※ 本文轉寄自 ptt.cc 更新時間: 2022-05-23 10:10:03
看板 Steam
作者 標題 [問題] 打開2FA還被盜帳號
時間 Sun May 22 23:30:07 2022
請問板上有人跟我一樣
打開2FA還是被盜帳號的嗎?
我的信箱也有2FA,需要使用手機才能解鎖
結果剛剛Steam發信說我帳戶被改
Steam的資安是狗屎懶蛋做的嗎
在這邊提醒各位小心一點啊
---------------------------UPDATE------------------------------
更新一下,我上次登入Steam是大前天,使用macOS版本steam desktop version遊玩
後續沒有任何登入steam跟瀏覽steam任何網站的紀錄,
今天20:07分被人暴力破解,收到驗證碼,我沒理會(可能我太習慣被暴力破解)
然後22:53分被通知郵件遭到更改,難道他驗證碼timeout可以長達2小時嗎...
然後22:53分被通知郵件遭到更改,難道他驗證碼timeout可以長達2小時嗎...
我2FA綁定Email,Email綁定手機驗證,所以我覺得不可能是因為Email被盜才導致
此事件發生,發這篇文章是希望各位最好小心一點,也不要像我一樣智障,覺得有
2FA就可以不用管密碼被暴力破解的事。
--
▃_ ▎▌ ◎ ▎▌ ▃_ ◥▂▂▂◤ ◣ ▋▌ ◢██◣
▎▁ˍ▅ ▏ ▍ ▃▄▄▃ ▏ ▍ ▎▁ˍ▅ ◢███◣ ▉█▏▉◢█◤◥█◣
▍▎◢◤ ▌▋▌◤▉▼▏◥ ▌▋▌ ▍▎◢◤ █◤ ◥█ ▊│▍▊ ◥ ◢█◤
▌◢◤ ▊▊▎▎ ▌▌ ▊▊▎▎▌◢◤ █ ● █ ▋▍◣▋ ◤ ◤
▋▌ ▏▁▉ ▋▍ ▏▁▉ ▋▌ █◣ ◢█ ▊▍|▌ ◢█◤ ◢
▊▋ ▍▋▋ ▉▎ ▍▋▋▊▋ ◥███◤ ▍▏◥▍ ▲Niarrats▼
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.126.46.39 (臺灣)
※ 文章代碼(AID): #1YYbS1rS (Steam)
※ 文章網址: https://www.ptt.cc/bbs/Steam/M.1653233409.A.D5C.html
推 : 你是不是有登到假網站1F 05/22 23:31
→ : 這種2FA的技術都不是無敵的,如果你有勾「記住此裝置
→ : 」就更有機會被盜。
我一直都是透過Steam app(macOS)登入我的帳號,上次登入官網應該是月初買peglin→ : 這種2FA的技術都不是無敵的,如果你有勾「記住此裝置
→ : 」就更有機會被盜。
的時候的事情了,所以還真的不知道是什麼時候有機會被盜的
※ 編輯: gameqwert (59.126.46.39 臺灣), 05/22/2022 23:35:55
→ : 平常養成好的資安習慣,用密碼管理器並定期更換密碼、4F 05/22 23:35
→ : 2FA設在手機而不是email、不要下載來路不明的程式(尤
→ : 其是非法的)、點開網站前注意網址是否正確、不要任意
→ : 關閉防毒軟體。若你有確實做好上面每一項原則再來檢討
→ : steam的資安作為吧。
→ : 2FA設在手機而不是email、不要下載來路不明的程式(尤
→ : 其是非法的)、點開網站前注意網址是否正確、不要任意
→ : 關閉防毒軟體。若你有確實做好上面每一項原則再來檢討
→ : steam的資安作為吧。
→ : C大說的我捫心自問都有做到,畢竟我自己也是資訊從業人9F 05/22 23:36
→ : 員,所以平常都會注意,永遠都是google進入Steam,不透
→ : 過第三方連結,平常也都是用官方Desktop version
→ : 員,所以平常都會注意,永遠都是google進入Steam,不透
→ : 過第三方連結,平常也都是用官方Desktop version
→ : 至於為什麼開了2FA還是會被盜,你可以在YT搜尋「Redli12F 05/22 23:37
→ : ne stealer」,簡單來說就是你瀏覽器裡紀錄你已經登入
→ : 身份的Token被偷了,所以駭客可以繞過2FA登入你的帳號
→ : ne stealer」,簡單來說就是你瀏覽器裡紀錄你已經登入
→ : 身份的Token被偷了,所以駭客可以繞過2FA登入你的帳號
→ : 所以我覺得我已經做得算是密不透風了,還是被盜15F 05/22 23:38
推 : 原來還有繞過2FA的方法哦16F 05/22 23:43
推 : 那我也是沒有辦法,這個盜帳號的技術連Google和微軟這17F 05/22 23:44
→ : 種大廠都擋不太住,更別說Valve了,我建議直接重設電
→ : 腦,畢竟這樣看起來中毒機率比較大,神仙也防不了你被
→ : 駭
→ : 種大廠都擋不太住,更別說Valve了,我建議直接重設電
→ : 腦,畢竟這樣看起來中毒機率比較大,神仙也防不了你被
→ : 駭
→ : 但是改密碼之前不是要去信箱確認?所以原Po的信箱的21F 05/22 23:45
→ : 登入token也被偷?
→ : 登入token也被偷?
→ : 回16樓:有,而且多的很。所以平時資安的觀念很重要。23F 05/22 23:47
推 : 看來以後要使用實體金鑰ㄌ24F 05/22 23:48
→ : 感覺要同時偷兩個地方的token,難度很高25F 05/22 23:51
→ : 而且我信箱還是用手機認證,我剛剛去看了活動紀錄也沒
→ : 異常,我真心懷疑是Steam可能有leak
※ 編輯: gameqwert (59.126.46.39 臺灣), 05/22/2022 23:57:50→ : 而且我信箱還是用手機認證,我剛剛去看了活動紀錄也沒
→ : 異常,我真心懷疑是Steam可能有leak
推 : Steam應該是不支援實體金鑰的,建議還是把steam guard28F 05/23 00:02
→ : 設在手機App啦,比設在email安全一些。
→ : 設在手機App啦,比設在email安全一些。
推 : 原來2FA是綁EMail? 綁手機才是真的安全吧30F 05/23 00:02
→ : 綁EMail被盜的已經聽過不少案例了,綁手機的幾乎沒有
→ : 綁EMail被盜的已經聽過不少案例了,綁手機的幾乎沒有
→ : 有手機驗證之後用到現在沒被登過 帳號13年 給你參考32F 05/23 00:40
推 : steam有leak就是大規模了 應該不會只有你33F 05/23 00:42
噓 : 沒有 只有你34F 05/23 00:46
推 : 有兩階段驗證還被盜那一定是你登入 cookies 洩漏了35F 05/23 01:08
→ : 八成登到哪個偽裝的網站然後洩漏了
→ : 總不可能連你信箱都被盜,八成是你自己的問題
嗯...老實說我想不到,或許吧,但是我只是想透過這篇文章,→ : 八成登到哪個偽裝的網站然後洩漏了
→ : 總不可能連你信箱都被盜,八成是你自己的問題
提醒那或許是百分之一可能性不是我個人行為造成的問題而已。
推 : 我記得cookies會記token 可以直接登38F 05/23 01:11
我不曉得steam是走cookie還是web storage, 但是cookies應該也沒那麼容易拿到推 : 我N年沒開過防毒也沒被盜...39F 05/23 01:12
大大管理做得真好→ : 提到Steam的二階段驗證就是手機,信箱當作沒有就好40F 05/23 01:18
剛剛Steam馬上把帳號還給我,我就去下載mobile app了推 : 你484上惹些不該上der色色網站41F 05/23 01:22
我只看Pornhub and Onlyfans推 : 手機驗證 密碼幾秒就更新 我自己都很難登入42F 05/23 01:34
推 : 我還以為你是說手機驗證被盜,結果是信箱…信箱超不安全43F 05/23 01:35
→ : 而且被暴力破解密碼了還不換一下嗎…
老實說我不是死忠蒸氣玩家,通常玩家機居多,我當初設定2FA時還沒有APP可以用→ : 而且被暴力破解密碼了還不換一下嗎…
所以經由這次經驗,剛剛趕快去下載了,哈
推 : f2a設mail已經不知多少案例出事了還不設在手機...45F 05/23 01:38
[閒聊] 中國的盜帳號集團真的很扯 - 看板 Steam - 批踢踢實業坊
如題 我的steam帳號已經持續被攻擊3年了 我有手機驗證所以都沒出事
如題 我的steam帳號已經持續被攻擊3年了 我有手機驗證所以都沒出事
→ : 到底用信箱登入還是用手機登入阿48F 05/23 01:51
信箱驗證Steam, 手機驗證信箱, 只是想表達信箱被黑的機率小於Steam※ 編輯: gameqwert (59.126.46.39 臺灣), 05/23/2022 01:56:23
推 : 他是用信箱驗證49F 05/23 01:52
→ : 然後他的信箱有手機認證
→ : 這會有問題就是你電腦有木馬的話
→ : 信箱的cookies 會被偷,可以繞過你信箱驗證
→ : 這樣的話steam的信箱驗證就掰了
→ : 我的猜測啦
→ : 然後他的信箱有手機認證
→ : 這會有問題就是你電腦有木馬的話
→ : 信箱的cookies 會被偷,可以繞過你信箱驗證
→ : 這樣的話steam的信箱驗證就掰了
→ : 我的猜測啦
→ : 確實有可能,是我的電腦有木馬55F 05/23 01:57
推 : 還以為是用App驗證被盜,如果是信箱的話就別特別說自己多56F 05/23 02:31
→ : 注重資安了
我信箱特別保護他了,又不是信箱被盜,我不懂這樣有什麼不注重資安的XD→ : 注重資安了
推 : 真要安全就要連email,都要手機認證登入58F 05/23 02:43
大大,我有說喔,我信箱是手機登入認證喔→ : 我開手機驗證,天天被登持續兩三年了。目前還沒被破解59F 05/23 03:10
推 : 樓上你電腦基本上也是有木馬的狀態,不掃一下嗎…60F 05/23 04:55
推 : 2FA有人在綁email喔-.-61F 05/23 05:33
早期還是有喔,我那時候記得還沒有提供手機的2FA→ : 案例很多了 說steam的2FA就是指綁手機 email的沒啥用62F 05/23 06:31
→ : 綁手機的 除了自己被釣魚親自把驗證碼輸進去 目前還沒有
→ : 傳出過被盜的案例
→ : 綁手機的 除了自己被釣魚親自把驗證碼輸進去 目前還沒有
→ : 傳出過被盜的案例
推 : 你是2FA掛在信箱那邊 steam guard沒開到手機認證的等級?65F 05/23 07:31
→ : 我是聽說有人在經營youtube頻道 他的google帳號有開2FA
→ : 但是還是被駭客以其他裝置冒充為信任裝置被盜走帳號 不知
→ : 道你是不是這種的
對,我根本不知道Steam Mobile App XD,我昨天有下載台灣知名防毒軟體→ : 我是聽說有人在經營youtube頻道 他的google帳號有開2FA
→ : 但是還是被駭客以其他裝置冒充為信任裝置被盜走帳號 不知
→ : 道你是不是這種的
是沒掃到任何木馬,防火牆也沒關過,還是用macOS,實在不知道我這邊
中木馬機率還有多高。
PS: 我壞壞也都開無痕喔
→ : 你確定那封信是真的?69F 05/23 07:43
大大問的我當下也有思考,所以我是直接上Google搜尋Steam,嘗試登入,發現是真的登入不了,所以確認為真。
→ : 這樣你應該說你那家信箱的資安是不是狗屎懶蛋做的嗎70F 05/23 07:46
我是覺得如果是Email出現問題,波及層面應該不會只有Steam啦XD推 : 我不是資安從業啦 不過我有認識從事實體防盜措施的71F 05/23 07:56
→ : 從指紋辨識到紅外線動作感應器再到防盜箱的
→ : 他有解釋過實體防盜措施個別都是有弱點的
→ : 但複合目的是讓破解變得漫長使得破解行為容易被察覺
→ : 以2FA的郵件通知給你有人在試了 你當稀鬆平常
→ : 大概就像指紋鎖告訴用戶「欸有人在試門鎖喔」無動於衷
→ : 你這樣真的叫從業人員嗎
我也很無奈,從早期收到信,就去改密碼,改到我不知道要改什麼密碼了→ : 從指紋辨識到紅外線動作感應器再到防盜箱的
→ : 他有解釋過實體防盜措施個別都是有弱點的
→ : 但複合目的是讓破解變得漫長使得破解行為容易被察覺
→ : 以2FA的郵件通知給你有人在試了 你當稀鬆平常
→ : 大概就像指紋鎖告訴用戶「欸有人在試門鎖喔」無動於衷
→ : 你這樣真的叫從業人員嗎
就懶得管了...
老實說我有很多網路帳號,真的也就只有Steam常常傳出被偷盜,為什麼其他家都沒事
我也是很納悶,所以我才會更覺得是Steam官方的資安真的是有漏洞。
推 : 所以我好奇 都沒人懷疑2FA的問題嗎?資安背景的人都被盜了78F 05/23 08:32
→ : ,還在懷疑受害者,到底在信仰什麼?
我也不是來引戰的,我只是想說,我平常很注重資安了,卻遇到這種問題→ : ,還在懷疑受害者,到底在信仰什麼?
希望大家也跟著重視一下而已,或許當下有情緒,比較怒,所以才會比較激烈
不過出意真的不是要來筆戰,謝謝Hakan大QQ
推 : 欸對欸,也有可能信是假的,確認一下是不是真的被改80F 05/23 08:39
有確認過喔,我自己對釣魚信很防範的。→ : 資訊?資安? 因為大部分的人都沒事吧,看那個要改到81F 05/23 09:08
→ : 韓國才能連線的就滿多人的
可能我比較倒霉吧,哈哈,有相關問題的就再多注意囉,沒遇到最好了。→ : 韓國才能連線的就滿多人的
大部分的人都沒事,或許也不代表真的沒事,對吧?
※ 編輯: gameqwert (59.126.46.39 臺灣), 05/23/2022 09:20:32
→ : 不是欸 2FA不是PTT專用或Steam專用的小圈圈技術 這是2022年83F 05/23 09:17
→ : 幾乎所有有點規模的網站都會使用的技術 如果Steam的2FA有問
→ : 問題 Steam每分每秒都有1500萬的線上使用者 我覺得不會只有
→ : PTT偶爾看到幾個人發文問被盜帳號
→ : 如果2FA可能有問題 我也很想知道可能是哪邊有問題
→ : 因為這可能是撼動網路安全的超級大事 真心不酸
→ : 幾乎所有有點規模的網站都會使用的技術 如果Steam的2FA有問
→ : 問題 Steam每分每秒都有1500萬的線上使用者 我覺得不會只有
→ : PTT偶爾看到幾個人發文問被盜帳號
→ : 如果2FA可能有問題 我也很想知道可能是哪邊有問題
→ : 因為這可能是撼動網路安全的超級大事 真心不酸
→ : s大你好,我也是每個平台都有用2FA,我自己也串過第三89F 05/23 09:23
→ : 如果Steam的資安真的有問題 我覺得會變成橘子那樣 十年沒用90F 05/23 09:23
→ : 方MFA服務,所以對這個功能真心是稍微了解的,今天被盜91F 05/23 09:23
→ : 的帳號也被盜92F 05/23 09:23
→ : 我不覺得我百分百沒問題,或許是我擺爛不改密碼或其他93F 05/23 09:23
→ : 但是我真心覺得,我沒有任何一個帳號,三天兩頭就收到
→ : 但是我真心覺得,我沒有任何一個帳號,三天兩頭就收到
→ : 我也沒說你錯 因為我更不瞭解 只是我個人相信會有更聰明的人95F 05/23 09:24
→ : 帳號又被嘗試登入的問題,所以我是真心認為Steam需要96F 05/23 09:24
→ : 更早發現Steam有問題97F 05/23 09:24
→ : 檢討他們資安的保護方式98F 05/23 09:24
→ : 嗯嗯,我懂大大想說什麼,我也是希望大家多多注意
→ : 或許真的移到手機認證,真的會安全許多~
→ : 謝謝S大理性討論^^
→ : 嗯嗯,我懂大大想說什麼,我也是希望大家多多注意
→ : 或許真的移到手機認證,真的會安全許多~
→ : 謝謝S大理性討論^^
推 : 信箱驗證防護性本來就比手機低了 你覺得有問題可以回報102F 05/23 09:26
→ : 給steam
→ : 給steam
→ : 已回報喔^^~帳號也找回來了,謝謝h大提醒104F 05/23 09:27
→ : 現在才意識到 其實我推文主要不是回原po...105F 05/23 09:29
→ : 哈哈XD106F 05/23 09:30
→ : 其實google: steam 2fa be stolen會發現,真的不是只有
→ : 我發生這個問題而已QQ
→ : 在這邊還是在囉唆,希望大家真的要多注意
→ : 其實google: steam 2fa be stolen會發現,真的不是只有
→ : 我發生這個問題而已QQ
→ : 在這邊還是在囉唆,希望大家真的要多注意
→ : 查了沒有最近的110F 05/23 09:33
→ : 信箱就偶爾會有阿 所以steam也一直要你用手機鎖111F 05/23 09:34
→ : 被盜是很慘 但你都說自己是資安背景了 也該知道2FA不是
→ : 萬能的
→ : 很在意當然是選比較難被破解的
對,我不是故意不選啦XD~只是當初設定沒有這個選項→ : 被盜是很慘 但你都說自己是資安背景了 也該知道2FA不是
→ : 萬能的
→ : 很在意當然是選比較難被破解的
又真的很少用,就沒有去設定了,還好我付款用的是Paypal,因為我知道2FA不是萬能XD
推 : 不懂Steam幹嘛不直接照FIDO2的規範做2FA就好,使用者可以115F 05/23 09:41
→ : 自己選擇要用OTP、實體金鑰、手機生物認證
只能說他們對他們自己的authentication flow很有信心吧orz→ : 自己選擇要用OTP、實體金鑰、手機生物認證
※ 編輯: gameqwert (59.126.46.39 臺灣), 05/23/2022 09:48:15
--
※ 看板: Games 文章推薦值: 0 目前人氣: 0 累積人氣: 186
回列表(←)
分享