吧,哈哈,有相關問題的就再多注意囉,沒遇到最好了。大部分的人都沒事,或許也不代表真的沒事,對吧?
※ 編輯: gameqwert (59.126.46.39 臺灣), 05/23/2022 09:20:32
→ : 不是欸 2FA不是PTT專用或Steam專用的小圈圈技術 這是2022年幾乎所有有點規模的網站都會使用的技術 如果Steam的2FA有問問題 Steam每分每秒都有1500萬的線上使用者 我覺得不會只有PTT偶爾看到幾個人發文問被盜帳號
如果2FA可能有問題 我也很想知道可能是哪邊有問題
因為這可能是撼動網路安全的超級大事 真心不酸83F 05/23 09:17
如果2FA可能有問題 我也很想知道可能是哪邊有問題
因為這可能是撼動網路安全的超級大事 真心不酸83F 05/23 09:17
→ : s大你好,我也是每個平台都有用2FA,我自己也串過第三89F 05/23 09:23
→ : 如果Steam的資安真的有問題 我覺得會變成橘子那樣 十年沒用90F 05/23 09:23
→ : 方MFA服務,所以對這個功能真心是稍微了解的,今天被盜91F 05/23 09:23
→ : 的帳號也被盜92F 05/23 09:23
→ : 我不覺得我百分百沒問題,或許是我擺爛不改密碼或其他但是我真心覺得,我沒有任何一個帳號,三天兩頭就收到93F 05/23 09:23
→ : 我也沒說你錯 因為我更不瞭解 只是我個人相信會有更聰明的人95F 05/23 09:24
→ : 帳號又被嘗試登入的問題,所以我是真心認為Steam需要96F 05/23 09:24
→ : 更早發現Steam有問題97F 05/23 09:24
→ : 檢討他們資安的保護方式
嗯嗯,我懂大大想說什麼,我也是希望大家多多注意
或許真的移到手機認證,真的會安全許多~
謝謝S大理性討論^^98F 05/23 09:24
嗯嗯,我懂大大想說什麼,我也是希望大家多多注意
或許真的移到手機認證,真的會安全許多~
謝謝S大理性討論^^98F 05/23 09:24
推 : 信箱驗證防護性本來就比手機低了 你覺得有問題可以回報給steam102F 05/23 09:26
→ : 已回報喔^^~帳號也找回來了,謝謝h大提醒104F 05/23 09:27
→ : 現在才意識到 其實我推文主要不是回原po...105F 05/23 09:29
→ : 哈哈XD
其實google: steam 2fa be stolen會發現,真的不是只有我發生這個問題而已QQ
在這邊還是在囉唆,希望大家真的要多注意106F 05/23 09:30
其實google: steam 2fa be stolen會發現,真的不是只有我發生這個問題而已QQ
在這邊還是在囉唆,希望大家真的要多注意106F 05/23 09:30
→ : 查了沒有最近的110F 05/23 09:33
→ : 信箱就偶爾會有阿 所以steam也一直要你用手機鎖
被盜是很慘 但你都說自己是資安背景了 也該知道2FA不是萬能的
很在意當然是選比較難被破解的111F 05/23 09:34
對,我不是故意不選啦XD~只是當初設定沒有這個選項被盜是很慘 但你都說自己是資安背景了 也該知道2FA不是萬能的
很在意當然是選比較難被破解的111F 05/23 09:34
又真的很少用,就沒有去設定了,還好我付款用的是Paypal,因為我知道2FA不是萬能XD
推 : 不懂Steam幹嘛不直接照FIDO2的規範做2FA就好,使用者可以自己選擇要用OTP、實體金鑰、手機生物認證115F 05/23 09:41
只能說他們對他們自己的authentication flow很有信心吧orz※ 編輯: gameqwert (59.126.46.39 臺灣), 05/23/2022 09:48:15
--
作者 gameqwert 的最新發文:
![]()
請問板上有人跟我一樣 打開2FA還是被盜帳號的嗎? 我的信箱也有2FA,需要使用手機才能解鎖 結果剛剛Steam發信說我帳戶被改 Steam的資安是狗屎懶蛋做的嗎 在這邊提醒各位小心一點啊 UPDAT …116F 25推 1噓
