Игрок обнаружил уязвимость в системе двухфакторной аутентификации EGS

Уникальный токен не меняется в течение 30 минут.

153153

Комментарий недоступен

169

Казалось бы да, но у меня недавно угнали акк стима через фейковую форму авторизации. И у меня за секунду отвязали двухфакторку через приложение, номер телефона, и сменили почту. Потом аккаунт вернул, но до сих пор ни сам не понял, не саппорт стима не объяснил как так.
Потому что когда сам хочешь поменять почту то просит подтверждение на старой, а в случае угона ничего такого не было. Почту не взламывали 100%.

9

Если не меняется в течение 30 минут и нет ограничения на количество траев (или если оно реализовано хреново), то можно ж перебором попробовать подобрать.

6

Ну теоретически можно придумать сценарий, когда злоумышленник уже откуда-то знает пароль и физически где-то рядом с жертвой ходит. Когда жертва введёт пароль от "двухфакторной" аутентификации у себя на устройстве, злоумышленник, просто физически увидев код, введёт его у себя тоже и всё. И доступа к почте у него как бы и нет получается.
Высосано из пальца, но всё же непонятно, почему эпики просто не сделали сразу нормально.

3

Не будьте так строги, 30 минут это конечно да... многовато, но назвать это уязвимостью конечно нельзя, а вот то что он не меняется с каждым новым письмом это уже действительно поломка, вы новость дочитывайте.

3

Звучит нелепо, ещё бы телефон отдал и удивлялся, что бабки с карты улетели куда то

1

Ну обосрать то в россии всегда рады, причина и мозг то зачем?)