Steam 玩家个人主页存漏洞，可被网络钓鱼、窃取账户余额和物品

据外媒 softpedia 报道，早些时候 Steam 游戏平台玩家被警告：暂不要点击查看个人主页，该页面存在漏洞可被攻击者恶意利用，进行网络钓鱼、盗用 Steam 账户余额买东西套现。幸运的是，目前官方已经修补了这个漏洞。

起初，有粉丝在 reddit 论坛上提出该漏洞利用方式，这是一个基于 Steam 配置文件的注入漏洞。此漏洞影响所有浏览器的 Steam 桌面和移动版本。建议用户不要去点击他人 Steam 个人主页链接并在浏览器上禁用 JavaScript 。

当用户访问其他 Steam 用户的个人资料页面查看信息时，可被攻击者重定向至网络钓鱼登录页面，盗取账户敏感信息。此外，攻击者可进一步利用，无需用户确认即可使用 Steam 账户余额在社区内进行交易、套现资金。

Steam 粉丝在发帖的同时联系了官方客户，目前 Steam 已经修复漏洞。

from hackernews.cc.thanks for it.