Специалисты Ars Technica нашли серьезную уязвимость на сайте Steam. С ее помощью можно было просматривать игровые профили, невзирая на установленные хозяевами галочки «Только для друзей» и «Приватно». Кроме того, закрытые профили можно было просто выгуглить, даже не зная имени пользователя в системе.
Чтобы
добраться до секретов, нужно было лишь изучать исходные коды страниц
чужих профилей и добавлять в веб-адресах дополнительные поля. Сайт Steam Community
послушно открывал данные закрытых профилей: список купленных игр,
проведенное в них время, достижения, любимые персонажи и другие
подробности.
Специалисты по безопасности, обнаружившие «дыру», тут же связались с Valve.
Компания прикрыла уязвимость через три часа, но сделала это совершенно
молча — не отвечая на письмо и никак не объявляя о случившемся игрокам.
Ars Technica, сделавшая за сотрудников Valve их работу, не дождалась даже простого «спасибо».
