Valve-Chef Gabe Newell hat heute bekannt gegeben, dass offenbar nicht nur das offizielle Steam-Forum von einer Hacker-Attacke betroffen war. So sollen sich Eindringlinge Zugang zu einer Steam-Datenbank verschafft haben, die unter anderem Benutzernamen, verschlüsselte Passwörter und verschlüsselte Kreditkartennummern enthält...
"keine Änderung der Steam-Account Passwörter forcieren" ... Moment, die Passwörter waren gehasht und gesaltet. Wenn man sein Passwort jetzt also einfach weiter benutzen kann, bedeutet das dann nicht, dass Valve den gleichen Salt weiter benutzen muss? Und damit Folgeattacken durch die bereits bekannten Hashes erleichtert?
Also ehrlich, ich würde es bevorzugen, wenn sie wenigstens im Nachhinein auf Nummer Sicher gehen und alle Benutzer dazu zwingen, per Mail ein neues PW anzufordern (ggf. auch über den Support per Key o.ä.). Aber das hat natürlich einen großen Nachteil für Valve: Jeder der Steam benutzt wird zwingend auf den Hack aufmerksam gemacht - und damit wird die jetzt folgende schlechte Publicity noch stärker forciert...
[Beitrag wurde 1x editiert, zuletzt von Talaron am 11.11.2011, 00:25]
[...] Aber das hat natürlich einen großen Nachteil für Valve: Jeder der Steam benutzt wird zwingend auf den Hack aufmerksam gemacht - und damit wird die jetzt folgende schlechte Publicity noch stärker forciert...
Valve geht damit völlig offen um. Sie haben eine Instant-Message in Steam integriert die bei jedem User kommt und darauf hinweist. Jedem steht es frei sein Passwort zu ändern, um auf Nummer sicher zu gehen.
@Talaron: Das wird nach so einem Statement wohl kaum VALVes Hintergedanke gewesen sein.
Ich hab' mein Passwort jedenfalls nach dem Bekanntwerden des Foren-Hacks bereits geändert und Foren-, Email- und Steam-Passwort unterscheiden sich bei mir. Steam Guard ist auch aktiv. Ich sehe momentan nur ein Problem in den Kreditkartendaten.
Hört sich nach partieller Kernschmelze an. Steam Guard ist halt auch nicht das Allheilmittel, zumal es ohnehin nur die Nutzer verwenden, die eher auf Sicherheit wertlegen (und dann auch verschiedene Passwörter für Forum, Client und E-Mail verwenden). Neben den Kreditkartendaten würde mich interessieren was mit den Daten ist, die gespeichert werden, wenn ein Zahlungsdienstleister wie ClickAndBuy o.ä. verwendet wird. Unter Umstände sollte man da dann auch das Passwort ändern, falls man ein generisches Passwort nutzt.
[Beitrag wurde 1x editiert, zuletzt von phreazer am 11.11.2011, 00:45]
Das mit der Nachricht wusste ich nicht, die kommt ja nur nach dem Beenden eines Spiels. Und ich wollte Valve auch nicht unterstellen, das ganze verheimlichen zu wollen.
Aber trotzdem ist es nochmal eine ganz andere Sache, ob man nur eine Nachricht bekommt "Einige Ihrer Daten sind gestohlen worden, tut uns Leid." und die dann wegklickt und vergisst, oder man tatsächlich selbst aktiv werden muss und seinen Account wiederherstellen.
Neben den Kreditkartendaten würde mich interessieren was mit den Daten ist, die gespeichert werden, wenn ein Zahlungsdienstleister wie ClickAndBuy o.ä. verwendet wird. Unter Umstände sollte man da dann auch das Passwort ändern, falls man ein generisches Passwort nutzt.
Bei Click&Buy und Co. wird von Steam aus nur dein Accountname und ein speziell für Steam generiertes Token gespeichert. Der Dieb könnte also lediglich unrechtmäßig Geld von dir an Valve transferieren, aber nirgendwo sonst hin. Und in diesem Fall wird das natürlich auffallen und Valve kann dir das Geld erstatten.
Und das an meinem Geburtstag... Geil...
Ich kenne mich nicht ganz aus und nur um das nochmal klarzustellen:
Man geht davon aus das die Steam Accounts mit Steam Guard ausreichend geschützt sind aber Passwörter WURDEN 100%ig abgegriffen?
Edit: Vielleicht bekommen wir ja jetzt wie bei Sony ein paar Spiele geschenkt?
Oder NOCH BESSER: Einen Team Fortress 2 Hut frei nach Wahl!
[Beitrag wurde 1x editiert, zuletzt von Tobit am 11.11.2011, 01:29]
Und das an meinem Geburtstag... Geil...
Ich kenne mich nicht ganz aus und nur um das nochmal klarzustellen:
Man geht davon aus das die Steam Accounts mit Steam Guard ausreichend geschützt sind aber Passwörter WURDEN 100%ig abgegriffen?
Deine Daten sind mit Hashs geschützt, also werden mit zufälligen Kombinationen gesichert, weiß aber auch nicht genau wie.
Steam Guard verhindert nur das jemand ohne dein Wissen das Passwort ändert.
Neben den Kreditkartendaten würde mich interessieren was mit den Daten ist, die gespeichert werden, wenn ein Zahlungsdienstleister wie ClickAndBuy o.ä. verwendet wird. Unter Umstände sollte man da dann auch das Passwort ändern, falls man ein generisches Passwort nutzt.
Bei Click&Buy und Co. wird von Steam aus nur dein Accountname und ein speziell für Steam generiertes Token gespeichert. Der Dieb könnte also lediglich unrechtmäßig Geld von dir an Valve transferieren, aber nirgendwo sonst hin. Und in diesem Fall wird das natürlich auffallen und Valve kann dir das Geld erstatten.
An ein gespeichertes Token dachte ich eigentlich gar nicht, eher an den Fall, dass nur ein einziges Passwort (oder das gleiche Passwort wie im Forum) verwendet wird und man in diesem Fall auch die Passwörter dieser Dienste ändern sollte (nicht nur möglicherweise das Passwort des Steamaccounts). Ich weiß natürlich nicht inwiefern auch diese Accountdaten betroffen sind, aber zumindest für den genannten Fall ist das ratsam (falls tatsächlich PW herausgefunden werden können).