Crack Steam / Взломанный Steam
Разработка взломанной версии клиента Steam ведется на forum.csmania, за что им огромное спасибо. Версия клиента постоянно обновляется и дополняется новыми играми, в которые вы сможете бесплатно поиграть. На этом же форуме вы найдёте более подробную информацию и сможете получить ответы на возникшие вопросы. У нас на сайте вы сможете удобно скачать актуальную версию и насладится играми.
Процесс установки Crack Steam:
Запускаем скаченные файла и выбираем язык установки. Если вы не являетесь опытным пользователям Steam, то оставляем все настройки по умолчанию. Важно! Не устанавливайте программу в каталоги где ограничены права, также если вы не опытный пользователь, не устанавливайте в папку обычного Steam.
Первый запуск и игры:
Дожидаемся завершения скачивания платформы клиента Steam, если возникает ошибка, смотрим не блокирует ли файрвол программу. Создаем новую учетную запись. Дожидаемся скачивания файлов среды Steam (
300 Мб). Скачиваем нужные игры.
Особенности программы:
Автоматическая установка Crack Steam.
Запуск скаченных приложений и игра.
Поиск взломанных сервером для игра.
Возможность подключатся к официальным серверам.
Возможность играть в платные игры бесплатно.
Недостатки взломанной версии Steam и их решение:
Не все игра возможно скачать (но вы можете отдельно скачать игровые файлы).
Нет доступа с сообществу Steam (можно использовать клиент X-Fire).
Невозможно подключится к официальным серверам платных игр (используйте взломанные сервера).
В некоторые играх не сохраняются достижения.
Возможны ложное срабатывания антивируса (внести в исключения).
Что бы не засорять тему лишней информацией, если у вас возникли другие ошибки, то в комплекте с Crack Steam вы найдете текстовые файлы с инструкцией по устранению самых распространённых ошибок. Также там содержится более подробная инструкция по установке, запуску и использованию.
Внимание! Данный проект был закрыт, но можете попробовать альтернативу:
Скачать Cracked Steam: Nostalgia! (инструкция в комплекте)
Скачать Crack Steam / Взломанный Steam
Как я взломал Steam. Дважды
Привет, Хабр! Сегодня я расcкажу за что же Valve заплатила наибольшие баунти за историю их программы по вознаграждению за уязвимости. Добро пожаловать под кат!
1. SQL Injection
Сервис partner.steampowered.com предназначен для получения финансовой информации партнеров Steam. На странице отчётов о продажах рисуется график с кнопками, которые меняют период отображения статистики. Вот они в зелёненьком прямоугольнике:
Запрос загрузки статистики выглядит вот так:
где «UA» — это код страны.
Ну что ж, пришло время кавычек!
Давайте пробуем «UA’»:
Статистика НЕ вернулась, чего и следовало ожидать.
Статистика снова вернулась и это похоже на инъекцию!
Допустим что инструкция к базе данных выглядит таким образом:
Если отправить UA’, то инструкция к базе данных будет:
Заметили лишнюю кавычку? А это значит, что инструкция невалидна.
Соответсвенно синтаксису SQL — запрос ниже вполне валиден (лишних кавычек нет):
Обратите внимание, мы имеем дело с массивом countryFilter[]. Я предположил, что если в запросе продублировать параметр countryFilter[] несколько раз, то все значения, которые мы отправим, будут объединены в SQL запросе таким образом:
Проверяем и убеждаемся:
Фактически, мы запросили у БД статистику трёх стран:
Синтаксис верный — статистика вернулась 🙂
Обход Web Application Firewall
Сервера Steam прячутся за Akamai WAF. Данное безобразие вставляет палки в колёса хорошим (и не очень) хакерам. Однако, мне удалось одолеть его благодаря объединению значений массива в один запрос (то что я объяснил выше) и комментированию. Для начала убедимся в наличии последнего:
Запрос валиден, значит в нашем ассортименте есть комментарии.
У нас было несколько вариантов синтаксиса, локальные базы для тестирования пэйлоадов, символы комментариев и бесконечное множество кавычек всех кодировок, а также самописные скрипты на пайтоне, документация по всем базам данных, инструкции по обходу файрволов, википедия и античат. Не то чтобы это был необходимый запас для раскрутки инъекции, но раз уж начал ломать базу данных, то сложно остановиться.
WAF блокирует запрос, когда встречает в нём функцию. Вы знали, что DB_NAME/**/() — вполне валидный вызов функции? Файрвол тоже знает и блокирует. Но, благодаря этой фиче, мы можем разделить вызов функции на два параметра!
Мы отправили заспрос с DB_NAME/*всёчтоугодно*/() — WAF ничего не понял, а вот база данных успешно обработала такую инструкцию.
Получение значений из базы данных
Итак, пример получения длины значения DB_NAME():
Ну и по-человечески:
Это значит, что если сравнение истинно, то в ответ получим статистику для страны «UA». Не сложно догадаться, что перебирая значения от 1 до бесконечности, мы рано или поздно найдём верное.
Таким же способом можно перебирать текстовые значения:
Обычно для получения N-ого символа используют функцию «substring», но WAF упорно её блокировал. Тут на помощь пришла комбинация:
Как это работает? Получаем N символов значения system_user из которых забираем последний.
Представим, что system_user = “steam”. Вот так будет выглядеть получение третьего символа:
С помощью простого скрипта этот процесс был автоматизирован и я получил hostname, system_user, version и названия всех БД. Этой информации более чем достаточно (последнее даже лишнее, но было интересно) для демонстрации критичности.
Через 5 часов уязвимость была исправленна, однако статус triaged (принята) ей выставили через 8 часов и, чёрт возьми, для меня это были очень сложные 3 часа за которые мой мозг успел пережить стадии от отрицания до принятия.
2. Получение всех ключей от любой игры
В интерфейсе партнера Steam существует функциональность генерации ключей к играм.
Скачать сгенерированный набор ключей можно с помощью запроса:
В этом запросе параметр keyid – id набора ключей, а keycount – количество ключей, которое необходимо получить из данного набора.
Конечно же, руки мгновенно потянулись вбивать разные keyid, но в ответ меня ждала ошибка: «Couldn`t generate CD keys: No assignment for user.». Оказалось, не всё так просто, и Steam проверял принадлежит ли мне запрошенный набор ключей. Как же я обошёл данную проверку? Внимание…
Сгенерировался файл с 36,000 ключей от игры Portal 2. Вау.
Только в одном наборе оказалось такое количество ключей. А всего наборов на данный момент более 430,000. Таким образом, перебирая значения keyid я потенциальный злоумышленник мог скачать все ключи, когда-либо сгенерированные разработчиками игр Steam.
Steam Stealers: ваш Steam-аккаунт — их добыча
Киберпреступники ежемесячно взламывают 77,000 аккаунтов Steam. Как это возможно?
Киберпреступников как магнитом притягивает к различным веб-ресурсам, вокруг которых крутится много денег. Эта участь не миновала и Steam: согласно подсчетам Valve (компании, создавшей сервис Steam), 77 тысяч его пользователей ежемесячно теряют деньги, игровые предметы и даже учетные записи.
Как сообщает корпорация Valve, эти жертвы — далеко не всегда новички или наивные пользователи. Напротив, от атак хакеров часто страдают профессиональные игроки в «Counter-Strike: Global Offensive», участники сообществ на веб-ресурсе Reddit и торговцы игровыми предметами. Steam признает, что торговля ворованными игровыми товарами и аккаунтами превратилась в новый, весьма прибыльный подпольный бизнес.
Специалисты «Лаборатории Касперского» решили выяснить, насколько плохи дела на игровом рынке. Как оказалось, эксперты команды GReAT поначалу сильно недооценили масштабы проблемы — столько угроз они обнаружили. При благоприятном развитии обстоятельств эта инициатива превратится в масштабное расследование.
Почему пользователи Steam регулярно становятся жертвами мошенников и что с этим делать: https://t.co/1t4ledPRwv pic.twitter.com/uUY42dltZx
Троянец-как-услуга — полный пакет для воровства игр
Сообщество Steam функционирует так же, как любая другая социальная сеть, в которой пользователи добавляют в друзья знакомых и незнакомцев, обмениваются сообщениями и торгуют игровыми предметами. Наконец, недешевые купленные игры привязаны к вашему аккаунту, что делает его даже более ценным, чем в других соцсетях. Поэтому как обычный, так и целевой фишинг широко распространен в Steam, но на этих видах атак арсенал киберпреступников не заканчивается.
Оказалось, что воры аккаунтов Steam Stealers приносят злоумышленникам еще больше денег. К сожалению, их создают и распространяют не какой-то один кибермошенник и даже не группа преступников, а целый легион разных банд.
Мы уже наблюдали похожую ситуацию, когда хакеры зарабатывали, продавая свои разработки «как услугу» своим менее квалифицированным коллегам. За отдельную плату такого троянца можно проапгрейдить, добавив к нему разные интересные возможности, получить руководство пользователя и даже индивидуальную консультацию по «продвижению» — обману и воровству. И на этом список вредоносных услуг не заканчивается.
В результате с настройкой этих троянцев справится и новичок, делающий первые шаги в мире киберпреступности. Программисту, владеющему хоть какими-нибудь навыками разработки, будет еще проще.
Еще одна популярная услуга «по запросу», предлагаемая торговцами Steam Stealers, — это создание фишингового сайта, копирующего один из популярных у геймеров веб-сервисов, например голосовые чаты вроде TeamSpeak или RazerComms либо сервисы обмена картинками вроде Lightshot или Imgur. Такие копии изрядно помогают преступникам, которые охотятся за логинами и паролями пользователей.
Старые приемы на новый лад
Тот момент, когда вы авторизуетесь в Steam, — самый важный для киберпреступников, ведь именно в это время проще всего украсть ваши логин и пароль. Поэтому поддельное ПО Steam Login по-прежнему популярно среди хакеров. Некоторые версии этого троянца научились даже отправлять киберпреступникам файлы конфигураций Steam Guard. Кроме того, это ПО написано на широко известном языке Microsoft — C#. А это означает, что многие люди знают, как усовершенствовать такую программу.
Что интересно, киберпреступники выучили урок из легенды о Вавилонской башне: весь исходный код их программного обеспечения задокументирован и доступен для изучения на разных языках, что только способствует распространению зловреда.
Как оказалось, распространение троянца, заточенного под конкретный регион, — залог успеха. Например, в России и русскоговорящих странах легко можно найти локализированную версию троянца-вора, а Steam в России очень и очень популярен — целей для атак хоть отбавляй.
Если вдруг еще не читали про новый способ отъема денег у любителей ВК и взломанных игр — http://t.co/tmviLrRBho pic.twitter.com/TZuIjAE8WU
Во время расследования эксперты GReAT обратили внимание на то, что используемые хакерами способы обмана эволюционируют: поддельные скриншоты начинают выглядеть более достоверными, фальшивые сайты становятся все больше похожи на оригиналы, появляются новые способы доставки троянов, а боты кажутся более похожими на людей. Хотя 2016 год только начинается, угроз уже немало, и количество специализированных атак для Steam будет только расти. Подробнее о нашем исследовании вы можете прочесть на Securelist.
А что делает Valve для защиты пользователей?
В конце 2015 года число пользователей Steam перевалило за 12 млн. Как видите, перед хакерами, по сути, огромное пространство для атаки, которое привлекает все новых и новых преступников.
Корпорация Valve весьма обеспокоена сложившейся ситуацией, и сейчас она вводит множество новых мер безопасности. Плохие парни тоже не дремлют — они исследуют защиту Steam в попытке обнаружить новые лазейки и потенциальные уязвимости. В этом непрекращающемся сражении побеждает тот, кто находится все время на шаг впереди.
Проблема Steam в том, что этот сервис создавался для развлечений. Поэтому ему все время приходится балансировать между безопасностью и удобством использования. Многие геймеры не готовы пожертвовать своим комфортом ради защиты.
Если сервис пока не может одержать верх в этой битве с хакерами, придется пользователям взять дело в свои руки.
Взломали стим, точнее сам виноват. Будьте бдительны.
В общем, хочу рассказать историю как я недавно лоханулся и потерял свой аккаунт Steam со 100+ играми и донатом на общую сумму больше 15 тыщ рублей.
Предупреждаю: читая данный пост, вы можете испытывать лютый кринж или стыд за мою тупость, но если вы адекватны, я надеюсь вы меня поймёте и поскорбите вместе со мной. Опять же, пост информативный, и может спасёт кого-нибудь от потери аккаунта в будущем.
Понимаю, что вина лежит полностью на мне и моей тупости. Признаю свою ошибку. А вы испытываете лютый Facepalm.
Далее я попытался восстановить стим через службу поддержки. Выслал им все чеки своих донатов и покупок через Steam, QIWI, Xsolla, Сбербанк, Альфа-банк. Даже были подарочные ключи на сумму 80$. Сказал какие были первые игры, ники, пароли, но это не помогло. Дело в том, дорогие мои читатели, что у Вольво есть такая политика, что если акк был потерян, им нужно убедиться, что аккаунт действительно принадлежит Вам. А чтобы им в этом убедиться, у них есть два главных правила: 1) Нужно знать первую почту, на которую был зарегистрирован аккаунт; 2) Иметь диск с игрой или ключ от игры, которая была активирована первой, если такая вообще имелась.
К сожалению, почту я давным-давно в 2013 перевязал на Гугловскую, так как маил.рушные и яндексовские почты на то время очень легко взламывались и не было хорошей защиты, а у Гугла уже была двухфакторная аутентификация. Соответственно первую почту я не помню, а ключ, который я активировал на CS:GO у меня тоже потерялся. И даже подарочные ключи на 80 бачей не помогли в восстановлении.
Так что, ребята, будьте бдительны и всегда проверяйте все ссылки, не доверяйте никаким «замочкам» в адресной строке. Всё на сто раз перепроверьте, прежде чем где-то залогиниться, особенно если вам есть что терять на каком-либо аккаунте.
Я тоже думал, что всё знаю, что никогда не попадусь на какое-то мошенничество, и вот спустя более 10 лет владения аккаунтом с большими донатами, хорошей коллекцией игр, достижениями, скриншотами, внутриигровыми предметами, друзьями, коллекцией значков, большим уровнем. я просто и тупо его потерял. и, скорее всего, навсегда.
Пару месяцев назад глюкнул стимгард, пароль я забыл.
Обычно я просто сбрасывал пароль через почту, но в этот раз такой опции не было(((
Гамма чувств была примерно такая же в течение 3х суток, пока ждал ответа от поддержки.
Первую почту я помнил, она не менялась, так что проблем с восстановлением не было.
НО! Пока ждал ответы от поддержки, перечитал множество форумов. В одном из них чел писал, что лучше всего писать запрос на итальянском, так как итальянцы почему-то оказывались более лояльными. Другой чел писал, что, получив отписку, как у вас, начал писать более эмоциональные обращения (гневные). У обоих проблема была решена.
Мне вас очень жалко. Такие эмоции, у меня были сегодня, тоже как и вы потерял акаунт с хорошими играми. Но есть выход, создать 2-ой акаунт. Я вас очень понимаю. Всякое бывает.
Я смог отвоевать свой стим аккаунт с 50+ играми, на счастье был диск с игрой
Пару лет назад на пикабу забрал из комментов ключ от какого-то стим-хлама с карточками. И с тех пор раз в месяц или в два кто-то упорно пытается «восстановить» доступ к моему аккаунту по ключу. Благо до этого я не поленился steam guard настроить
После слова ‘кринж’ задетектил ньюфага и влепил минус
Проебал задротную еботу
«замочек» (ssl сертификат) на любой говносайт вешается от «очень дёшево» до «бесплатно»
какая то странная политика у стим. почему бы просто не вернуть почту, которая была до изменения, со сбросом пароля?
жесть, у меня так акк в танках увели, помогла двухфакторная и доступ за пол часа сам вернул, и гамма чувств такая же была
Поддержка Steam
Коротко о том, как почувствовать себя очень глупеньким
И СПУСТЯ СТОЛЬКО ДНЕЙ МНЕ ВСЕ ЖЕ ОТВЕТИЛИ
Про службу поддержки Яндекса, «Михаила Милорадова» и покрывание разводил
Кальянная Light Lounge (он же Tesla Lounge), находилась в подвале дома 13 по Измайловскому шоссе (Москва). Бодренько-борзенький официант сходу предложил жахнуть парочку мохито. На вопрос «а можно ли посмотреть меню» очень долго путался в показаниях и крутил жопой, ссылаясь на то, что цены у них «стандартные».
С девушкой и заведением пришлось тут же распрощаться. Вернее она сама моментально ретировалась со словами «ой, чет мне нехорошо», как только поняла, что зря теряет время. И тут Винни Пух неожиданно вспомнил об одном важном деле.
На досуге я почитал отзывы об этом прекрасном заведении на Яндекс картах. Отзывы почему-то четко делились на две категории: восторженные, описывающие некое сказочное заведение с уютной атмосферой, приятными людьми, парковкой и негативные, описывающие недавно увиденный мной стремный подвал с ужасной атмосферой и неадекватными ценами («8100р за кальян и чай со сладостями, плюс 1000 за обслуживание») и, разумеется, девушками-разводилами. Рандомно скопировал несколько:
Мной, разумеется, был составлен вполне объективный отзыв с честным описанием ситуации. Заметьте, без нецензурных выражений. В соответствии со всеми правилами Яндекса. Но внезапно отзыв был забракован модераторами Яндекса без объяснения причин.
Ок, подумал я и смягчил отзыв, убрал про девушку, добавил подробностей – эффект тот же.
Хм, подумал я и написал в поддержку Яндекса, приложив доказательства реальности моего посещения указанного заведения, а также ответ из проверяющих (хе-хе) органов, которые подтверждают мои слова о низкосортности заведения.
Ответ от службы поддержки Яндекса меня удивил:
«К сожалению, у меня нет возможности подробно освещать алгоритмы фильтрации отзывов, но в этом случае отклонение не является ошибочным и пересмотрено не будет. Могу лишь сказать, что мы используем многоуровневую систему защиты. Она состоит из специальных фильтров, которые умеют выявлять недействительные отзывы и отсекать их.
Просим отнестись с пониманием.
Служба поддержки Яндекса»
Меня начали терзать смутные сомнения и я заинтересовался тем, кто такой «Михаил Милорадов». «Викиреалити» сообщила, что это один из трех псевдонимов, под которыми «отвечает» счастливым пользователям служба поддержки Яндекса.
После чтения массы отзывов на нескольких сайтах и форумах, сложилось однозначное мнение, что «Михаил Милорадов» – это бот, который фильтрует негативные комментарии на организации, которые чем-то приглянулись Яндексу и отвечает на критику стандартными фразами. Этакая Алиса на минималках для недовольных. Михаил Милорадов «работает»» и в Яндекс.Справочнике и в Маркете и возможно в других сервисах. Спорить или бороться с ним, присылать доказательства, чеки – бессмысленно. Это не техподдержка, а имитация техподдержки, которая помогает Яндексу экономить человеко-часы в ущерб качеству. Но это выбор Яндекса.
Интересно, у них все сервисы такие?
Когда страницу банка взломали.
Развод, когда тебе приходит ссылка на большую выплату, будь то от государства или опрос, наверно, уже известен всем.
Так-так, что тут у нас?
Сообщение от банка в личке Вконтакте:
Пытаемся пройти дальше за халявой:
Казалось бы, развод и развод, но. Сообщение пришло с официальной страницы банка, чему есть доказательство в виде сохранившейся истории сообщений с тех пор, когда я был клиентом этого банка:
Но сообщения ограничены.
Как так то? Тут есть представители банка #ХоумКредит?
Опасная схема развода по телефону
Всем привет! Информация для многих может показаться не новой и очевидной, но лучше перебдить, чем недобдить. И напомню, что то, что является очевидным для пикабушника, может быть далеко неизвестным для его друзей и знакомых, особенно старшего возраста.
Только что был звонок с незнакомого номера (скриншот), звонивший представился сотрудником банка Тинькофф, назвал меня по имени-отчеству. Эту информацию достать легко почти про любого из нас).
1) Поставить телефон на громкую связь;
2) Зайти в плей-маркет;
3) Набрать в строке поиска запрос «поддержка»;
4) По первой ссылке скачать TeamViewer.
На этом месте мне с ними разговаривать надоело, вызов я сбросил и написал в техподдержку банка. Была одна попытка дозвона после сброса в надежде, что я отключился по ошибке.
Понятно, что минимально подкованный в вопросах обслуживания карт, интернет-банка и активности всяких вредителей человек не попадётся на удочку. Но эти ребята действуют действительно аккуратно и не торопясь. Даже в процессе разговора в эти четыре минуты они могли выудить более ценную информацию, чтобы точнее строить диалог.
Мошенничество в вконтакте
На страничке этой девушки местом работы указана группа TrollFace и она скидывает скрин, где видно, что это она руководитель группы.
После этого девушка меня блокирует и удаляет свои сообщения. Я решила написать в поддержку вк
Так что если захотите совершать мошеннические действия в масштабах группы, то все можно, главное почистить диалоги за собой.
P. S. Группа функционирует, количество подписчиков увеличивается
Мой опыт общения с клиентоориентированной компанией
Настал и мой черед позитивно отозваться об одной компании, которая порадовала.
хх-цать лет назад купил я диск с лицензионной копией Resident Evil 5, которая распространялась в те далекие годы через games for Windows Live (многими ненавистный).
Написал (с помощью гугл переводчика) им следующее письмо:
Для тех кто не дружит с английским:
На что получил ответ:
«Thank you for contacting us at Capcom Support regarding Resident Evil 5! Although Games For Windows Live is still, in fact, active for saving games and other accessibility, the Game Team at Resident Evil 5 have «migrated» the game to Steam already, via the Games For Windows Live code!
Please open your Steam Library and you should see the option at the bottom left to Add A Game. You could then follow the prompts, enter your Microsoft code and Steam should accept it so that your Steam Account will have it locked so that you can download the files and play and save in Steam!»
«Спасибо, что обратились к нам в службу поддержки Capcom по поводу Resident Evil 5! Хотя Games for Windows Live по-прежнему активна для сохранения игр и других возможностей, игровая команда Resident Evil 5 уже «перенесла» игру в Steam с помощью кода Games for Windows Live!
Пожалуйста, откройте свою библиотеку Steam, и в левом нижнем углу вы увидите опцию «Добавить игру». Затем вы можете следовать подсказкам, ввести свой код Microsoft, и Steam должен принять его, чтобы ваша учетная запись Steam заблокировала его, чтобы вы могли загружать файлы, воспроизводить и сохранять в Steam!»
И вот, в течении недели мне пришел ответ:
«Thank you for contacting us at Capcom Support. We are sorry that your Games For Windows Live code for Resident Evil 5 is not accepted in your Steam account.
Please try the following code in your Steam Account:
*****-*****-*****»
«Спасибо, что обратились к нам в службу поддержки Capcom. Приносим извинения за то, что ваш код Games For Windows Live для Resident Evil 5 не принят в вашу учетную запись Steam.
Пожалуйста, попробуйте следующий код в своей учетной записи Steam:»
Steam принял ключ, и в библиотеке появилась мультиязычная версия игры, в которой был и русский язык.
Спасибо всем тем кто писал о своих опытах работы с компаниями, действительно есть фирмы, которые идут навстречу своим клиентам!
Capcom молодцы. Спасибо из за хорошее отношение, и за RE2 Remake и Devil may Cry 5 в этом году!
