Die Computerspiele-Vertriebsplattform Steam hat eine Lücke geschlossen, die auf verblüffend einfache Weise die Übernahme von Nutzerkonten erlaubte. Ein Angreifer musste lediglich den Kontonamen kennen, um über die Passwortwiederherstellung das bisherige Passwort zu ändern. Zu den Opfern zählten insbesondere prominente Gamer, die über die Live-Video-Plattform Twitch streamen.
Auf Twitch zeigte ein Spieler, dass der Kontodiebstahl kaum mehr als ein Kinderspiel war. Beim Verfahren der Passwortwiederherstellung sieht Valve eigentlich die Eingabe eines Codes vor, der dem Kontoinhaber per E-Mail übersandt wird. Tatsächlich aber konnte das Passwort auch ohne diesen Code geändert werden. Es genügte, das dafür gedachte Eingabefeld leer zu lassen – und das gewünschte neue Passwort wurde angenommen.
Angreifer haben schon länger ein ausgeprägtes Interesse an der Übernahme von Steam-Konten, da virtuelle Güter aus den Videospielen auch gegen Bares gehandelt werden. Die Opfer sind außerdem in Gefahr, all ihre gekauften Spiele zu verlieren, wenn der falsche Kontoinhaber gegen die Steam-Regeln verstößt und damit eine möglicherweise dauerhafte Sperrung auslöst.
Valve räumte gegenüber Kotaku ein, dass der Fehler „zwischen dem 21. und 25 Juli einen Teil der Steam-Konten“ betraf. „Um die Nutzer zu schützen, setzen wir die Passwörter von Konten zurück, bei denen verdächtige Passwortänderungen vorkamen oder die anderweitig betroffen sein könnten.“ Den betroffenen Nutzer will Valve eine E-Mail mit einem neuen Passwort schicken. Nach Empfang der Nachricht sollen sie sich mit dem Steam-Client bei ihrem Konto anmelden und ein neues Passwort festlegen.
Das Passwort selbst sei nicht enthüllt worden, auch wenn es geändert werden konnte, spielt Valve das von ihm verursachte Problem herunter. In seiner Stellungnahme verweist es außerdem auf die zusätzliche Sicherheitsstufe Steam Guard, die trotz der Sicherheitslücke eine Kontoübernahme hätte verhindern können.
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…
