Steam bestätigt 34.000 falsch ausgelieferte Profilseiten

Eine Panne der Spieleplattform Steam am ersten Weihnachtsfeiertag betraf konkret rund 34.000 Nutzer. Das teilt Betreiber Valve jetzt mit. Der zunächst eingeräumte „Konfigurationsfehler“ sei in Reaktion auf einen Denial-of-Service-Angriff (DoS) passiert. DoS-Angriffe seien für Steam aber fast alltägliche Routine.

Welche Anwenderdaten genau eingesehen wurden, ermittelt Steam noch. Es können aber nur Nutzer betroffen sein, die sich selbst am ersten Weihnachtsfeiertag einloggten und deren Profilseiten sich im Cache befanden, von wo aus sie fälschlich an Fremde ausgeliefert worden sein könnten. Auch müssen sie im fraglichen Zeitraum selbst auf ihre Profilseiten zugegriffen haben.

Die möglicherweise eingesehenen Inhalte variierten abhängig von der Seite, schlossen aber teilweise die Rechnungsadresse, die letzten vier Nummern der für eine Wiederherstellung hinterlegten Telefonnummer, bisherige Käufe, die letzten zwei Ziffern der Kreditkartennummer und die E-Mail-Adresse ein. Dies erklärt Valve auf seiner Website. „Die gecachten Seiten enthielten keine vollen Kreditkartennummern, Passwörter oder ausreichend Daten, um sich als ein anderer Anwender einzuloggen oder eine Transaktion abzuschließen.“

Die genauere Erforschung gestaltet sich schwierig, weil Steam mit Caching-Partnern ermitteln muss, welche Seiten diese vorhielten. Wenn konkrete Ergebnisse vorliegen, will man die Betroffenen informieren.

DoS-Angriffen ist Steam laut Valve oft ausgesetzt. Ein Jahresabschlussrabatt und verfügbare Freizeit sorgten an Weihnachten aber ohnehin schon für erhöhte Besucherzahlen. Am ersten Feiertag registrierte Steam bis zu 10,6 Millionen gleichzeitig zugreifende Nutzer. Stand Februar gab es insgesamt 125 Millionen aktive Nutzer, die auf Steam Spiele kaufen, herunterladen und kommunizieren können.

Der eigentliche Vorfall trat „während der zweiten Angriffswelle“ auf. Man habe eine zweite Cache-Konfiguration ausgerollt, die eingeloggte User mit den falschen Seiten aus dem Cache belieferte. „Die fehlerhaften Reaktionen unterschieden sich. Manche Anwender sahen die Startseite des Store in der falschen Sprache, manche aber Kontoseiten eines anderen Anwenders.“

Als der Fehler erkannt war, schaltete Steam seinen Store vorübergehend ab und behob den Fehler. Für die Zukunft verspricht es weitere Verbesserungen und Sicherheitsmaßnahmen.

Der Vorfall wirkt im Rückblick vergleichsweise harmlos. Allerdings hatte Steam zwei Wochen zuvor gewarnt, jeden Monat würden bis zu 77.000 Konten von Steam-Nutzern entführt sowie ihre digitale Ausrüstung gestohlen oder verkauft. „Es wird inzwischen ausreichend Geld im System bewegt, dass Stehlen virtueller Güter auf Steam ein echtes Geschäft für fähige Hacker geworden ist.“ Betroffen seien nicht etwa naive Nutzer, sondern Profispieler und auch Händler. Als Konsequenz führte Steam eine Zwei-Faktor-Authentifizierung ein, schuf den Steam Guard Mobile Authenticator für die Absicherung digitaler Verkäufe, schloss Schlupflöcher und verbesserte sein Warnsystem.

[mit Material von Corinne Reichert, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de