HALF-LIFE PORTAL
Your Gate To Valve's Games www.hlportal.de
PORTAL
STEAM
MISC
PARTNER

TF2 Crafting

Special Artworks by
Hayungs

Link us:
HL PORTAL

Support us:


HLPortal
auf Facebook

›› Willkommen!   ›› 95.011.315 Visits   ›› 18.316 registrierte User   ›› 20 Besucher online (0 auf dieser Seite)
    NEWS 

Steam

Stellungnahme von Valve zum Datenleck

30.12.2015 | 20:53 Uhr | von Trineas
11.496 Hits
9 Kommentare
1 viewing
Nach einer ersten kurzen Wortmeldung am Wochenende, unmittelbar nach der Behebung des Serverproblems, hat Valve nun eine ausführlichere Erklärung zu den Geschehnissen nachgereicht. Dabei nennt das Unternehmen erstmals konkrete Details und Zahlen, sowie die Ursachen, die zur Datenpanne geführt haben. Demnach wurden zwischen 20:50 Uhr und 22:20 Uhr Seitenaufrufe mit persönlichen Daten von rund 34.000 Nutzern im Cache gespeichert. Diese konnten von anderen Nutzern eingesehen werden, wobei dies nicht auf alle zutreffen muss.

Nur wenn in diesem Zeitraum eine Seite mit persönlichen Informationen, wie etwa die Bezahlseite oder Accountseite aufgerufen wurde, bestand die Möglichkeit, dass diese im Cache gelandet ist. Wer offline war, gerade gespielt hat, Steam nebenbei laufen ließ oder einfach nur im Store gestöbert hat, war nicht davon betroffen. Folgende Details konnten bei einigen der 34.000 Betroffenen eingesehen werden, wobei diese je nach Nutzer variierten:
  • Die Adresse des Nutzers
  • Die letzten vier Stellen der Steam Guard Telefonnummer
  • Bisherige Einkäufe
  • Die letzten zwei Stellen der Kreditkartennummer
  • Die E-Mail-Adresse
Ausdrücklich nicht eingesehen werden konnte die gesamte Kreditkartennummer, Passwörter oder andere Daten die es erlauben würden, sich in einen fremden Steam-Account einzuloggen oder Transaktionen zu tätigen. Valve arbeitet gerade daran herauszufinden, welche Nutzer genau davon betroffen waren und wird diese im Anschluss kontaktieren. Von den Usern selbst müssen keine Schritte unternommen werden.

Valve nennt außerdem ein paar Details, wie es dazu gekommen ist. So bestätigt das Unternehmen, dass es im Vorfeld eine massive DoS-Attacke auf Steam gab, die den ohnehin bereits hohen Traffic während eines Sales noch einmal um 2.000 Prozent anstiegen ließ. Als Reaktion darauf wurden von einem Steam-Web-Partner Caching-Regeln geändert, um die Last auf die Server zu senken. Dabei wurde versehentlich auch eingestellt, dass nutzerspezifische Seiten mit sensiblen Informationen genauso gespeichert werden, wie nutzerneutrale Seiten. Als der Fehler entdeckt wurde, wurde umgehend der Steam-Store heruntergefahren und an einer Behebung gearbeitet.

Am Ende des Blogeintrags verspricht Valve, dass es den Prozess wie Caching-Regeln angewendet werden verbessern wird. Außerdem entschuldigt sich die Firma bei allen deren persönliche Daten dadurch offengelegt wurden und für die Downtime des Steam Stores.

Kommentare (9)
Kommentar schreiben | Erweiterten Kommentar schreiben | Kommentare im Forum Seiten (1):  [1]


# 1
Trineas
ON
Betraf also deutlich weniger als viele dachten. Ist natürlich immer noch eine große Zahl und jeder ist einer zuviel, aber im Vergleich zu den über 10 Millionen die zu dem Zeitpunkt online waren, war der Schaden recht überschaubar.

Bezeichnend ist auch, wie in den sozialen Netzwerken und Foren Social Engineering betrieben wurde, indem Behauptungen aufgestellt wurden, dass Accounts übernommen wurden oder Spiele ohne Einwilligung von anderen gekauft wurden. Es machten sogar Screenshots die Runde die zeigten, wie Abbuchungen vorgenommen wurden. Wie man nun sieht war das alles gelogen und gefälscht.

Abgesehen davon hoffe ich, dass Valve nun die Betroffenen schleunigst informiert und entschädigt.
Post 30.12.2015, 20:59 Uhr
# 2
DJMars
ON
Im Wesentlichen ist es wie ich es mir dachte: Nicht einloggen/Accountdaten abrufen und man war vom Problem nicht betroffen. Ich erlebte das ganze in einem Stream und war erschrocken wie leichtfertig die Leute dann noch gezielt die Accountseite aufgerufen haben um zu gucken was los ist.

Trotzdem finde ich die späte Reaktion, den Zeitraum (es machte in Social Media schnell die Runde, dauerte dann aber noch relativ lange bis zum Abschalten) und das Herunterspielen des Problems (nach dem Motto "och es waren doch nur paar Accountinfos einsehbar") in der ersten Reaktion sehr unglücklich.
Mal davon abgesehen, dass (der Partner) zu unvorsichtig beim Einrichten der Regeln war.

Das mit der persönlichen Adresse ist aber neu und extremst ungünstig. Und heutzutage wird mit E-Mail-Adressen die in Shops verwendet werden viel zu leichtfertig umgegangen und Leaks derselben zu sehr verharmlost.

An dieser Stelle übrigens einen guten Rutsch :)
Post 31.12.2015, 05:56 Uhr
# 3
Zerfleischte Kanadierin
ON
Zitat:
Original von Trineas

Bezeichnend ist auch, wie in den sozialen Netzwerken und Foren Social Engineering betrieben wurde [...]


Du weißt im Grunde überhaupt nicht, wovon du sprichst, oder? :confused:
Post 31.12.2015, 13:41 Uhr
# 4
Allusion
ON
Zitat:
Original von Zerfleischte Kanadierin

Zitat:
Original von Trineas

Bezeichnend ist auch, wie in den sozialen Netzwerken und Foren Social Engineering betrieben wurde [...]


Du weißt im Grunde überhaupt nicht, wovon du sprichst, oder? :confused:


Was willst du?
Post 31.12.2015, 15:18 Uhr
# 5
B☢t
ON
Zitat:
Original von Trineas

Abgesehen davon hoffe ich, dass Valve nun die Betroffenen schleunigst informiert und entschädigt.


Wie ich Valve kenne, kommt da nichts...höchstens ein Rabattcoupon für Half-Life 2 :P
Ich hatte web.de Adressen informiert, dass ich ihre Emails und Daten über Steam sehen konnte.
Valve lässt sich ja bekanntlich viel Zeit, immerhin haben sie nach so langer Zeit endlich ein offizielles Statement abgegeben.
Post 31.12.2015, 15:39 Uhr
# 6
HorstMcDonald
ON
Schön, dass Valve nun überhaupt mal auf soetwas reagiert hat. Der Zeitraum ist allerdings trotzdem viel zu lang. Mit den E-Mail Adressen und der Liste der bisherigen Einkäufe hätte man es nun sehr leicht lohnenswerte Ziele für einen Angriff auszumachen.

Man könnte z.B. nun bequem eine Phishing Seite bauen mit der bitte das Passwort zu verifizieren und schwubs hat man den E-Mail Account und damit nicht nur den Steamaccount sondern auch alle möglichen anderen Zugänge die diese Nutzer mit dem E-Mail Account verknüpft haben.

Valve sollte da viel mehr tun...
Post 04.01.2016, 13:41 Uhr
# 7
King2500
ON
Zitat:
Original von HorstMcDonald

[...] Mit den E-Mail Adressen und der Liste der bisherigen Einkäufe hätte man es nun sehr leicht lohnenswerte Ziele für einen Angriff auszumachen.


Die E-Mail-Adresse steht aber auf einer anderen Seite (https://store.steampowered.com/account/), als der Einkaufsverlauf (https://store.steampowered.com/account/history/). Beides zusammen hat also mit sehr hoher Wahrscheinlichkeit niemand von ein und der selben Person gesehen. Vorausgesetzt, die E-Mail-Adresse ist nicht gleichzeitig der Accountname, welcher auf dem Einkaufsverlauf oben zu sehen ist.

Zitat:
Original von HorstMcDonald

Valve sollte da viel mehr tun...


Was denn?
Valve tut doch schon alles mögliche, um die Sicherheit der Accounts zu erhöhen.
Post 04.01.2016, 14:53 Uhr
# 8
HorstMcDonald
ON
Zitat:
Original von King2500

Was denn?
Valve tut doch schon alles mögliche, um die Sicherheit der Accounts zu erhöhen.


Wie wärs z.b. wahlweise mit 2 Faktor Authentifizierung? Da bekommt man nicht nur eine E-Mail sondern auch einen Code aufs Handy geschickt. Google und Facebook bieten sowas z.B. an. Andere folgen gerade (zu Recht).

Valve hat ewig gebraucht um überhaupt detailliert zu antworten. Ständig hat man das Gefühl ihnen wächst da sicherheitstechnisch was über den Kopf. Hacks und Pannen gibt es in der Firmengeschichte einige.
Post 05.01.2016, 13:19 Uhr
# 9
Zockerfreak112
ON
Zitat:
Original von HorstMcDonald

Zitat:
Original von King2500

Was denn?
Valve tut doch schon alles mögliche, um die Sicherheit der Accounts zu erhöhen.


Wie wärs z.b. wahlweise mit 2 Faktor Authentifizierung?


Die gibt es doch bereits.
Post 14.01.2016, 23:33 Uhr


Seiten (1):  [1]


Du musst dich einloggen, um Kommentare schreiben zu können

Du hast nicht die erforderlichen Rechte einen Kommentar zu schreiben.
Solltest du eine Account-Strafe haben, findest du nähere Informationen in deinem Profil unter Verwarnungen.


FB | Tw | YT | SC
LOGIN
User oder E-mail:


Passwort:


oder
Registrieren
Passwort vergessen?
OpenID-Login
UMFRAGE
Half-Life: Alyx in VR - was hälst du davon?
   
   
NEWSLETTER
   
E-Mail Adresse:
   

    USER ONLINE 
Insgesamt sind 20 Benutzer online. Davon ist 1 registriert:
    SITE OPTIONS 
- Zu Favoriten hinzufügen
- Als Startseite festlegen (IE only)
- Fehler auf dieser Seite?