Лазейка в системе позволила злоумышленникам сломать аккаунты некоторых игроков.
Недавно некоторых игроков в Escape from Tarkov отключило от сервера. Такое порой случается, поэтому сперва не вызвало никаких вопросов, но после переподключения они обнаружили, что весь прогресс был удалён.
Пользователи стали предполагать, что базы данных EFT были взломаны. Однако техно-энтузиаст Chilljones1125 объяснил, что всё гораздо проще — защита Battlestate Games оказалась очень ненадёжной:
Это невероятно глупо и огромная дыра в безопасности со стороны BSG. Данные не были скомпрометированы, ничего не было раскрыто. Это просто обход логина.
Оказалось, что система аутентификации через Steam (OpenID) не проверяет должным образом цифровую подпись и ответ, возвращаемый серверами Steam.
В результате злоумышленники смогли подменить URL-адрес ответа Steam на идентификатор учетной записи, к которой хотели получить доступ. Двухфакторная аутентификация не спасала.
В результате под ударом оказались игроки в Escape from Tarkov, чьи аккаунты были связаны со Steam.
