Таких откровенных ошибок в системе безопасности от Steam мало кто ожидал, однако недоработка Valve позволяла любому желающему менять пароли в чужих аккаутнах.
Для смены пароля необходим был лишь никнейм пользователя. При сбросе пароля Steam не уточнял адрес почтового ящика, а отправлял письмо на уже указанный адрес в профиле. После этого для подтверждения владения аккаунтом необходимо было вставить код из письма, однако вместо этого можно было просто отправить пустую строку и Steam сбрасывал пароль, предлагая ввести новый.
Учитывая что Steam временно ограничивает функциональность аккаунта после смены пароля, торговать и продавать вещи пользователь не сможет. Valve уже исправила ошибку, но посмотреть как легко она проводилась можно на этом видео.