Steam bestätigt 34.000 falsch ausgelieferte Profilseiten

Während der zweiten Welle eines Denial-of-Service-Angriffs wurde eine falsche Cache-Konfiguration eingerichtet. Solche Attacken sind für Steam Tagesgeschäft. Die betroffenen Nutzer ermittelt es zusammen mit Caching-Partnern und benachrichtigt sie anschließend.

Eine Panne der Spieleplattform Steam am ersten Weihnachtsfeiertag betraf konkret rund 34.000 Nutzer. Das teilt Betreiber Valve jetzt mit. Der zunächst eingeräumte „Konfigurationsfehler“ sei in Reaktion auf einen Denial-of-Service-Angriff (DoS) passiert. DoS-Angriffe seien für Steam aber fast alltägliche Routine.

(Logo: Steam)Welche Anwenderdaten genau eingesehen wurden, ermittelt Steam noch. Es können aber nur Nutzer betroffen sein, die sich selbst am ersten Weihnachtsfeiertag einloggten und deren Profilseiten sich im Cache befanden, von wo aus sie fälschlich an Fremde ausgeliefert worden sein könnten. Auch müssen sie im fraglichen Zeitraum selbst auf ihre Profilseiten zugegriffen haben.

Die möglicherweise eingesehenen Inhalte variierten abhängig von der Seite, schlossen aber teilweise die Rechnungsadresse, die letzten vier Nummern der für eine Wiederherstellung hinterlegten Telefonnummer, bisherige Käufe, die letzten zwei Ziffern der Kreditkartennummer und die E-Mail-Adresse ein. Dies erklärt Valve auf seiner Website. „Die gecachten Seiten enthielten keine vollen Kreditkartennummern, Passwörter oder ausreichend Daten, um sich als ein anderer Anwender einzuloggen oder eine Transaktion abzuschließen.“

Die genauere Erforschung gestaltet sich schwierig, weil Steam mit Caching-Partnern ermitteln muss, welche Seiten diese vorhielten. Wenn konkrete Ergebnisse vorliegen, will man die Betroffenen informieren.

DoS-Angriffen ist Steam laut Valve oft ausgesetzt. Ein Jahresabschlussrabatt und verfügbare Freizeit sorgten an Weihnachten aber ohnehin schon für erhöhte Besucherzahlen. Am ersten Feiertag registrierte Steam bis zu 10,6 Millionen gleichzeitig zugreifende Nutzer. Stand Februar gab es insgesamt 125 Millionen aktive Nutzer, die auf Steam Spiele kaufen, herunterladen und kommunizieren können.

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Der eigentliche Vorfall trat „während der zweiten Angriffswelle“ auf. Man habe eine zweite Cache-Konfiguration ausgerollt, die eingeloggte User mit den falschen Seiten aus dem Cache belieferte. „Die fehlerhaften Reaktionen unterschieden sich. Manche Anwender sahen die Startseite des Store in der falschen Sprache, manche aber Kontoseiten eines anderen Anwenders.“

Logo von Valve (Bild: Valve)Als der Fehler erkannt war, schaltete Steam seinen Store vorübergehend ab und behob den Fehler. Für die Zukunft verspricht es weitere Verbesserungen und Sicherheitsmaßnahmen.

Der Vorfall wirkt im Rückblick vergleichsweise harmlos. Allerdings hatte Steam zwei Wochen zuvor gewarnt, jeden Monat würden bis zu 77.000 Konten von Steam-Nutzern entführt sowie ihre digitale Ausrüstung gestohlen oder verkauft. „Es wird inzwischen ausreichend Geld im System bewegt, dass Stehlen virtueller Güter auf Steam ein echtes Geschäft für fähige Hacker geworden ist.“ Betroffen seien nicht etwa naive Nutzer, sondern Profispieler und auch Händler. Als Konsequenz führte Steam eine Zwei-Faktor-Authentifizierung ein, schuf den Steam Guard Mobile Authenticator für die Absicherung digitaler Verkäufe, schloss Schlupflöcher und verbesserte sein Warnsystem.

[mit Material von Corinne Reichert, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Datendiebstahl, E-Commerce, Valve

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Steam bestätigt 34.000 falsch ausgelieferte Profilseiten

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *