Как изменить api key steam - Исправление ошибок и поиск оптимальных решений проблем

Для тех, кто не хочет потерять свои скины

Небольшая заметка о том, как мошенники могут угнать у вас вещи из инвентаря, а вы даже не заметите этого.

UPD

В связи с недавними изменениями в системе трейда CSGO, наш маркет по CSGO работает через специальную программу, требующую генерацию API ключа Steam.
Так что если продаете у нас — не пугайтесь, если у вас появится API ключ. Однако ответственность за защиту доступа к аккаунту все еще на вашей совести. Мошенник не должен узнать этот API ключ, поэтому следите за тем, куда вы вводите код подтверждения из Steam Guard. Пользуйтесь только проверенными сайтами и программами.

Угон вещей с помощью API ключа Steam

Что происходит

Пользователь пополняет какой-нибудь сайт скинами, но деньги на сайт не приходят. Оказалось, он отправил их мошеннику, однако проверочный код трейда совпадал.

Как это происходит?

1) Пользователь нажимает кнопку пополнение счет на сайте

2) Бот сайта присылает пользователю трейд с секретным кодом

3) Мошенник, имеющий доступ к API ключу пользователя, получает информацию о трейде — проверочный код, имя бота, список вещей, которые пользователь собирается отдать настоящему боту.

4) Мошенник, используя API ключ пользователя, отменяет трейд, который прислал бот настоящего сервиса

5) Мошенник меняет ник своего бота и присылает пользователю трейд с таким же проверочным кодом и с таким же списком вещей.

6) Пользователь принимает трейд, даже не замечая подмены. Процесс скорее всего полностью автоматизирован.

Что такое API ключ?

Это комбинация цифр и букв, которая дает доступ действиям над аккаунтом Steam. Конкретно мошенники используют его для получения информации о трейдах и для их отмены.

Как мошенник узнает API ключ пользователя?

С помощью заманивания пользователей на сайт с поддельной формой авторизации — пользователь вводит логин и пароль с проверочным кодом из аутентификатора и фейковый сайт моментально создает API ключ, который он в последствии использует.

Ниже приведены примеры таких поддельных форм.

Форма авторизации открывается в маленьком окне. Поле адреса страницы пустое. Логин и пароль не заполняются автоматически, если сохранены в браузере.

Чуть более продвинутая версия скам формы.Форма авторизации открывается в маленьком окне. Поле адреса поддельное, сделано в виде HTML элемента. Логин и пароль не заполняются автоматически, если сохранены в браузере.

Без действий со стороны пользователя, получить этот ключ невозможно.

Как проверить не взломан ли мой аккаунт?

Зайдите сюда https://steamcommunity.com/dev/apikey и проверьте сгенерирован ли у вас на аккаунте API ключ.

Если аккаунт чист — никакого ключа там не будет.

Если если там есть ключ и вы его не создавали САМОСТОЯТЕЛЬНО (или его не создала программа market.app) то ваш аккаунт 100% взломан.

Еще можно попробовать продать что-то дорогое или пополнить счет с помощью SkinPay

Перед подтверждением трейда в телефоне зайдите сюда
http://steamcommunity.com/id/me/tradeoffers/
Если увидите 2 трейда с одинаковыми проверочными кодами, причем один отмененный а другой нет — ваш аккаунт взломан 100%

Как вернуть предметы которые переданы через поддельный трейд?

Никак.
Компенсаций от маркета за подобное не предусмотрено.

Как «вылечить» аккаунт?

Если вы не создавали API ключ и не знаете зачем он нужен — зайдите сюда https://steamcommunity.com/dev/apikey и немедленно удалите его, нажатием кнопки Revoke My Steam Web API Key

Зайдите сюда https://store.steampowered.com/twofactor/manage и нажмите «Выйти на всех других устройствах»

После этого смените пароль в Steam и обязательно следите за тем, чтобы API ключ не появился вновь.

Отправьте ссылку на эту заметку всем своим друзьям, чтобы они не попались на это. Предупрежден — вооружен.

Источник

24 Июля, 2019 г.

В статье описывается ситуация о том, как могут украсть ваши игровые предметы с помощью API ключа и как этого избежать.

Что происходит?

Пользователь выставляет вещи на продажу, подтверждает обмен, а скины не появляются на сайте.

Как это происходит?

1. Пользователь нажимает кнопку для выставления предметов на продажу;
2. Наш бот присылает обмен (трейд) с секретным кодом;
3. Мошенник, который имеет доступ к API ключу пользователя, может получать полную информацию данного трейда: код безопасности, имя бота и список предметов, который пользователь собирается передать настоящему боту;
4. Мошенник, используя API ключ пользователя, отменяет обмен, который прислал наш бот;
5. Мошенник меняет аватар и имя своего бота, затем присылает пользователю обмен с таким же проверочным кодом и с таким же списком вещей;
6. Пользователь принимает фейковый обмен и не замечает подмены. Скорее всего, весь процесс обмана полностью автоматизирован, поэтому все работает достаточно быстро.

Что такое API ключ?

Это комбинация букв и цифр, которая позволяет совершать различные действия с аккаунтом в Steam.
Для безопасности API ключ нельзя никому сообщать. В данном случае мошенники используют API ключ для получения информации
об обменах и для их отмены.

Как мошенник узнает API ключ?

С помощью фишинга (вас приглашают на сайт, который имеет поддельную форму входа в Steam,
вы вводите логин и пароль с проверочным кодом, и поддельный сайт моментально создает API ключ,
записывает его в свою базу и далее использует данный ключ для подмены трейда).

Заметьте, что если логин и пароль сохранены в браузере, то они не заполняются автоматически.

Без действий со стороны пользователя, получить данный API ключ невозможно.

Как проверить не взломан ли мой аккаунт?

Зайдите сюда https://steamcommunity.com/dev/apikey и проверьте есть ли у вас на API ключ.

Если ключа нет (как на скриншоте ниже), то ваш аккаунт не взломан.

API KEY

Если ключ есть и вы его САМОСТОЯТЕЛЬНО не создавали, то ваш аккаунт 100% взломан.

API KEY

Также для проверки можно попробовать продать что-то дорогое.

Перед подтверждением обмена в телефоне, перейдите по этой ссылке http://steamcommunity.com/id/me/tradeoffers/.
Если вы увидите 2 обмена с одинаковыми кодами безопасности от ЯКОБЫ одного и того же бота, причем один отмененный, а другой нет — ваш аккаунт взломан 100%.

Как вернуть предметы которые переданы через поддельный трейд?

К сожалению, никак.

Как «вылечить»/«восстановить» мой аккаунт?

Если вы не создавали API ключ и не знаете зачем он нужен — перейдите по этой ссылке
https://steamcommunity.com/dev/apikey
и удалите его, кликнув на кнопку «Отозвать мой ключ Steam Web API»

Далее перейдите по следующей ссылке https://store.steampowered.com/twofactor/manage и кликните на кнопку «Выйти на всех других устройствах»

После этого следует сменить пароль вашего акканута в Steam.

Пожалуйста, распространите информацию об этом способе обмана, отправив ссылку на эту статью своим друзьям, чтобы они не попались на это.

Как можно защить себя?

Проверяйте группу бота, которому отдаете предметы. Каждый наш бот состоит в закрытой группе Steam,
мошенники не смогут ее подделать. Любые боты, которые не состоят в этой группе, не принадлежат и не управляются SkinsGuru.

Ваша безопасность в ваших руках!

Источник

Как зарегистрировать

Чтобы получить Steam web api key необходимо привязать его к домену (сайту). Домен покупать не обязательно, это просто формальность.

Процедуру можно провести только если аккаунт активирован и сняты все ограничения — для этого надо пополнить счет Steam минимум на 5 долларов США (примерно 370 рублей).
Заполните форму — https://steamcommunity.com/dev/apikey

Далее подробное описание.

Домен и хостинг

В форме регистрации Стим ключа необходимо указать только домен, к которому будет привязан Ваш персональный API ключ. Есть два варианта — платный и бесплатный.

Зачем нужен домен?

Домен — это адрес сайта. Использование API предполагает, что ключ будет использован для запросов к нему с Вашего сайта, хотя это не единственный сценарий использования АПИ.

Бесплатный домен

Если надо получить только API ключ, без необходимости создания своего сайта, сервиса, бота или приложения, а для каких-то сторонних целей или только для тестирования, то можно:

ввести в поле слово localhost
или воспользоваться регистрацией бесплатного домена.

Для халявной регистрации подойдёт один из перечисленных сайтов:

https://www.freenom.com
http://www.dot.tk
http://www.my.ga
или любой другой, просто поищите «бесплатный домен» или «free domain» в поисковике.

Платный домен

Если целью получения АПИ ключа является создание сервиса на личном хостинге, то лучшим вариантом будет зарегистрировать платный домен. В таком случае будет гораздо больше контроля над ним.

Зарегистрировать можно у любого регистратора, например:

reg.ru
2domains.ru
также на многих хостингах можно покупать домены.

После 24 февраля 2022 года многие зарубежные регистраторы прекратили обслуживать клиентов из России. Так же могут возникнуть проблемы с оплатой у иностранных регистраторов.

В среднем домены стоят от $1 до $10.

Для регистрации необходимы паспортные данные, но можно активировать бесплатную услугу скрытия персональных данных (Domain Privacy). Ваши ценные сведения (имя, адрес проживания, телефон и тд) публично доступны не будут, вместо них будут подставлены данные официального представителя регистратора, а при обращении к владельцу домена, сообщения будут переадресованы Вам.

После регистрации происходит делегирование домена, другими словами — активация. Процесс не быстрый и может занять от 2 до 48 часов.

Чтобы сайт работал, нужен хостинг. Домен — это лишь указатель на определенный сервер, на котором расположен Ваш сайт. Хостинг можете выбрать среди списка топовых, например тут — https://ru.hostings.info/hostings/country/russia

Форма получения API ключа

Форма получения стим апи ключа выглядит очень просто — https://steamcommunity.com/dev/apikey

Введите свой домен и нажмите «Зарегистрировать«.

После регистрации откроется страница, на которой будет выдан ключ, скопируйте его и можно сразу им пользоваться.

Как выпустить новый ключ?

Иногда необходимо выпустить новый ключ. Например из соображений безопасности, если текущий ключ был скомпрометирован.

Для этого:

Переходим на указанную выше страницу.
Нажимаем кнопку «Отозвать мой ключ веб-API Steam«.
После чего описанную процедуру получения надо повторить снова.
Можно указать те же данные.

При каждом отзыве ключа и последующей регистрации будет выдаваться новый ключ. Не забудьте сменить его и в своём приложении.

Steam API — что это?

API расшифровывается, как Application Programming Interface, что означает «программный интерфейс приложения«.

API позволяет связывать и общаться между собой разным компонентам одной программы (сайта) либо получать/отправлять данные между совершенно разными приложениями (сайтами).

Steam API в доступном виде передаёт информацию:

об играх на платформе,
игроках (аккаунтах),
статистике,
позволяет авторизовываться через Steam на сторонних сайтах и приложениях,
и предоставляет прочие открытые данные.

Что такое steam api key?

Это ключ, с помощью которого можно получить доступ к использованию расширенных возможностей Steam API. Без него будут доступны только очень ограниченные операции с API.

Сколько стоит получить Steam API key?

Обычно только $5 за активацию Steam и бесплатный домен для регистрации ключа.

Если нужен сайт, то будем брать средние цены:

$5 — активация Steam,
домен от $1 до $10 (ежегодно),
хостинг от $3 (ежемесячно, самый простой тариф).

Итого: от $5 до $15 долларов единовременно. Плюс ежемесячные траты на хостинг и ежегодные на домен, если надо сделать свой сайт.

Источник

Authentication using Web API Keys

Some Web API methods return publicly accessible data and do not require authorization when called. Other methods may require you to use a unique API key. There are also methods that return sensitive data or perform a protected action and require special access permissions. These APIs require a publisher key, which you will need to create before calling any of them. In cases where an API key is required, it can be provided either as a standard parameter or by setting the ‘x-webapi-key’ request header value.

User Keys

The standard user keys are available to everyone, all that is required is a Steam account and the domain name that will be associated with this key.

You will also need to agree to the Steam Web API Terms of Use.

You can create a user Web API key from the registration page on the Steam Community.

Publisher Keys

To securely identify a publisher, and allow access to protected methods, a publisher may request a Web API key which can be passed to the appropriate methods using the key parameter. Each key is associated with a publisher group and can be used to access data for all of the App IDs that are also associated with that group. To receive a publisher Web API key, see Creating a Publisher Key below.

Publisher Web API keys provide access to sensitive user data and protected methods. These keys are intended to be used for Web API requests that originate from secure publisher servers. The keys must be stored securely, and must not be distributed with a game client. All Web API requests that contain Web API keys should be made over HTTPS.

Creating a Publisher Web API Key

To create a publisher Web API key, you will need to have administrator permissions within an existing Steamworks account. If you are not an administrator yourself, you can see a list of administrators for your partner account by visiting your Steamworks Home Page and viewing the list on the right-hand side. Any one of them can create your Publisher Web API Key or can promote you to admin if appropriate.

To create a Publisher Web API key:

As a user with administrative rights in your Steamworks account, first visit your groups list.
From the list of groups, select or create a group that contains the App IDs for which you wish to have access with the WebAPI key.
Then click into that group to view the users and applications in that group.
If you have administrative permissions, you should then see the option to «Create WebAPI Key» on the right-hand side. Or you should see the key listed if it has already been created.

Источник

В последние месяцы количество фишинговых ботов и сайтов резко возросло. Атаки «посредника» направлены на перехват и сбор идентификаторов пользователей и данных аутентификации, чтобы в дальнейшем получить доступ к их денежным средствам и другим активам, таким как ваши внутриигровые предметы в Steam.

Популярные трюки социальной инженерии уже не эффективны, по крайней мере, для опытных пользователей, так как Valve представила свое оружие кибербезопасности, именуемое Steam Guard .

Благодаря двухфакторной аутентификации киберпреступникам стало намного сложнее украсть или иным образом неправомерно использовать данные вашего аккаунта.

Все транзакции между пользователями на сайте должны быть подтверждены через электронную почту или, лучше всего, через смартфон пользователя.

К сожалению, кибер-мошенники изобретают новые способы обмануть геймеров. Одна из новых популярных фишинговых угроз для учетных записей пользователей в Steam – это скам с ключами Web API .

Это также применительно и для любого другого цифрового рынка, где для подтверждения транзакций используются личные ключи API.

Вот как работает классический обман:

Мошенники приманивают и ищут своих потенциальных жертв, используя общедоступные рекламные инструменты Google, такие как исследование и анализ ключевых слов для сбора информации на популярных веб-сайтах и торговых площадках, которые в основном посещают геймеры и другие пользователи.
После оценки результатов поиска обычного игрока киберпреступники используют средства прямой рекламы, такие как Google AdWords, для создания высокого рейтинга своих поддельных сайтов. Адрес мошеннического сайта всегда выглядит почти идентично подлинному, за исключением нескольких добавленных или неправильно написанных символов.
Поддельный сайт благодаря использованию рекламы Гугл находится выше настоящего в поисковой выдаче, имея дополнительные буквы nf в домене (на данный момент применимо к опскинс это исправлено на стороне Гугл)
Невнимательный пользователь нажимает верхнюю ссылку на странице результатов поиска, которая не является настоящей, и ведет его на фишинговый сайт.
Поддельные сайты обычно полностью копируют оригинальный интерфейс, домашнюю и лэндинг-страницы, вынуждая обманутых пользователей войти с помощью своего аккаунта и оставить свои личные данные, такие как логин и пароль. Вот где мошенники начинают свою работу по краже учетных записей пользователей.
Когда данные учетной записи извлекаются, злоумышленники получают полный контроль над похищенными учетными записями Steam и получают ключи API для мониторинга дальнейших транзакций.
Мошенничество вступит в действие, как только пользователь решит купить или продать свои игровые предметы в Steam или на любой схожей площадке.
Как только бот Steam отправляет пользователю настоящее предложение обмена, бот мошенника немедленно отменяет трейдоффер (благодаря имеющемуся у мошенника API key жертвы) и создает свое поддельное предложение, отправляя его на мобильный телефон или адрес электронной почты пользователя.
Поскольку поддельные и настоящие предложения обмена выглядят совершенно одинаково (в обмене участвуют те же самые предметы), жертва подтверждает обмен с помощью своей электронной почты или приложением для аутентификации на мобильном телефоне. С этого момента все предметы исчезли из инвентаря пользователя навсегда.
Если жертва проверит историю своих обменов, она может увидеть, что есть два предложения обмена, где реальное предложение было отменено.

Вот так выглядит попытка похищения предметов с помощью API key. Мошенник отправил трейд на те же предметы, добавив сопутствующее сообщения настоящего бота lootfarm.

Единственное отличие – мошенник не предложил предметы, участвующие в обмене, и не успел изменить ник/аватарку под бота. Поэтому этот пользователь не попался на этот трейд (вероятно, не обратил на него внимания, приняв настоящий).

Но при использовании сайта, где требовалось только пополнение своего счета скинами, он не обратил внимания на бота и отдал все свои предметы тому же мошеннику:

Если открыть профиль одного из таких мошенников и периодически обновлять страницу, то можно заметить, как меняется ник и аватарка мошенника в зависимости от имитируемого сайта.

Имея это в виду, давайте выясним, что может сделать обычный пользователь, чтобы предотвратить такое мошенничество и сохранить свою учетную запись Steam в целости и сохранности от мошеннических атак?

Практически ничего не поделать с отображением мошеннических сайтов в топе поиска Google, за исключением отправки жалоб в службы их технической поддержки.

Но все равно, принятие мер со стороны техподдержки Гугл займет какое-то время, поэтому большое количество жертв неизбежно.

Как вернуть предметы, которые были переданы через поддельный трейд оффер?

Никак. Конечно, вы можете написать в техподдержку стима о мошеннических действиях, подкрепить это дело скриншотами и запросить возврат, но шансы на возврат невероятно малы.

Однако пользователи могут защитить свои собственные учетные записи Steam, выполнив несколько простых шагов.

4 способа избежать взлома аккаунта

Классическое правило здесь «лучше обезопасить себя, чем потом сожалеть» . Есть несколько простых вещей, которые вы можете сделать заранее, чтобы защитить свой аккаунт Steam (или любой другой) от мошенничества и кражи.

- Аутентификация только через Steam и сайты, которым вы доверяете. Чтобы свести к минимуму ваши шансы на серьезные проблемы с фишинговыми сайтами, войдите в свою учетную запись Steam только в Steam или, по крайней мере, на торговых площадках, в которых вы уверены. Внимательно следите за ссылкой на веб-сайт, по которой вы собираетесь перейти. Авторизоваться в Steam всегда намного безопаснее, независимо от того, какую торговую площадку в игре вы собираетесь использовать.
- Внимательно читайте ссылку на ваш любимый популярный сайт для трейдинга/продажи. В случае с опскинс в браузере слева от адреса сайта будет зеленая отметка OPSKINS GROUP INC. [CA]

- Смена пароля. Это отличный способ завершить текущий сеанс в Steam и заблокировать доступ мошенников к вашей учетной записи. Вы можете изменить свои учетные данные для входа в Steam двумя способами – нажав «Забыли пароль» или «Изменить мой пароль». Первый вариант предпочтительнее, так как он позволяет вам продолжать трейдится в Steam без периода приостановки обмена.
- Удаление ключа Steam Web API . Если ваш аккаунт взломан, ключ API, очевидно, находится в базе данных мошенников. Поэтому зайдите на свою страницу пользователя в Steam, найдите свой текущий ключ API и позвольте Steam создать новый ключ. Возьмите в привычку регулярно менять свой Steam Web API ключ, чтобы убедиться, что ваша учетная запись в безопасности и не используется злоумышленниками. Здесь https://steamcommunity.com/dev/apikey вы можете отозвать и заново сгенерировать свой ключ.

Проверяйте отправленные предложения обмена. Посетите свою страницу Steam и переходите на эту страницу https://steamcommunity.com/my/tradeoffers/sent/ каждый раз, когда у вас есть предложения обмена, которые будут подтверждены вашим мобильным телефоном или электронной почтой.

Помните, что безопасность вашей учетной записи Steam – это прежде всего ваша собственная обязанность.

Следуйте нашим инструкциям и хорошо проводите время, торгуя своими игровыми предметами безопасным и прозрачным способом.

Автор публикации

Если вы зарегистрируетесь сможете: скачивать все файлы с сайта, конкурсы, доступ к различным модулям.

flag Россия.

Комментарии: 22Публикации: 1595Регистрация: 22-02-2018

Источник