Dat ontdekten bezoekers van Reddit. Steam-beheerder Valve zou inmiddels op de hoogte zijn gebracht van de kwetsbaarheid, maar heeft er nog niet officieel op gereageerd.
Een gebruiker kan zijn profiel op Steam zo aanpassen, dat er specifieke JavaScript-code in de achtergrond aanwezig is. Deze code wordt automatisch uitgevoerd als een slachtoffer dit profiel bezoekt.
De code kan worden misbruikt voor bijvoorbeeld phishing, om een gebruiker automatisch door te sturen naar een malafide inlogpagina. Ingevoerde gebruikersinformatie wordt vervolgens naar de aanvaller verstuurd.
Geld
Het zou ook mogelijk zijn om geld in de Steam Market-portemonnee van het slachtoffer uit te geven binnen de gameswinkel. Hier zou het slachtoffer op geen enkel moment van op de hoogte worden gebracht. Omdat de Market geld gebruikt dat de gebruiker in een aparte portemonnee heeft, hoeft hier geen bevestigingsknop voor worden ingedrukt.
Onderdelen van pagina’s binnen een Steam-profiel kunnen volgens de ontdekkers volledig worden aangepast, waardoor internetcriminelen vrij zijn om pagina’s binnen de Steam-browser samen te stellen en te tonen.
Adresbalk
Bezoekers van Steam worden door een webontwikkelaar geadviseerd om bij de opties van de gameswinkel de adresbalk in te schakelen. Hierin wordt de link van een bezochte pagina getoond, waaruit kan blijken of het om een phishingpagina gaat.
Gebruikers zouden de ontdekte kwetsbaarheid alleen kunnen omzeilen door tijdelijk geen gebruikersprofielen binnen Steam te bezoeken.