Ivan Šimić
08. 04. 2019.
Što učiniti kada vam netko hakira Steam i odluči na njemu varati u jednoj od najpoznatijih igara današnjice (umjesto da vam kupi nešto s liste želja)?
Proteklog vikenda dogodila mi se jedna od najgorih situacija koje mogu zadesiti bilo koga tko provodi dobar dio vremena igrajući igre. Moj Steam račun je hakiran, a time mi je i oteta kolekcija od oko 200 igara koje sam skupljao kupovanjem na svakakvim akcijama, popustima i gomilanjem bundle ponuda.
Igre u vrijednosti od sigurno nekoliko stotina dolara preko noći su postale vlasništvo neke potpuno nepoznate osobe, s drugog kraja svijeta, koja ne zna to cijeniti. Jer da zna, nekoliko sati nakon hakiranja računa, vjerojatno ne bi dobio obavijest da (vjerojatno) više nikad neću moći igrati Playerunknown’s Battlegrounds na svom korisničkom računu jer sam pokupio ban.
I to nije sve. Od hakiranja Steama (ili Gmaila?) potaknula se solidna lavina pokušaja hakiranja i mojih drugih korisničkih računa.
No, krenimo ispočetka.
Kada sam se prošlog vikenda pokušao prijaviti u svoj Steam korisnički račun na računalu, dočekan sam jasnom i kratkom porukom kako mi korisničko ime i/ili šifra nisu točni. Nakon što sam napisao vjerojatno 10 verzija svoje Steam šifre već sam imao ideju što se događa, ali svejedno sam pokušao vratiti svoj račun slanjem poruke na mobitel. Međutim! Broj koji je bio povezan s mojim korisničkim računom nije bio broj koji je pisao na ekranu.
Dosta čudno, pomislio sam, no već se polako priviknuo da mi je to sudbina te odlučio isprobati i vraćanje šifre putem spojene email adrese mog Steam računa. Jasno, ovdje se također nije radilo o mom emailu, već nekoj adresi koja mi je potpuno nepoznata. Tada je bilo već prilično očito: moj Steam više nije moj.
Ali kako?
Do sada nisam niti jedan put bio hakiran na ijednoj platformi, i čak sam dosta vremena živio prilično siguran da do mojih korisničkih računa nikome ne bi bilo zanimljivo doći jer sam nebitan, ali čini se da je to jesam li bitan ili ne – totalno nebitno ikome, a kamoli mom dotičnom hakeru koji je imao očito samo jedan cilj, no o tome dalje u tekstu.
Kako se odvilo preuzimanje mog računa s igarama? Steam korisnički račun bio je spojen na moj privatni email na koji mi, svakoga puta kada se pokušam prijaviti s nekog drugog uređaja, dođe šifra koju moram upisati u Steam klijent. Ovog puta, doduše, nije stigla nikakva šifra već je korisnički račun samo “otkačen” s mog maila i mobitela te prijavljen na neke potpuno druge adrese.
Najveća istina ovdje je da sam užasno podcijenio vještine ljudi koji se bave hakiranjem raznih mailova i korisničkih računa, ali i da nisam pazio.
To je zapravo moja najveća greška: nisam postavio pravu autentikaciju s dva faktora putem mobitela i računala koja bi eliminirala upravo ovu situaciju. U svoju obranu nemam za reći puno, osim toga da trenutno takvih autentikacija imam podosta i jednostavno sam zaboravio na Steam koji, ironično, najviše financijski vrijedi.
PUBG profesionalac u samo 20 sati
Ipak, ono što je uslijedilo od čitavog nemilog događaja bila je prava tragikomedija. Naime, kada sam shvatio što se dogodilo nastojao sam što prije kontaktirati Valve kako bi riješio problem, ali ne prije nego što mi je prijatelj javio kako sam ja upravo u tom trenutku bio online na Steamu – i igrao PUBG. I to ne malo, već otprilike 20 sati.
Ono što se dogodilo je dosta jednostavno; netko je hakirao korisnički račun, ušao u PUBG i zabavljao se dvadesetak sati dok sam ja nastojao uz pomoć Valveove korisničke podrške vratiti ono što je moje. Da budem iskren, PUBG sam dobio kao poklon, ali svejedno!
Nađete li se u sličnoj situaciji, kako biste vratili svoj Steam račun morate imati podatke o njemu, naravno. To znači znati svoj broj telefona i email koji su bili spojeni na račun, kao i PayPal, ako ste s njime kupovali igre. Dobro je imati i šifru transakcija PayPalom i sve druge potencijalno bitne informacije. Ja sam tako slao sve gore spomenute dokaze, ali i screenshote nekih prošlih kupnji, opise moje profilne slike i slično.
Dobar dio vremena također sam posvetio objašnjavanju kako ja zapravo pojma nemam igrati PUBG, a on se na mom korisničkom računu udara više od dana – što je sumnjivo samo po sebi. Na kraju sam dodao i screenshot koji mi je prijatelj ustupio kako bi pokazao da sam online.
U principu, svi oni mailovi koje dobijete od Steama kada nešto kupite mogu biti jako korisni ako dođe do ovakve situacije, stoga zaista predlažem da ništa ne brišete i imate na oku promjene u vašem sandučiću. Moja situacija se rasplela relativno brzo, a Valve mi je pomogao i vratio račun kroz samo par sati od moje prve poruke. Ovim putem se stoga zahvaljujem Nokiju koji je bio moj spasitelj u tim teškim trenucima.
Nakon reseta računa, dobio sam pak još jedan zanimljiv mail od Valvea, koji je pokazao kako se osoba koja mi je ukrala račun nadala da će ga i vratiti putem istog onog broja telefona s početka priče. Taj mail je bio na kineskom jeziku.
Nikad više Ivan u PUBG neće.
Ipak, teški trenuci su tek preda mnom. Naime, sjećate se PUBG-a? Ako pogledate achievemente mog računa vidjet ćete neke dosta zanimljive PUBG podatke. Tako u 23 sata i oko 70 mečeva imam više od 10 pobjeda, 217 killova i razne druge uspjehe koji pokazuju kako je osoba zapravo putem mog računa bila ili neki vrhunski profesionalni igrač ili varala u igri. Nekako naginjem ovom drugom.
Ako niste upoznati s fenomenom varanja u PUBG-u, u Kini, zemlji mog novopečenog suputnika na Steamu, prodaja alata za varanje postala je svojevrsni hit te je PUBG, na žalost, igra s ogromnim brojem takozvanih cheatera. Čak 99% ljudi koji varaju su iz Kine, a kako developeri PUBG-a nastoje njima stati na kraj, cheateri se okreću sve kreativnijim metodama, uključujući krađi dugogodišnjih računa. Vrlo vjerojatno zato što će moj Steam račun koji postoji godinama i koristi se često biti manje sumnjiv? Pojma nemam.
Bilo kako bilo, koliko god nisam fan PUBG-a iznenadila me Steam poruka da ga više nikada neću igrati jer sam, nakon što sam vratio svoj račun, doživotno izgnan iz igre. Nema tu previše diskusije, kažu, a ako želite znati kako izgleda kada dobijete ban koji nije od Valvea, evo:
Više nije u pitanju Valve, moj kineski prijatelj zamjerio se direktno developeru igre. Sada mi ostaje samo žaliti se glavnom developeru, što vrlo vjerojatno neće uroditi plodom. Karijera u PUBG Corporation tako je postala, na žalost, nešto što mogu prekrižiti. To ne znači da neću probati, a ako se nešto pomakne s mjesta bit će i dodano u ovaj tekst.
Zanimljivo je i kako je moj Steam profil zauvijek označen crvenim tekstom koji pokazuje kako sam varao svima koji ga posjete, a on će se maknuti jedino ako mi se PUBG ekipa smiluje. S druge strane, čak mi se malo i sviđa.
E, moj Ivane…
Ono što se dogodilo meni jedna je tek od niza opcija nelegalnog preuzimanja računa – barem tako mislim. Moj glavni privatni Gmail korisnički račun bio je žrtva dva curenja podataka do sada, ali nakon svakog sam mijenjao šifru i sve što s time ide. Osim toga, bio sam siguran da sam safe jer na moj mobitel stiže email i notifikacija o svakom pokušaju ulaska u Gmail račun, a ništa od toga nisam dobio. Pretpostavljam da je osoba koja je ušla u moj Gmail mogla tamo naći i moje Steam ime te si je putem koraka za vraćanje šifre mogla poslati šifru natrag u moj Gmail i tako ući u Steam.
Ono što me tu čudi (osim toga da nisam dobio nijedan mail) jest činjenica da je šifra na Gmailu ostala ista. Ja bih to prvo promijenio kada bih već imao pristup Gmailu jer je to doslovno jedini način na koji sam uspio vratiti Steam. Druga mogućnost jest da je netko jednostavno ušao u Steam račun na neki drugi način. Jasno mi je, moja vlastita glupost bila je ogroman dio ove priče, a za sve što mi se dogodilo nije kriv nitko osim mene samoga. Ipak, to ne znači da nije zanimljivo.
Lesson learned
Najbolji savjet koji sam naučio iz ove priče je taj da UVIJEK koristite autentifikatore na mobitelu jer ipak mogu spasiti mnogo toga. Iako su možda malo naporni za korištenje, pogotovo ako ih imate mnogo. Druge savjete i nemam, zapravo sve ovisi od situacije. U svijetu u kojem su curenja podataka i email adresa jako česta, zaista se treba znati dobro zaštititi, a autentifikacija putem mobitela je i dalje najbolji način za to. Osobno mi je ogroman misterij kako je netko uspio zaobići ovaj sustav u mom slučaju, ali vjerujem da se to ne bi dogodilo da sam više pazio na svoje šifre. Jbg.
Ipak, korištenje nekog password managera uvijek je odlična stvar. Općenito, svaki dodatan korak koji se mora napraviti kako bi se ušlo u vaš račun povećava šansu da oni s lošim namjerama ne uspiju u svome naumu. Meni se trebalo dogoditi hakiranje Steama da bi počeo koristiti jedan od takvih programa, a vi možete biti malo pametniji od mene i koristiti ih odmah. Također, svakako provjerite stanje svojih email adresa na Have I Been Pwned stranici koja će vam iskreno reći imate li razloga za brigu.
Ja na sreću nisam zauvijek ostao bez svog Steama, ali ova situacija mi je pokazala kako se ovakve stvari mogu dogoditi baš svakome. Ako imate PUBG i nemate autentifikaciju putem mobitela – promijenite to, a ja odoh igrati neku simulaciju jer tamo nitko ne zna da nemam pojma.
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.
Pravila ponašanja
Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:
Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.
Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.
Komentari
Sven Spajgl
09. 04. 2019. u 8:42 pm
Ja sam koristio za mobitel autentifikatore pa su svjedeno me hackirali nist taj autentifikator ne znaci.
Ivan Šimić
10. 04. 2019. u 7:28 am
Da, mislim znači u dobar dio slučajeva, ali ono – svemu se može doskočiti. Ipak, siguran sam da bi bio sigurniji da sam ga imao na Steamu. 😀
Domagoj
09. 04. 2019. u 10:29 pm
Ovo je dobar primjer otuđenja dijela identiteta. Ivan je mogao ostati bez kompletnog digitalnog identitea iako je jedan od po ovome što piše obrazovanijih korisnika internet servisa.
Ivan Šimić
10. 04. 2019. u 7:29 am
Tako je, slažem se. Ipak, srećom ovdje se nije radilo o nečem puno većem (barem koliko za sad znam) pa sam prošao samo s evo banom u igri, ali čim se malo više ne pazi lako to netko može iskoristiti.
Miljenko
10. 04. 2019. u 7:54 am
I tako cheat developeri hackiraju account da imaju platformu za testiranje novih game cheatova, koje moraju testirati prije prodaje. Koliko je vremena proslo izmedju otudjenja accounta i game bana od Battle eye servisa PUBGa? Zanima me jer VAC radi sa delay opcijom da oteža cheat developerima testiranja.
Ivan Šimić
10. 04. 2019. u 12:22 pm
Moguće da je i to, svakako sam idiot jer nisam bolje pazio ali da. Mislim da je prošlo nekih dan – dan i pol. Pisao sam ticket u petak oko 8 navečer, acc mi je vraćen tak negdje za 6h, a ban mi je došao negdje tijekom nedjelje. Tako da vjerujem da je netko cheatao dobar dio petka i stigao ban cca 24h kasnije?
Covjek
10. 04. 2019. u 10:36 am
Kolko ja znam moj su account hakirali….maknuli guard,maknuli moj broj i moj mail. Uvijek kada se toliko stvari promjeni odjednom steam ti na mail salje opciju lock account i nitko nemoze prisrupiti accountu niti igrati dok se nejavis supportu i das zadnje podatke kojih se sjecas…ili si pokusavao prodati account ili si ulazio na cudne stranice i davao podatke.
Ivan Šimić
10. 04. 2019. u 12:19 pm
E pa vidiš, u potpunosti si u pravu. Steam mi svaki put šalje notif za bilo kakve stvari, ali ovaj puta ga nisam dobio. Kažem i gore, lako je moguće da je taj gmail na neki način nastradao (što je također ful moja greška) ili nešto skroz deseto. Steam acc vjeruj da ne bih prodavao nikad, a pošto je gmail star već dosta godina, tko zna gdje je sve korišten. Ne kažem da je kriv netko drugi, samo je priča zanimljiva kao primjer drugima da budu malo pametniji 🙂
LV
12. 04. 2019. u 9:46 am
Najveća paranoja mi je krađa digitalnog identiteta.
Za gmail sam uzeo sve vrste dodatnih autorizacija kao i za steam. Žao mi je što si morao taj “horor” proć. Meni su jednom hakirali origin account koji sam koristio prije x godina kada sam besplatno dobio BF3 ili 4. Barem šteta nije bila velika. 😀
Ivan Šimić
13. 04. 2019. u 5:15 pm
A čuj, mora se nešto takvo desit da budeš pametniji ubuduće! 😀 Meni je Origin ajde još živ, al ono više nikome ništa ne vjerujem. 😀