


全球最大的PC游戏平台steam近日被曝存在一个极其严重的安全漏洞。白帽黑客Victor在参与漏洞赏金计划时发现了这一高危漏洞,其CVSS(通用漏洞评分系统)危险等级评分高达9.0分(满分10分),属于风险最高的漏洞级别之一。

该漏洞的危害性在于攻击手段极为隐蔽。攻击者会诱导用户点击伪装得与普通Steam商店或游戏页面完全一致的恶意链接。用户点击后,虽然页面看似正常跳转至Steam首页,但其个人数据实际上已在用户毫无察觉的情况下被窃取并传输至攻击者服务器。
更令人担忧的是,此漏洞具有类似蠕虫的自我传播特性。一旦某个用户账户被攻陷,恶意代码会自动通过该受害用户的Steam好友聊天列表,向其所有好友群发同样的有害链接。这种自动复制和扩散的能力,极大地提升了漏洞在平台内大规模快速蔓延的风险。
到目前为止,Steam的母公司Valve(估值约为450亿美元)尚未发布修复该漏洞的安全补丁。这意味着,此漏洞目前仍可被攻击者利用,数百万Steam用户的数据安全正持续遭受威胁。

发现者Victor此前曾多次挖掘并协助修复过Steam的关键安全问题。他在公开披露该漏洞时表示:“我在@Hacker0x01做漏洞赏金时,在一家估值450亿美元的公司发现了一个一键式严重(9.0+)蠕虫漏洞。”
在Valve官方提供补丁之前,此漏洞对用户而言仍是现实威胁。因此,安全专家强烈建议Steam用户在此期间务必保持高度警惕:切勿点击在聊天消息中收到的任何不明来源的链接,即使是来自好友发送的消息——因为好友的账户也可能已被入侵。同时,启用Steam令牌(Steam Guard)的双重身份验证功能,并定期检查账户的登录记录,也是当前降低风险的可行措施。

截至目前,Valve尚未对此事发表任何官方声明。外界正密切关注这家科技巨头如何应对这一重大安全威胁,焦点在于其响应速度和最终为全球数亿用户提供有效安全修复方案的时间表。



