Игрок обнаружил уязвимость в системе двухфакторной аутентификации EGS

Уникальный токен не меняется в течение 30 минут.

153153

Комментарий недоступен

169
Ответить

Казалось бы да, но у меня недавно угнали акк стима через фейковую форму авторизации. И у меня за секунду отвязали двухфакторку через приложение, номер телефона, и сменили почту. Потом аккаунт вернул, но до сих пор ни сам не понял, не саппорт стима не объяснил как так.
Потому что когда сам хочешь поменять почту то просит подтверждение на старой, а в случае угона ничего такого не было. Почту не взламывали 100%.

9
Ответить

Если не меняется в течение 30 минут и нет ограничения на количество траев (или если оно реализовано хреново), то можно ж перебором попробовать подобрать.

6
Ответить

Ну теоретически можно придумать сценарий, когда злоумышленник уже откуда-то знает пароль и физически где-то рядом с жертвой ходит. Когда жертва введёт пароль от "двухфакторной" аутентификации у себя на устройстве, злоумышленник, просто физически увидев код, введёт его у себя тоже и всё. И доступа к почте у него как бы и нет получается.
Высосано из пальца, но всё же непонятно, почему эпики просто не сделали сразу нормально.

3
Ответить

Не будьте так строги, 30 минут это конечно да... многовато, но назвать это уязвимостью конечно нельзя, а вот то что он не меняется с каждым новым письмом это уже действительно поломка, вы новость дочитывайте.

3
Ответить

Звучит нелепо, ещё бы телефон отдал и удивлялся, что бабки с карты улетели куда то

1
Ответить

Ну обосрать то в россии всегда рады, причина и мозг то зачем?)

Ответить