Categories: Sicherheit

Steam bestätigt 34.000 falsch ausgelieferte Profilseiten

Eine Panne der Spieleplattform Steam am ersten Weihnachtsfeiertag betraf konkret rund 34.000 Nutzer. Das teilt Betreiber Valve jetzt mit. Der zunächst eingeräumte „Konfigurationsfehler“ sei in Reaktion auf einen Denial-of-Service-Angriff (DoS) passiert. DoS-Angriffe seien für Steam aber fast alltägliche Routine.

Welche Anwenderdaten genau eingesehen wurden, ermittelt Steam noch. Es können aber nur Nutzer betroffen sein, die sich selbst am ersten Weihnachtsfeiertag einloggten und deren Profilseiten sich im Cache befanden, von wo aus sie fälschlich an Fremde ausgeliefert worden sein könnten. Auch müssen sie im fraglichen Zeitraum selbst auf ihre Profilseiten zugegriffen haben.

Die möglicherweise eingesehenen Inhalte variierten abhängig von der Seite, schlossen aber teilweise die Rechnungsadresse, die letzten vier Nummern der für eine Wiederherstellung hinterlegten Telefonnummer, bisherige Käufe, die letzten zwei Ziffern der Kreditkartennummer und die E-Mail-Adresse ein. Dies erklärt Valve auf seiner Website. „Die gecachten Seiten enthielten keine vollen Kreditkartennummern, Passwörter oder ausreichend Daten, um sich als ein anderer Anwender einzuloggen oder eine Transaktion abzuschließen.“

Die genauere Erforschung gestaltet sich schwierig, weil Steam mit Caching-Partnern ermitteln muss, welche Seiten diese vorhielten. Wenn konkrete Ergebnisse vorliegen, will man die Betroffenen informieren.

DoS-Angriffen ist Steam laut Valve oft ausgesetzt. Ein Jahresabschlussrabatt und verfügbare Freizeit sorgten an Weihnachten aber ohnehin schon für erhöhte Besucherzahlen. Am ersten Feiertag registrierte Steam bis zu 10,6 Millionen gleichzeitig zugreifende Nutzer. Stand Februar gab es insgesamt 125 Millionen aktive Nutzer, die auf Steam Spiele kaufen, herunterladen und kommunizieren können.

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Der eigentliche Vorfall trat „während der zweiten Angriffswelle“ auf. Man habe eine zweite Cache-Konfiguration ausgerollt, die eingeloggte User mit den falschen Seiten aus dem Cache belieferte. „Die fehlerhaften Reaktionen unterschieden sich. Manche Anwender sahen die Startseite des Store in der falschen Sprache, manche aber Kontoseiten eines anderen Anwenders.“

Als der Fehler erkannt war, schaltete Steam seinen Store vorübergehend ab und behob den Fehler. Für die Zukunft verspricht es weitere Verbesserungen und Sicherheitsmaßnahmen.

Der Vorfall wirkt im Rückblick vergleichsweise harmlos. Allerdings hatte Steam zwei Wochen zuvor gewarnt, jeden Monat würden bis zu 77.000 Konten von Steam-Nutzern entführt sowie ihre digitale Ausrüstung gestohlen oder verkauft. „Es wird inzwischen ausreichend Geld im System bewegt, dass Stehlen virtueller Güter auf Steam ein echtes Geschäft für fähige Hacker geworden ist.“ Betroffen seien nicht etwa naive Nutzer, sondern Profispieler und auch Händler. Als Konsequenz führte Steam eine Zwei-Faktor-Authentifizierung ein, schuf den Steam Guard Mobile Authenticator für die Absicherung digitaler Verkäufe, schloss Schlupflöcher und verbesserte sein Warnsystem.

[mit Material von Corinne Reichert, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago