|
|
|
›› Willkommen! ›› 95.258.588 Visits ›› 18.316 registrierte User ›› 47 Besucher online (0 auf dieser Seite)
|
|
 |
Steam Auch Steam-Datenbank gehackt
11.11.2011 | 00:01 Uhr | von Trineas
|
20.399 Hits
67 Kommentare
1 viewing
|
 |
Valve-Chef Gabe Newell hat heute bekannt gegeben, dass offenbar nicht nur das offizielle Steam-Forum von einer Hacker-Attacke betroffen war. So sollen sich Eindringlinge Zugang zu einer Steam-Datenbank verschafft haben, die unter anderem Benutzernamen, verschlüsselte Passwörter und verschlüsselte Kreditkartennummern enthält. Es gibt allerdings zum jetzigen Zeitpunkt noch keinen Hinweis, dass diese auch entwendet wurden und es liegt auch kein Fall von Kreditkartenbetrug vor, der darauf zurückzuführen wäre. Das komplette Statement auf Deutsch:
Zitat:
Original von Gabe Newell
Sehr geehrte Steam-Nutzer und Steam-Forenteilnehmer,
Unsere Steam-Foren wurden am Sonntag Abend, dem 6. November 2011, kompromittiert. Wir haben mit den Ermittlungen begonnen und herausgefunden, dass dieser Angriff über unsere Steam-Foren hinausging.
Wir haben in Erfahrung gebracht, dass die Eindringlinge zusätzlich zu den Steam-Foren auch Zugang zur Steam-Datenbank erhalten haben. Diese Datenbank umfasste Informationen bezüglich Benutzernamen, verschlüsselten Passwörtern (hashed und salted), Spieleinkäufen, E-Mail-Adressen, Rechnungsadressen und verschlüsselten Kreditkarteninformationen. Wir haben keine Hinweise darauf, dass verschlüsselte Kreditkartennummern oder persönliche Kennungsinformationen von den Eindringlingen entwendet wurden oder dass die Verschlüsselung von Kreditkartennummern oder Passwörtern geknackt wurde. Wir ermitteln diesbezüglich weiter.
Zu diesem Zeitpunkt liegen uns keine Anzeichen auf Kreditkartenmissbrauch vor. Sie sollten dennoch Ihre Kreditkartenaktivität und Ihre Kontoauszüge genauestens beobachten.
Wir wissen, dass nur wenige Foren-Accounts tatsächlich beeinträchtigt wurden, aber wir werden alle Forenteilnehmer bei der nächsten Anmeldung bitten, ihr Passwort zu ändern. Falls Sie Ihr Passwort für das Steam-Forum auch auf anderen Benutzerkonten verwendet haben, dann ändern Sie bitte diese Passwörter ebenfalls.
Uns liegen keine Angaben über kompromittierte Steam-Accounts vor, deshalb werden wir keine Änderung der Steam-Account Passwörter forcieren (Foren-Passwörter unterscheiden sich von Steam-Passwörtern). Es wäre dennoch keine schlechte Idee, es trotzdem zu ändern, insbesondere falls Sie für Ihren Foren-Account und Steam-Account das gleiche Passwort verwenden.
Wir werden die Foren baldmöglichst wieder öffnen.
Ich bedauere diese Situation zutiefst und entschuldige mich für die Unannehmlichkeiten.
Gabe.
| Es ist dies der zweite spektakuläre Fall in diesem Jahr, nachdem im Frühling das Playstation Network nach Hacker-Attacken für mehrere Wochen vom Netz genommen werden musste. Sobald das Steam-Forum wieder online ist, werden die Nutzer aufgefordert, ihre Passwörter zu ändern. Für Steam selbst wird das nicht als notwendig erachtet, es sollte allerdings trotzdem durchgeführt werden, wenn dasselbe Passwort wie im Forum genutzt wird.
Update:
Der Chef der Steam-Entwicklungsabteilung, Jason Holtman, sollte gestern Abend auf der London Games Conference 2011 die Eröffnungsrede mit dem Titel "Spieler spielen nicht nur" halten und dabei über Steam und die Philosophie von Valve referieren. Wie nun bekannt wurde, hat er aufgrund der aktuellen Ereignisse seinen Auftritt in letzter Minute abgesagt.
|
|
Zitat:
Original von noogle
Zitat:
Original von Paul der Badevogel
wie gesagt vornerum anonymus hintrum einfache kriminelle die auf kreditkartendaten aus sind um ihr leben vorm monitor zu finanzieren....
|
Ja okay, weil nur Anonymous was von Hacken versteht. Das echt Quatsch
|
exakt!
@Paul der Badevogel: Wenn du wüsstest was Anonymous wirklich ist, dann würdest du hier nicht so eine scheiße schreiben! Mach dich bitte davor schlau, bevor du sowas schreibst! Oder wie man auch sagen mag, wenn man keine Ahnung hat, einfach mal .....
|
|
 11.11.2011, 08:32 Uhr |
|
|
|
ich kanns nicht glauben 
|
|
| 11.11.2011, 08:39 Uhr |
|
|
|
Das waren vermutlich die Schwachmaten von EA/Origin, damit Steam die Kunden weglaufen 
Steam-PW geändert (trotz Steam-Guard) ... was jetzt wirklich bzgl. der Kreditkarten-Daten los ist würde mich auch mal interessieren.
|
|
| 11.11.2011, 08:42 Uhr |
|
|
|
@Carlo
Ich bin auch nicht begeistert was da passiert ist und hab schon in den News zum Forum gesagt, dass es schlimmer kommen könnte als im ersten Moment gedacht ABER was du hier abziehst ist einfach nur noch langweilig. Egal was mit Steam/Valve oder sonstigem zu tun hat, da bist du zur Stelle und meckerst direkt rum.
Warum bist du überhaupt auf einer Fanseite angemeldet wenn du sowieso nur am kritisieren bist? Mach deine eigene Kritikseite auf und alle sind happy!
@Topic:
Ich hoffe die Verschlüsselung war stark genug. Mal schauen was das für ein Nachspiel für Valve haben wird. Auf der einen Seite müssen sie nach dem HL2 Desaster von damals wissen, dass sowas schneller passieren kann als ihnen lieb ist aber auf der anderen Seite wird das nicht gut für Steam aussehen. Vor allem da Origin momentan durch Battlefield am kommen ist...
|
|
| 11.11.2011, 09:01 Uhr |
|
|
|
heftige Scheisse...
gut, finde ich, dass Valve sofort offen kommuniziert und nicht wie Sony wochenlang eine Salami-Taktik fährt.
|
|
| 11.11.2011, 09:05 Uhr |
|
|
|
Zitat:
Original von puro
Deine Daten sind mit Hashs geschützt, also werden mit zufälligen Kombinationen gesichert, weiß aber auch nicht genau wie.
Steam Guard verhindert nur das jemand ohne dein Wissen das Passwort ändert.
|
Ich dachte es verhindert auch dass jemand mit deinem Passwort von einem nicht verifizierten PC aus einloggt? Irre ich mich?
|
|
| 11.11.2011, 09:16 Uhr |
|
|
|
Zitat:
Original von CarIo
Du hast teilweise Recht. Es freut mich, dass meine oft geäußerte Skepsis gegenüber Systemen wie Steam immer mehr Berechtigung findet.
|
Du klammerst dich ja anscheinend an jeden Strohhalm, was das angeht...
Zitat:
Original von CarIo
Im Fall von Valve stelle ich die Aussagen von Gabe ganz besonders in Frage. Er hat sich nicht gerade damit berühmt gemacht, ehrliche Ansagen an den Kunden zu machen. Im Gegenteil. Da wurde gelogen was das Zeug hält. Übrigens nicht nur gegenüber dem Kunden, sondern auch gegenüber potenziellen Geschäftspartnern und das in aller Öffentlichkeit.
|
Und was meinst du damit konkret?
Nenne einen konkreten Fall und bringe Beweise vor!
|
|
| 11.11.2011, 09:32 Uhr |
|
|
|
Mist.
Naja, ich hoffe mal, dass meine ewig langen, nur einmal benutzten Passwörter in Verbidnung mit Steam Guard und Co mich jetzt nicht im Stich lassen.
Will doch später Skyrim spielen können.=/
|
|
| 11.11.2011, 09:38 Uhr |
|
|
|
Zitat:
Original von Miphois
Zitat:
Original von puro
Deine Daten sind mit Hashs geschützt, also werden mit zufälligen Kombinationen gesichert, weiß aber auch nicht genau wie.
Steam Guard verhindert nur das jemand ohne dein Wissen das Passwort ändert.
|
Ich dachte es verhindert auch dass jemand mit deinem Passwort von einem nicht verifizierten PC aus einloggt? Irre ich mich?
|
Stimmt, das natürlich auch! 
|
|
| 11.11.2011, 09:59 Uhr |
|
|
|
Zitat:
Original von Miphois
Zitat:
Original von puro
Deine Daten sind mit Hashs geschützt, also werden mit zufälligen Kombinationen gesichert, weiß aber auch nicht genau wie.
Steam Guard verhindert nur das jemand ohne dein Wissen das Passwort ändert.
|
Ich dachte es verhindert auch dass jemand mit deinem Passwort von einem nicht verifizierten PC aus einloggt? Irre ich mich?
|
Korrekt. Durch Steam Guard kann nichts passieren. Das Accountpasswort lässt sich zudem nur durch Verifizierung per E-Mailadresse ändern. Wer keinen Zugriff auf das Mailkonto hat, kanns so lange versuchen, wie er will.
|
|
| 11.11.2011, 09:59 Uhr |
|
|
|
Zitat:
Original von Paul der Badevogel
wie gesagt vornerum anonymus hintrum einfache kriminelle die auf kreditkartendaten aus sind um ihr leben vorm monitor zu finanzieren....
|
>implying anonymous did this
|
|
| 11.11.2011, 10:16 Uhr |
|
|
|
Edit. Offenbar hats bei mir vorher den halben Text verschluckt 
Ich hab vorhin mit nem Arbeiskollegen von mir darüber gesprochen. Er meinte ich hab Steam Guard mir kann nix passieren.
Darauf ich, ja nur gibts Idioten die beim Mailaccount das selbe Passwort verwenden und der Schutz damit ja im Eimer ist. Da wurde er plötzlich sprachlos. Ich glaube er ändert gerade sein Passwort bei seinem Mailaccount. 
|
|
| 11.11.2011, 10:45 Uhr |
|
|
|
Zitat:
Original von Paul der Badevogel
wie gesagt vornerum anonymus hintrum einfache kriminelle die auf kreditkartendaten aus sind um ihr leben vorm monitor zu finanzieren....
|
Wer sagt dass das Anonymous war? Und dazu kommt noch dass Anonymous keine zentralisierte Gruppe ist, sondern komplet dezentralisiert, sodass man sie nicht kollektif beurteilen soll. Informier dich lieber
|
|
| 11.11.2011, 12:30 Uhr |
|
|
|
Ich als ITler sehe das relativ gelassen. Die Hashes mit Salt knacken dürfte auch mit ner Rainbowtable (und bisher gibts nur für MD5 vollständige rainbowtables) 30 Minuten pro Passwort dauern. Hunderte von Gigabyte durchsuchen sich nicht in wenigen sekunden. Der Salt machts da auch nicht besser. Und ich denke Valve wird schon SHA256 aufwärts nutzen. Da kann man dann auch John the Ripper vergessen, der knabbert daran elendig lange, auch wenn man viel Rechenpower hat. In einer Woche knackt man damit vielleicht 100 Passwörter, wenn man die Hashes und den Salt hat. Und in de Zeit dürften wohl alle Steamguard aktiviert oder ihr PW geändert haben.
Die Kreditkarteninformationen sind heikel, aber die Infos liegen im Klartext nur auf den Servern der jeweiligen Kreditinstitute. Valves server schicken nur einen Request mit den Verschlüsselten Informationen. Die Chance das da was entschlüsselt wird ist gegeben, aber wenn man sowieso 2 mal die woche auf sein Konto guckt is das Händelbar. Zumal ich persönlich ein Passwort auf die Karte habe - das muss man auch kennen, wenn man im Netz mit meiner Karte shoppen will.
Steam- und Mail-passwort habe ich jeweils verlängert. Außerdem hab ich das verwendete Mailkonto geändert. Das alte hatte keine zwei-wege-authentifizierung per SMS, das neue schon. Macht Steamguard noch etwas sicherer: Entweder die klauen meine Rechner, oder sie klauen mir mein Handy und erraten die Passwörter.
Wahrscheinlichkeit: Lottogewinn und vom Blitzgetroffen werden gleichzeitg...
Das die Steamguard knacken oder die zwei-wege-auth von googlemail umgehen halte ich für genauso wahrscheinlich.
Ergo: Ich bin sicher. Und meine Kreditkarte dürfte ebenfalls sicher sein, die werd ich aber trotzdem im Auge behalten.
Hacks passieren nunmal. Die Frage ist: Was bringt es den Hackern? Den Hash meines Passworts habe ich wertlos gemacht, mein Mailkonto können sie von mir aus hacken, bringt denen nichts. Das neue Konto ist denen unbekannt und schwerer anzugreifen. Meine Kreditkarte kann ich jederzeit sperren lassen. Also: Wayne.
|
|
| 11.11.2011, 13:19 Uhr |
|
|
|
Das ist der Anfang vom Ende der Online-Spieleplattformen.
|
|
| 11.11.2011, 13:21 Uhr |
|
|
|
Eins muss man Valve lassen, die verstecken und verheimlichen nichts und warnen alle davor, auch wenn es bisher keine Hinweise auf Missbrauch gibt.
Man sollte dennoch sicherheitshalber Passwort ändern.
|
|
| 11.11.2011, 13:28 Uhr |
|
|
|
Ich sehs generell so wie mein Vorredner MilkFreeze. Was mich allerdings grade massiv stört ist, dass mittlerweile von offizieller Stelle (d.h. von Valve) _nichts_ mehr dazu zu lesen ist. Ich wurde von einem Kumpel vorhin erst auf die Entwicklungen in diesem Fall hingewiesen und suche grad intensiv nach irgendeiner Stellungnahme von Valve auf deren _eigenen_ Seiten. Auch im Steam-Client habe ich keinen wie auch immer gearteten Hinweis auf den Vorfall gefunden.
Wenn Valve jetzt aus Publicity-Gründen Dinge verschweigen sollte, hat die Firma für mich (und wohl für einige andere) einen großen Teil des über die Jahre erworbenen Vertrauens verspielt, immerhin geht es hier um sehr sensible Daten. Das wäre sehr schade für alle Beteiligten.
|
|
| 11.11.2011, 13:31 Uhr |
|
|
|
|
| 11.11.2011, 13:34 Uhr |
|
|
|
Zitat:
Original von Bammes
Ich sehs generell so wie mein Vorredner MilkFreeze. Was mich allerdings grade massiv stört ist, dass mittlerweile von offizieller Stelle (d.h. von Valve) _nichts_ mehr dazu zu lesen ist. Ich wurde von einem Kumpel vorhin erst auf die Entwicklungen in diesem Fall hingewiesen und suche grad intensiv nach irgendeiner Stellungnahme von Valve auf deren _eigenen_ Seiten. Auch im Steam-Client habe ich keinen wie auch immer gearteten Hinweis auf den Vorfall gefunden.
Wenn Valve jetzt aus Publicity-Gründen Dinge verschweigen sollte, hat die Firma für mich (und wohl für einige andere) einen großen Teil des über die Jahre erworbenen Vertrauens verspielt, immerhin geht es hier um sehr sensible Daten. Das wäre sehr schade für alle Beteiligten.
|
Es gibt auch firmen die sowas erst Kommunizieren, wenn der Fall geklärt ist und die Admins wissen was genau gelesen bzw manipuliert wurde. Da gibt dann ne entschuldigung, versprechen auf besseres und fertig. Anderer weg: Panikmache. Zwang neues Passwort, steam server abschalten, Systeme dicht machen, forum und steamstore auf Maintenance seiten schalten, rundmail: "Hack, wir arbeiten dran". Ergebnis in beiden fällen: Vertrauensverlust.
Im letzten Fall haben wir dazu noch eine Panik.
Ein Hack passiert halt. Und Valve hat gerade andere sorgen, als die Nutzer über genaures zu informieren. Das ganze ist doch in allen Medien. Heise, Golem, das HLPortal und sogar einige normale Zeitungen (bzw deren Webseiten) berichten davon. Das wird in andern Ländern nicht anders sein. Was willst du also mehr? Ich hab davon erfahren als ich in der Mittagspause meine Standard-news-seiten durchforstet hab, wie ich das jeden tag mache. Informationspoliitik ist allerding heikel ja. Und eine Mail an jeden Steamaccount und eine Meldung auf der Homepage hätte geholfen, aber so oder so erfahren alle davon.
|
|
| 11.11.2011, 13:38 Uhr |
|
|
|
Angebliche Mail von Gabe Newell.
Also bei 256Bit-Verschlüsselung muss man sich ja keine Sorgen machen. Ein Rechner mit 1000 Berechnungen pro Sekunde bräuchte zum Erraten eines Schlüssels über den Daumen gepeilt 10^75 (eine Dodezilliarde) Jahre.
Ausserdem... inoffizielle Bestätigung, dass Dota2 nicht F2P wird (wenns kein Fake is)?
|
|
| 11.11.2011, 13:46 Uhr |
|
Du musst dich einloggen, um Kommentare schreiben zu können Du hast nicht die erforderlichen Rechte einen Kommentar zu schreiben.
Solltest du eine Account-Strafe haben, findest du nähere Informationen in deinem Profil unter Verwarnungen.
|
|
|
|
