Как именно взломать не знаю, но расскажу историю, которая может натолкнуть на некоторые мысли.
Произошло это несколько месяцев назад. Брату пришла спам рассылка, в которой ему предлагали какой-то скин из CS:GO в обмен на то, что он просто авторизуется на сайте и расскажет о нём друзьям (типа промо-акция).
Ничего не подозревая он вошел через Steam, а через несколько минут потерял доступ к аккаунту.
Как? Всё просто - сайт оказался мошенническим, вход выполнялся НЕ через стим и был очень хорошо замаскирован. При нажатии кнопки авторизации якобы открылось новое окно с правильным адресом steam, но при детальном рассмотрении оказалось, что это окно было открыто скриптом внутри сайта (то ли html5 canvas то ли js, не знаю). Грубо говоря открылось модальное окно, очень хорошо замаскированное под настоящую страницу авторизации стим.
Ничего не подозревая брат ввёл данные от аккаунта, которые тут же были использованы, предположительно ботом, ибо иначе такую скорость кражи акка не объяснить.