全球最大PC游戏平台Steam近日被曝存在一项CVSS评分高达9.0的严重安全漏洞,攻击者只需诱使用户点击一个恶意链接,即可在后台无声无息地窃取账户全部个人数据,且该漏洞具备蠕虫式自我复制传播能力。该漏洞由白帽黑客Victor在HackerOne漏洞赏金计划中发现并披露,目前Valve尚未发布修复补丁,数百万用户面临潜在威胁。

攻击手法极为隐蔽:恶意链接的界面与正常Steam商店页面或游戏页面毫无差别,用户点击后页面会自动跳转至Steam首页,表面一切如常,但账户的登录凭证、个人资料等关键数据已在后台被完整传输给攻击者。更危险的是,一旦某个账户失陷,恶意代码会自动通过Steam聊天系统向该账户的所有好友发送同一条有害链接,形成“裂变式”扩散,大幅增加大规模爆发的风险。这种蠕虫特征使其传播不再依赖用户警觉性的高低——即便你从不点击可疑链接,只要好友列表中的某人中招,你也可能收到来自“可信联系人”的致命一击。

发现者Victor此前曾多次参与Steam的漏洞挖掘,并协助修复过多个关键安全问题。他在公开披露时写道:“我在HackerOne上做漏洞赏金时,发现了一家估值450亿美元公司中的一个一键式严重(9.0+)蠕虫漏洞。”然而截至目前,这家市值约450亿美元的平台方尚未就这一高危漏洞发布任何补丁或公开声明,漏洞仍处于可被利用状态。
在官方补丁推出前,安全专家强烈建议所有Steam用户采取以下防范措施:切勿点击聊天窗口中任何来历不明的链接,即使发送者显示为好友——因为好友账号可能已被控制;立即启用Steam手机令牌双重验证,并定期检查账户登录记录中的异常地点和设备,以降低损失风险。













