顯示廣告
隱藏 ✕
※ 本文轉寄自 ptt.cc 更新時間: 2022-05-23 10:10:03
看板 Steam
作者 gameqwert (wei)
標題 [問題] 打開2FA還被盜帳號
時間 Sun May 22 23:30:07 2022


請問板上有人跟我一樣

打開2FA還是被盜帳號的嗎?

我的信箱也有2FA,需要使用手機才能解鎖

結果剛剛Steam發信說我帳戶被改

Steam的資安是狗屎懶蛋做的嗎

在這邊提醒各位小心一點啊

---------------------------UPDATE------------------------------

更新一下,我上次登入Steam是大前天,使用macOS版本steam desktop version遊玩
後續沒有任何登入steam跟瀏覽steam任何網站的紀錄,
今天20:07分被人暴力破解,收到驗證碼,我沒理會(可能我太習慣被暴力破解)
然後22:53分被通知郵件遭到更改,難道他驗證碼timeout可以長達2小時嗎...


我2FA綁定Email,Email綁定手機驗證,所以我覺得不可能是因為Email被盜才導致

此事件發生,發這篇文章是希望各位最好小心一點,也不要像我一樣智障,覺得有
2FA就可以不用管密碼被暴力破解的事。
--
  ▃_      ▌     ◎      ▌  ▃_     ◥◤   ◣ ◢██◣    
  ▎▁ˍ▅  ▍ ▃▄▃   ▎▁ˍ▅ ◢███◣ █▏▉█◤◥█◣  
  ▎◢◤ ▏◥ ▎◢◤ █◤  ◥█ ▊│▍▊    ◢█◤  
  ◤  ▎  ▌   ◤   █  ●  █ ▋    ◤  ◤    
  ▌     ▏▁▉   ▍    ▏▁▌     █◣  ◢█  ▊▍|▌  ◢█◤   ◢
  ▋      ▋  ▎     ▋     ◥███◤ ▏◥▍ Niarrats    

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.126.46.39 (臺灣)
※ 文章代碼(AID): #1YYbS1rS (Steam)
※ 文章網址: https://www.ptt.cc/bbs/Steam/M.1653233409.A.D5C.html
chualex66: 你是不是有登到假網站1F 05/22 23:31
chualex66: 這種2FA的技術都不是無敵的,如果你有勾「記住此裝置
chualex66: 」就更有機會被盜。
我一直都是透過Steam app(macOS)登入我的帳號,上次登入官網應該是月初買peglin
的時候的事情了,所以還真的不知道是什麼時候有機會被盜的
※ 編輯: gameqwert (59.126.46.39 臺灣), 05/22/2022 23:35:55
chualex66: 平常養成好的資安習慣,用密碼管理器並定期更換密碼、4F 05/22 23:35
chualex66: 2FA設在手機而不是email、不要下載來路不明的程式(尤
chualex66: 其是非法的)、點開網站前注意網址是否正確、不要任意
chualex66: 關閉防毒軟體。若你有確實做好上面每一項原則再來檢討
chualex66: steam的資安作為吧。
gameqwert: C大說的我捫心自問都有做到,畢竟我自己也是資訊從業人9F 05/22 23:36
gameqwert: 員,所以平常都會注意,永遠都是google進入Steam,不透
gameqwert: 過第三方連結,平常也都是用官方Desktop version
chualex66: 至於為什麼開了2FA還是會被盜,你可以在YT搜尋「Redli12F 05/22 23:37
chualex66: ne stealer」,簡單來說就是你瀏覽器裡紀錄你已經登入
chualex66: 身份的Token被偷了,所以駭客可以繞過2FA登入你的帳號
gameqwert: 所以我覺得我已經做得算是密不透風了,還是被盜15F 05/22 23:38
abc21086999: 原來還有繞過2FA的方法哦16F 05/22 23:43
chualex66: 那我也是沒有辦法,這個盜帳號的技術連Google和微軟這17F 05/22 23:44
chualex66: 種大廠都擋不太住,更別說Valve了,我建議直接重設電
chualex66: 腦,畢竟這樣看起來中毒機率比較大,神仙也防不了你被
chualex66: 駭
abc21086999: 但是改密碼之前不是要去信箱確認?所以原Po的信箱的21F 05/22 23:45
abc21086999: 登入token也被偷?
chualex66: 回16樓:有,而且多的很。所以平時資安的觀念很重要。23F 05/22 23:47
abc21086999: 看來以後要使用實體金鑰ㄌ24F 05/22 23:48
gameqwert: 感覺要同時偷兩個地方的token,難度很高25F 05/22 23:51
gameqwert: 而且我信箱還是用手機認證,我剛剛去看了活動紀錄也沒
gameqwert: 異常,我真心懷疑是Steam可能有leak
※ 編輯: gameqwert (59.126.46.39 臺灣), 05/22/2022 23:57:50
chualex66: Steam應該是不支援實體金鑰的,建議還是把steam guard28F 05/23 00:02
chualex66: 設在手機App啦,比設在email安全一些。
shadowblade: 原來2FA是綁EMail? 綁手機才是真的安全吧30F 05/23 00:02
shadowblade: 綁EMail被盜的已經聽過不少案例了,綁手機的幾乎沒有
changtzhcun: 有手機驗證之後用到現在沒被登過 帳號13年 給你參考32F 05/23 00:40
hduek153: steam有leak就是大規模了 應該不會只有你33F 05/23 00:42
temp327: 沒有 只有你34F 05/23 00:46
YeaPa: 有兩階段驗證還被盜那一定是你登入 cookies 洩漏了35F 05/23 01:08
YeaPa: 八成登到哪個偽裝的網站然後洩漏了
YeaPa: 總不可能連你信箱都被盜,八成是你自己的問題
嗯...老實說我想不到,或許吧,但是我只是想透過這篇文章,
提醒那或許是百分之一可能性不是我個人行為造成的問題而已。
MorikonHase: 我記得cookies會記token 可以直接登38F 05/23 01:11
我不曉得steam是走cookie還是web storage, 但是cookies應該也沒那麼容易拿到
qq204: 我N年沒開過防毒也沒被盜...39F 05/23 01:12
大大管理做得真好
eva05s: 提到Steam的二階段驗證就是手機,信箱當作沒有就好40F 05/23 01:18
剛剛Steam馬上把帳號還給我,我就去下載mobile app了
RaiGend0519: 你484上惹些不該上der色色網站41F 05/23 01:22
我只看Pornhub and Onlyfans
cattgirl: 手機驗證 密碼幾秒就更新 我自己都很難登入42F 05/23 01:34
LonyIce: 我還以為你是說手機驗證被盜,結果是信箱…信箱超不安全43F 05/23 01:35
LonyIce: 而且被暴力破解密碼了還不換一下嗎…
老實說我不是死忠蒸氣玩家,通常玩家機居多,我當初設定2FA時還沒有APP可以用
所以經由這次經驗,剛剛趕快去下載了,哈
aaron68032: f2a設mail已經不知多少案例出事了還不設在手機...45F 05/23 01:38
horstyle0411: 文章代碼#1XTbGMSM 外洩的話...這位大大也太強惹吧46F 05/23 01:47
horstyle0411: 阿...他是用手機驗證
[閒聊] 中國的盜帳號集團真的很扯 - 看板 Steam - 批踢踢實業坊
  如題 我的steam帳號已經持續被攻擊3年了 我有手機驗證所以都沒出事
OdaNobuna: 到底用信箱登入還是用手機登入阿48F 05/23 01:51
信箱驗證Steam, 手機驗證信箱, 只是想表達信箱被黑的機率小於Steam
※ 編輯: gameqwert (59.126.46.39 臺灣), 05/23/2022 01:56:23
dalyadam: 他是用信箱驗證49F 05/23 01:52
dalyadam: 然後他的信箱有手機認證
dalyadam: 這會有問題就是你電腦有木馬的話
dalyadam: 信箱的cookies 會被偷,可以繞過你信箱驗證
dalyadam: 這樣的話steam的信箱驗證就掰了
dalyadam: 我的猜測啦
gameqwert: 確實有可能,是我的電腦有木馬55F 05/23 01:57
zegas: 還以為是用App驗證被盜,如果是信箱的話就別特別說自己多56F 05/23 02:31
zegas: 注重資安了
我信箱特別保護他了,又不是信箱被盜,我不懂這樣有什麼不注重資安的XD
AddictoBear: 真要安全就要連email,都要手機認證登入58F 05/23 02:43
大大,我有說喔,我信箱是手機登入認證喔
Mirana: 我開手機驗證,天天被登持續兩三年了。目前還沒被破解59F 05/23 03:10
LonyIce: 樓上你電腦基本上也是有木馬的狀態,不掃一下嗎…60F 05/23 04:55
PorscheAG: 2FA有人在綁email喔-.-61F 05/23 05:33
早期還是有喔,我那時候記得還沒有提供手機的2FA
suleyman: 案例很多了 說steam的2FA就是指綁手機 email的沒啥用62F 05/23 06:31
suleyman: 綁手機的 除了自己被釣魚親自把驗證碼輸進去 目前還沒有
suleyman: 傳出過被盜的案例
ltytw: 你是2FA掛在信箱那邊  steam guard沒開到手機認證的等級?65F 05/23 07:31
ltytw: 我是聽說有人在經營youtube頻道  他的google帳號有開2FA
ltytw: 但是還是被駭客以其他裝置冒充為信任裝置被盜走帳號  不知
ltytw: 道你是不是這種的
對,我根本不知道Steam Mobile App XD,我昨天有下載台灣知名防毒軟體
是沒掃到任何木馬,防火牆也沒關過,還是用macOS,實在不知道我這邊
中木馬機率還有多高。
PS: 我壞壞也都開無痕喔
losage: 你確定那封信是真的?69F 05/23 07:43
大大問的我當下也有思考,所以我是直接上Google搜尋Steam,嘗試登入,發現是真的
登入不了,所以確認為真。
ltytw: 這樣你應該說你那家信箱的資安是不是狗屎懶蛋做的嗎70F 05/23 07:46
我是覺得如果是Email出現問題,波及層面應該不會只有Steam啦XD
r85270607: 我不是資安從業啦  不過我有認識從事實體防盜措施的71F 05/23 07:56
r85270607: 從指紋辨識到紅外線動作感應器再到防盜箱的
r85270607: 他有解釋過實體防盜措施個別都是有弱點的
r85270607: 但複合目的是讓破解變得漫長使得破解行為容易被察覺
r85270607: 以2FA的郵件通知給你有人在試了 你當稀鬆平常
r85270607: 大概就像指紋鎖告訴用戶「欸有人在試門鎖喔」無動於衷
r85270607: 你這樣真的叫從業人員嗎
我也很無奈,從早期收到信,就去改密碼,改到我不知道要改什麼密碼了
就懶得管了...
老實說我有很多網路帳號,真的也就只有Steam常常傳出被偷盜,為什麼其他家都沒事
我也是很納悶,所以我才會更覺得是Steam官方的資安真的是有漏洞。
Hakan: 所以我好奇 都沒人懷疑2FA的問題嗎?資安背景的人都被盜了78F 05/23 08:32
Hakan: ,還在懷疑受害者,到底在信仰什麼?
我也不是來引戰的,我只是想說,我平常很注重資安了,卻遇到這種問題
希望大家也跟著重視一下而已,或許當下有情緒,比較怒,所以才會比較激烈
不過出意真的不是要來筆戰,謝謝Hakan大QQ
Innofance: 欸對欸,也有可能信是假的,確認一下是不是真的被改80F 05/23 08:39
有確認過喔,我自己對釣魚信很防範的。
gn02132810: 資訊?資安? 因為大部分的人都沒事吧,看那個要改到81F 05/23 09:08
gn02132810: 韓國才能連線的就滿多人的
可能我比較倒霉吧,哈哈,有相關問題的就再多注意囉,沒遇到最好了。
大部分的人都沒事,或許也不代表真的沒事,對吧?
※ 編輯: gameqwert (59.126.46.39 臺灣), 05/23/2022 09:20:32
spfy: 不是欸 2FA不是PTT專用或Steam專用的小圈圈技術 這是2022年83F 05/23 09:17
spfy: 幾乎所有有點規模的網站都會使用的技術 如果Steam的2FA有問
spfy: 問題 Steam每分每秒都有1500萬的線上使用者 我覺得不會只有
spfy: PTT偶爾看到幾個人發文問被盜帳號
spfy: 如果2FA可能有問題 我也很想知道可能是哪邊有問題
spfy: 因為這可能是撼動網路安全的超級大事 真心不酸
gameqwert: s大你好,我也是每個平台都有用2FA,我自己也串過第三89F 05/23 09:23
spfy: 如果Steam的資安真的有問題 我覺得會變成橘子那樣 十年沒用90F 05/23 09:23
gameqwert: 方MFA服務,所以對這個功能真心是稍微了解的,今天被盜91F 05/23 09:23
spfy: 的帳號也被盜92F 05/23 09:23
gameqwert: 我不覺得我百分百沒問題,或許是我擺爛不改密碼或其他93F 05/23 09:23
gameqwert: 但是我真心覺得,我沒有任何一個帳號,三天兩頭就收到
spfy: 我也沒說你錯 因為我更不瞭解 只是我個人相信會有更聰明的人95F 05/23 09:24
gameqwert: 帳號又被嘗試登入的問題,所以我是真心認為Steam需要96F 05/23 09:24
spfy: 更早發現Steam有問題97F 05/23 09:24
gameqwert: 檢討他們資安的保護方式98F 05/23 09:24
gameqwert: 嗯嗯,我懂大大想說什麼,我也是希望大家多多注意
gameqwert: 或許真的移到手機認證,真的會安全許多~
gameqwert: 謝謝S大理性討論^^
hduek153: 信箱驗證防護性本來就比手機低了 你覺得有問題可以回報102F 05/23 09:26
hduek153: 給steam
gameqwert: 已回報喔^^~帳號也找回來了,謝謝h大提醒104F 05/23 09:27
spfy: 現在才意識到 其實我推文主要不是回原po...105F 05/23 09:29
gameqwert: 哈哈XD106F 05/23 09:30
gameqwert: 其實google: steam 2fa be stolen會發現,真的不是只有
gameqwert: 我發生這個問題而已QQ
gameqwert: 在這邊還是在囉唆,希望大家真的要多注意
thepowers: 查了沒有最近的110F 05/23 09:33
hduek153: 信箱就偶爾會有阿 所以steam也一直要你用手機鎖111F 05/23 09:34
hduek153: 被盜是很慘 但你都說自己是資安背景了 也該知道2FA不是
hduek153: 萬能的
hduek153: 很在意當然是選比較難被破解的
對,我不是故意不選啦XD~只是當初設定沒有這個選項
又真的很少用,就沒有去設定了,還好我付款用的是Paypal,因為我知道2FA不是萬能XD
Makeinu: 不懂Steam幹嘛不直接照FIDO2的規範做2FA就好,使用者可以115F 05/23 09:41
Makeinu: 自己選擇要用OTP、實體金鑰、手機生物認證
只能說他們對他們自己的authentication flow很有信心吧orz
※ 編輯: gameqwert (59.126.46.39 臺灣), 05/23/2022 09:48:15
--
※ 看板: Games 文章推薦值: 0 目前人氣: 0 累積人氣: 208 
作者 gameqwert 的最新發文:
  • +24 [問題] 打開2FA還被盜帳號 - Steam 板
    作者: 59.126.46.39 (台灣) 2022-05-22 23:30:07
    請問板上有人跟我一樣 打開2FA還是被盜帳號的嗎? 我的信箱也有2FA,需要使用手機才能解鎖 結果剛剛Steam發信說我帳戶被改 Steam的資安是狗屎懶蛋做的嗎 在這邊提醒各位小心一點啊 UPDAT …
    116F 25推 1噓
  • +3 [新聞] 騎士被按喇叭,攔車遭法辦 - car 板
    作者: 118.170.136.19 (台灣) 2011-11-30 15:52:50
    看完真的覺得很白癡... 自己騎在快車道還蛇行 還敢下來理論= =... 不過看影片18秒那邊 他是有輕輕a他一下?
    20F 3推
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇