> > > > Steam-Ausfall: DoS-Attacken sollen 34.000 Nutzerdaten offengelegt haben

Steam-Ausfall: DoS-Attacken sollen 34.000 Nutzerdaten offengelegt haben

DruckenE-Mail
Erstellt am: von

steamWenige Tage nach dem Start des Winter-Sales auf Valves digitaler Spielevertriebsplattform Steam berichteten zahlreiche Nutzer von einem gravierenden Datenleck bzw. Sicherheitsproblem. Wer sich in den späten Abendstunden des zweiten Weihnachtsfeiertages auf der Plattform einloggte, bekam unter Umständen die Account-Daten eines anderen Steam-Nutzers angezeigt – darunter auch sensible Daten wie verfügbares Steam-Guthaben, die E-Mail-Adresse, Handy-Nummer oder aber die Kreditkartennummer. Auch die Kauf-Historie konnte eingesehen werden. Die Daten wurden jedoch unvollständig ausgespielt.

Gegen 23:00 Uhr deutscher Zeit schaltete Valve den Steam Store komplett ab und gab wenige Stunden später bekannt, dass es sich um ein Caching-Problem gehandelt habe, Nutzer keine nicht autorisierten Käufe über ihre Kreditkarten oder das Steam-Guthaben zu befürchten hätten. Die Änderung des eigenen Passwortes wurde ebenfalls nicht empfohlen. Nun wurde Valve konkreter und nannte in einem Blogbeitrag weitere Details zum Vorfall.

Mehrere Hackerangriffe haben Caching-Fehler hervorgerufen

Anders als zuvor angenommen, seien ein oder mehrere Hackerangriffe für den Caching-Fehler verantwortlich gewesen. Bislang nannte man eine Konfigurationsänderung an den Servern als Ursache dafür, dass zufällige Nutzerdaten ausgespielt wurden. Laut Valve habe es am 25. Dezember mehrere DoS-Attacken (Denial of Service) auf die Server der Plattform gegeben. Solche Angriffe sind für die Betreiber fast alltäglich, in der Regel bekämen Nutzer davon jedoch nicht viel mit. Auf Antwort auf die Attacken habe man die Caching-Regeln eines Partners eingesetzt, um die Auswirkungen auf die eigenen Server zu minimieren und den Traffic der tatsächlichen Nutzer richtig routen zu können.

In einer zweiten Angriffswelle wurde die Caching-Konfiguration verändert, die jedoch den Web-Traffic der authentifizierten Benutzer inkorrekt gecached hatte. Dieser Konfigurationsfehler soll schlussendlich dazu geführt haben, dass einige Benutzer die Daten anderer angezeigt bekamen. Als Steam den Fehler bemerkte, wurde der Store komplett vom Netz und erst wieder online genommen als alle Sever die richtige Konfiguration hatten. Während der Angriffe soll die Plattform einen 2.000 % höheren Traffic verzeichnet haben. Der Vorfall soll sich laut Steam zwischen 11:50 und 13:20 Uhr US-Westküstenzeit und damit in den späten Abendstunden unserer Zeit ereignet haben.

34.000 betroffene Nutzer sollen benachrichtigt werden

Während des 90 minütigen Zeitfensters seien etwa 34.000 Accountdaten falsch ausgeliefert worden. Laut Valve sollen die Daten jedoch nicht vollständig einsehbar und zensiert ausgespielt worden sein. Lediglich die letzten vier Ziffern der hinterlegten Telefonnummer für den Steam Guard und die letzten beiden Ziffern der Kreditkartennummer sollen angezeigt worden sein – die Daten wären damit unbrauchbar gewesen und hätten nicht für einen Missbrauch eingesetzt werden können. Außerdem hätten Nutzer, die sich nicht während dieses Zeitraums eingeloggt haben, nichts zu befürchten – deren Accountdaten hätten sich nicht im Cache befunden.

Valve will alle betroffenen Nutzer über den Vorfall informieren. Die Identifizierung dieser erfolge derzeit mit Hochdruck in Zusammenarbeit mit den Caching-Partnern. Trotzdem betont man weiterhin, dass keinerlei Handlungsbedarf bestehe und entschuldigt sich für den Vorfall.

Social Links

Kommentare (14)

#5
customavatars/avatar95761_1.gif
Registriert seit: 27.07.2008

Fregattenkapitän
Beiträge: 2580
Zitat ASCI3;24182275


Also alles halb so schlimm meine letzen 2 kreditkartennummern sind 58, viel spass damit ihr bösen kriminellen.


Das ist das was du am Bildschirm siehst. Die Vollständige Nummer ist natürlich im System hinterlegt und wenn das gehackt wird...Zudem kann bei einem Systemausfall, diese Sperre oder Zensierung ebenfalls ausfallen.
Und man kann durchaus von deinem Konto Geld abbuchen, wenn man deine Daten hat. Heute ist alles schon online geregelt und mit der richtigen Täuschung geht das.
Hatte da selber einen Fall bei mir, wo mir Geld abgezogen worden ist, von dem ich absolut nicht wusste woher.
Alle 6 Monate wurden 15,37 Euro abgebucht. Erst als ich bei der Bank war und mir den letzten Betrag rückbuchen lies, hörte es plötzlich auf. Ein Fehler oder bewusst ? Die Bank konnte mir auch nicht sagen von wo dieser Auftrag gekommen ist, nur das es eine Onlinefirma sei und die dürfen von deinem Konto Geld abbuchen. Eine Scheinfirma ??

Mag sein, das die Sicherheit verschärft worden ist, aber es gibt irgendwann immer einen Weg, den kriminelle finden, weil sie soviel Zeit zum Suchen und Sammeln haben.
#6
customavatars/avatar205813_1.gif
Registriert seit: 05.05.2014
Hessen
Stabsgefreiter
Beiträge: 357
ich nutze diesen rotz nicht...ist wie facebook...niemand brauchts..
#7
Registriert seit: 30.11.2012

Banned
Beiträge: 529
Möglichkeiten gibt es immer, aber sehr unwarscheinlich.

Sobald ich eine verdächtige transaktion habe stehe ich sofort in der bank auf der matte. Die haben mich sogar einmal angerufen weil die psa finance bei mir geld abbuchen wollte obwohl das in ordnung war. Aber ja man muss regelmässig wenn man nen kontoauszug holt gleich nachharken.

Aber wie gesagt wenn alles verschlüsselt ist ist es hakb so wild.
#8
Registriert seit: 12.01.2013

Bootsmann
Beiträge: 606
Wen ich mir Online was kaufe hol ich mir von der Tanke nebenan eine paysafecard.
Habe nirgends meine Bankdaten hinterlegt.
Nutze auch kein Onlinebanking.
#9
customavatars/avatar215183_1.gif
Registriert seit: 01.01.2015
Europäische Union - Bairischer Sprachraum
Kapitänleutnant
Beiträge: 1550
Zitat Artikel
Außerdem hätten Nutzer, die sich nicht während dieses Zeitraums eingeloggt haben, nichts zu befürchten – deren Accountdaten hätten sich nicht im Cache befunden.

Danke für diese Information, dies hat mich wieder beruhigt, denn ich war schon mehrere Monate nicht mehr Online eingeloggt.

Erst kürzlich habe ich einen Artikel darüber gelesen wie viele Daten letzte Jahr gestohlen wurden, wer glaubt das er betroffen ist sollte sich dies durchlesen : Zu einfache Passwörter: HPI zählt 2015 rund 35 Millionen gestohlene Identitätsdaten
Dort könnte ich überprüfen lassen ob ihr ein opfer davon seit : https://sec.hpi.de/leak-checker/search
#10
customavatars/avatar192294_1.gif
Registriert seit: 21.05.2013
in the middle of berlin
Oberbootsmann
Beiträge: 827
@Olaf16
ne - das ist ja gerade das schöne - du musst dich mit dem gerät einmalig individuell auf deinem konto online anmelden - und dann geht es auch nur mit DIESEM! konto und DIESEM gerät (einmalige registrierung)
danach wird dir jedesmal beim o-banking bei jeder transaktion die du tätigst, optional zur schriftlichen TAN eine grafik angezeigt, die du dann mit diesem kleinen endgerät einscannst - dann erzeugt es eine eigene TAN die du dann eingibst und das wars...

[ATTACH=CONFIG]346558[/ATTACH]

wenn dich das ganze mehr interessiert (ohne werbung machen zu wollen), kannst du dir das hier mal genau anschauen:
https://www.berliner-bank.de/download/bedienungsanleitung_phototan-lesegeraet.pdf

das gerät kostet je nach bank so um die 10-15 euro
das photoTAN verfahren soll momentan das "sicherste" sein (nach dem letzten hack beim online banking)
ich rate allerdings davon ab, das über das smartphone zu machen da dort wieder eine app installiert werden muß, die man auch wieder hacken kann!
auf dem pc mußt du nix installieren - da scannst du einfach die grafik, diese erzeugt auf dem gerät eine TAN, und diese gibst du dann ein...
#11
customavatars/avatar60791_1.gif
Registriert seit: 25.03.2007
Heidelberg
Fregattenkapitän
Beiträge: 2611
Bei der Sparkasse gibt es sowas ähnliches. Die Grafik besteht aus weißen und schwarzen balken, die sich ständig ändern. Da muss man dann das Gerät ein paar Sekunden an den Bildschirm halten, eine Übertragung findet statt, IBAN und der Betrag werden auf dem Gerät nochmals angezeigt zur Überprüfung und anschließend wird eine Tan generiert, die man dann eintippen muss.
#12
customavatars/avatar189120_1.gif
Registriert seit: 25.02.2013

Flottillenadmiral
Beiträge: 5298
ChipTAN nennt sich das bei der Sparkasse, photoTAN scheint so ähnlich zu sein.
#13
customavatars/avatar192294_1.gif
Registriert seit: 21.05.2013
in the middle of berlin
Oberbootsmann
Beiträge: 827
@RevoX81
ne - ist was völlig anderes (chipTAN) - geht nur in der kombination mit ner zusätzlichen karte

edit:
lese dir doch bitte meinen link unter post #11 durch! (ab seite 7 im PDF)
da ergibt es sich eindeutig, was das photoTAN verfahren ist
#14
Registriert seit: 05.03.2007

Kapitän zur See
Beiträge: 3311
Steam mit Facebook vergleichen.
Bisher der Lacher des Jahres.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Kommentar: Pokémon Go bringt die Smombies auf den Vormarsch

Logo von IMAGES/STORIES/LOGOS-2016/POKEMON_GO_LOGO

Sicherlich lassen sich meine Erfahrungen von Sonntag nicht zwangsläufig auf ganz Deutschland übertragen, dennoch stelle ich folgende Behauptung auf: Am vergangenen Wochenende zog es vielerorts deutlich mehr Menschen auf die Straßen als noch in den Tagen zuvor. Schuld daran war nicht nur das... [mehr]

Microsoft Cortana wehrt sich gegen "sexuelle Belästigung"

Logo von IMAGES/STORIES/LOGOS-2015/MICROSOFT_CORTANA_BUTTON

Menschen sind neugierig, wenn künstliche Intelligenz ins Spiel kommt. Man probiert aus, stellt absurde Fragen, prüft, ob die K. I. Humor hat oder lotet die Grenzen aus, bis sie bei Ironie und Sarkasmus nicht mehr weiter weiß. Auch ist bekannt, dass Apples Sprachassistentin Siri etwa durchaus... [mehr]

WhatsApp wird dauerhaft kostenlos

Logo von IMAGES/STORIES/LOGOS-2013/WHATSAPP

Kaum eine Anwendung dürfte Mobilfunkanbieter derart viel Geld gekostet haben wie WhatsApp. Denn seit dem Start im Jahr 2009 steigt die Zahl der über den Dienst verschickten Nachrichten kontinuierlich, vor allem auf Kosten der ehemals so lukrativen SMS. Für die Gründer hat sich das längst... [mehr]

Harvester Messenger vereint fast alle Messenger in einer App

Logo von IMAGES/STORIES/LOGOS-2016/HARVESTER_LOGO

Früher hatte sicher jeder einige Multimessenger in Benutzung, die namensgebend viele verschiedene Messenger-Protokolle in einem Programm vereinten. So konnten Nutzer gleichzeitig via icq, AIM oder XMPP (Jabber) kommunizieren. Die aktuelle Messengerlandschaft hat sich zwar stark gewandelt, doch im... [mehr]

Pokémon Go offiziell in Deutschland erhältlich – erstes Update für iOS

Logo von IMAGES/STORIES/LOGOS-2016/POKEMON_GO_LOGO

Bis vor wenigen Stunden war Pokémon Go nur über Umwege in Deutschland spielbar. Besitzer eines Android-Smartphones mussten sich über Umwege die APK-Datei beschaffen und diese durch Aushebelung der Drittanbieter-Sperre auf ihrem Gerät installieren. Etwas schwieriger war das unter iOS – hier... [mehr]

Kommentar: Google bedient sich bei den Nachbarn

Logo von IMAGES/STORIES/LOGOS-2016/GOOGLE_IO_2016

Um es politisch unkorrekt zu formulieren: Das beste nach jeder großen Keynote sind die Jubelperser. Egal, was das Unternehmen ankündigt, man lobt das Gesehene und Gehörte in den Himmel und verteidigt diese Position dann so lange, bis es peinlich wird. Das konnte auch am späten gestern Abend... [mehr]