neděle 10. července 2016

Ukradený účet na Steamu

Od 1. do 5.7. jsem byl na dovolené v Krakově. Když jsem se vrátil, zjistil jsem, že se nemůžu připojit na svůj Steam účet - a taky na emailový učet na Seznamu. Byl to docela nepěkný pocit.
Uvědomil jsem si, že po dobu pobytu v Polsku mi mobil psal, že se nemůže přihlásit na Seznamový email - a že jsem tomu nevěnoval pozornost. Taky musím poctivě přiznat, že heslo na Seznamu jsem měl neměnné prakticky od založení - tj. snad 15 let - a že totéž username a heslo jsem během té doby použil na nejrůznějších dalších internetových zdrojích. Moje hloupost.
Pokud nejsem právě na dovolené, chodím na email na Sezam prakticky denně. Na Steam jsem chodil poslední dobou taky denně, protože jsem měl rozehraný Total War Warhammer. Teď jsem ale byl pryč pět dní - a potkalo se to právě tak, že hacker zaútočil první den mého odjezdu a měl dost času dokončit dílo zkázy.
Začal jsem to řešit postupně. Napřed jsem pomocí Secret question obnovil přístup k seznamovému mailu. Blahopřál jsem si, když jsem zadával příjmení matky za svobodna nebo co to po mě chtělo. Na emailový účet na G-mailu, který zůstal nezkompromitovaný, jsem si nechal poslat odkaz pro reset seznamovského emailu. Obnovil jsem přístup na Seznam, oddychl jsem si, přihlásil jsem se - a nestačil jsem se divit. V mailboxu ve složce Koš jsem našel bohatou komunikaci neznámého hackera se Steamem.

Hacker odkudsi z Makedonie (pokud si nezamaskoval IP adresu), který se zmocnil mého emailu, šikovně využil zjištěných informací a ukradl mi i přístup na Steam. Byly tam pěkně seřazené emailové zprávy ze Steamu, kterými Steam varoval před přístupem z cizího počítače a potvrzoval odstranění mého telefonního čísla.

Poslední vysledovatelná změna bylo přesměrování mého Steamového účtu na jiný email.
Steam sice veškerou podezřelou aktivitu svědomitě reportoval, ale na můje emailový účet, který byl v rukou útočníka. Celý proces trval 4 dny - během kterých jsem byl v zahraničí, a proto jsem to nezachytil.
Steam má politiku druhého supportního účtu, přes který se logují support tickety. Tenhle účet jsem předtím neměl, hacker si ho pod mou identitou založil. Naštěstí (?) hacker zapomněl přesměrovat supportní účet na Steamu na svůj email.  Ten stále ukazoval na můj email na Seznamu. Nebo možná nezapomněl, jen mu to nestálo za to? Nebo mi chtěl nechat šanci se z té bryndy vyhrabat? Kdo ví.
Takhle jsem si mohl zažádat o změnu hesla na Steam support účtu. Po získání nového hesla jsem tedy měl v ruce svůj ukradený mail a support účet na Steamu. Hlavní účet na Steamu stále zůstával v rukou útočníka.
Na Steam support účtu jsem si vyhledal ticket, pomocí kterého mi hacker ukradl Steam účet. Udělal to opravdu chytře.
Politika Steamu vyžaduje při citlivých transakcích, jako je zaslání nového hesla, dodatečnou autorizaci. Buď pomocí mobilu, nebo ověření poskytnutím informace o posledních nákupech. Tyhle informace si hacker přečetl z mého ukradeného e-mailového účtu, kde jsem měl všechny faktury od Steamu i potvrzení o platbách z Paypalu.
Pak si přes support nechal z mého Steam účtu vymazat moje telefonní číslo, na kterém si Steam pomocí SMS nechá autorizovat každou změnu - třeba změnu hesla nebo přihlášení z cizího počítače.
Pak už mohl snadno dokončit krádež.
Ve chvíli, kdy jsem měl v ruce přístup k emailu a support účtu na Steamu, byla náprava jednoduchá. Stačilo zadat ticket a nahlásit krádež. Vyřízení trvalo necelé dva dny. Musel jsem se také prokázat informacemi o předchozích nákupech - což nebyl problém, měl jsem je všechny v mailu a taky na Paylpalu (paypalový účet naštěstí napaden nebyl). Vyřízení mého ticketu trvalo necelé dva dny.
Když jsem znovu získal přístup na Steamový účet, zjistil jsem, že hacker změnil název accountu. Díky tomu vím, že si říká MarioEZ. Žádnou jinou změnu neprovedl, zřejmě si ani nezahrál - pokud tedy lidi ze Steam supportu nevymazali historii. Zakoupené hry naštěstí nelze převádět mezi accounty.
 Takže to nakonec skončilo happyendem. A jaké je z toho poučení?
  1. Nepodceňovat obnovu a komplexitu hesel i na freemailových serverech. 
  2. I v zahraničí monitorovat, co se děje s mými emailovými účty.
  3. Člověk by nevěřil, k čemu může šikovný útočník zneužít digitální stopu, kterou máme všich ve svých mailboxech.
  4. Steam Mobile Authenticator je šikovná věc. Pokud ho tedy člověk může použít - což u mě tak docela nejde, protože náš rodinný počítač přistupují i moje děti, když nejsem doma. A v situaci, jaká se mi stala, by mi nejspíš stejně nepomohl - jako mi nepomohl aktivovaný SteamGuard přes mobil.
  5. Celá legrace byla poměrně netriviální. Zabrala mi celé odpoledne. Stát se to někomu, kdo není tak úplně z oboru nebo dostatečně nevládne angličtinou, možná by si s tím těžko poradil.