Die Computerspiele-Vertriebsplattform Steam hat eine Lücke geschlossen, die auf verblüffend einfache Weise die Übernahme von Nutzerkonten erlaubte. Ein Angreifer musste lediglich den Kontonamen kennen, um über die Passwortwiederherstellung das bisherige Passwort zu ändern. Zu den Opfern zählten insbesondere prominente Gamer, die über die Live-Video-Plattform Twitch streamen.
Auf Twitch zeigte ein Spieler, dass der Kontodiebstahl kaum mehr als ein Kinderspiel war. Beim Verfahren der Passwortwiederherstellung sieht Valve eigentlich die Eingabe eines Codes vor, der dem Kontoinhaber per E-Mail übersandt wird. Tatsächlich aber konnte das Passwort auch ohne diesen Code geändert werden. Es genügte, das dafür gedachte Eingabefeld leer zu lassen – und das gewünschte neue Passwort wurde angenommen.
Angreifer haben schon länger ein ausgeprägtes Interesse an der Übernahme von Steam-Konten, da virtuelle Güter aus den Videospielen auch gegen Bares gehandelt werden. Die Opfer sind außerdem in Gefahr, all ihre gekauften Spiele zu verlieren, wenn der falsche Kontoinhaber gegen die Steam-Regeln verstößt und damit eine möglicherweise dauerhafte Sperrung auslöst.
Valve räumte gegenüber Kotaku ein, dass der Fehler „zwischen dem 21. und 25 Juli einen Teil der Steam-Konten“ betraf. „Um die Nutzer zu schützen, setzen wir die Passwörter von Konten zurück, bei denen verdächtige Passwortänderungen vorkamen oder die anderweitig betroffen sein könnten.“ Den betroffenen Nutzer will Valve eine E-Mail mit einem neuen Passwort schicken. Nach Empfang der Nachricht sollen sie sich mit dem Steam-Client bei ihrem Konto anmelden und ein neues Passwort festlegen.
Das Passwort selbst sei nicht enthüllt worden, auch wenn es geändert werden konnte, spielt Valve das von ihm verursachte Problem herunter. In seiner Stellungnahme verweist es außerdem auf die zusätzliche Sicherheitsstufe Steam Guard, die trotz der Sicherheitslücke eine Kontoübernahme hätte verhindern können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
