> > > > Steam-Ausfall: DoS-Attacken sollen 34.000 Nutzerdaten offengelegt haben

Steam-Ausfall: DoS-Attacken sollen 34.000 Nutzerdaten offengelegt haben

Veröffentlicht am: von

steamWenige Tage nach dem Start des Winter-Sales auf Valves digitaler Spielevertriebsplattform Steam berichteten zahlreiche Nutzer von einem gravierenden Datenleck bzw. Sicherheitsproblem. Wer sich in den späten Abendstunden des zweiten Weihnachtsfeiertages auf der Plattform einloggte, bekam unter Umständen die Account-Daten eines anderen Steam-Nutzers angezeigt – darunter auch sensible Daten wie verfügbares Steam-Guthaben, die E-Mail-Adresse, Handy-Nummer oder aber die Kreditkartennummer. Auch die Kauf-Historie konnte eingesehen werden. Die Daten wurden jedoch unvollständig ausgespielt.

Gegen 23:00 Uhr deutscher Zeit schaltete Valve den Steam Store komplett ab und gab wenige Stunden später bekannt, dass es sich um ein Caching-Problem gehandelt habe, Nutzer keine nicht autorisierten Käufe über ihre Kreditkarten oder das Steam-Guthaben zu befürchten hätten. Die Änderung des eigenen Passwortes wurde ebenfalls nicht empfohlen. Nun wurde Valve konkreter und nannte in einem Blogbeitrag weitere Details zum Vorfall.

Mehrere Hackerangriffe haben Caching-Fehler hervorgerufen

Anders als zuvor angenommen, seien ein oder mehrere Hackerangriffe für den Caching-Fehler verantwortlich gewesen. Bislang nannte man eine Konfigurationsänderung an den Servern als Ursache dafür, dass zufällige Nutzerdaten ausgespielt wurden. Laut Valve habe es am 25. Dezember mehrere DoS-Attacken (Denial of Service) auf die Server der Plattform gegeben. Solche Angriffe sind für die Betreiber fast alltäglich, in der Regel bekämen Nutzer davon jedoch nicht viel mit. Auf Antwort auf die Attacken habe man die Caching-Regeln eines Partners eingesetzt, um die Auswirkungen auf die eigenen Server zu minimieren und den Traffic der tatsächlichen Nutzer richtig routen zu können.

In einer zweiten Angriffswelle wurde die Caching-Konfiguration verändert, die jedoch den Web-Traffic der authentifizierten Benutzer inkorrekt gecached hatte. Dieser Konfigurationsfehler soll schlussendlich dazu geführt haben, dass einige Benutzer die Daten anderer angezeigt bekamen. Als Steam den Fehler bemerkte, wurde der Store komplett vom Netz und erst wieder online genommen als alle Sever die richtige Konfiguration hatten. Während der Angriffe soll die Plattform einen 2.000 % höheren Traffic verzeichnet haben. Der Vorfall soll sich laut Steam zwischen 11:50 und 13:20 Uhr US-Westküstenzeit und damit in den späten Abendstunden unserer Zeit ereignet haben.

34.000 betroffene Nutzer sollen benachrichtigt werden

Während des 90 minütigen Zeitfensters seien etwa 34.000 Accountdaten falsch ausgeliefert worden. Laut Valve sollen die Daten jedoch nicht vollständig einsehbar und zensiert ausgespielt worden sein. Lediglich die letzten vier Ziffern der hinterlegten Telefonnummer für den Steam Guard und die letzten beiden Ziffern der Kreditkartennummer sollen angezeigt worden sein – die Daten wären damit unbrauchbar gewesen und hätten nicht für einen Missbrauch eingesetzt werden können. Außerdem hätten Nutzer, die sich nicht während dieses Zeitraums eingeloggt haben, nichts zu befürchten – deren Accountdaten hätten sich nicht im Cache befunden.

Valve will alle betroffenen Nutzer über den Vorfall informieren. Die Identifizierung dieser erfolge derzeit mit Hochdruck in Zusammenarbeit mit den Caching-Partnern. Trotzdem betont man weiterhin, dass keinerlei Handlungsbedarf bestehe und entschuldigt sich für den Vorfall.

Social Links

Kommentare (14)

#5
customavatars/avatar95761_1.gif
Registriert seit: 27.07.2008

Fregattenkapitän
Beiträge: 2889
Zitat ASCI3;24182275


Also alles halb so schlimm meine letzen 2 kreditkartennummern sind 58, viel spass damit ihr bösen kriminellen.


Das ist das was du am Bildschirm siehst. Die Vollständige Nummer ist natürlich im System hinterlegt und wenn das gehackt wird...Zudem kann bei einem Systemausfall, diese Sperre oder Zensierung ebenfalls ausfallen.
Und man kann durchaus von deinem Konto Geld abbuchen, wenn man deine Daten hat. Heute ist alles schon online geregelt und mit der richtigen Täuschung geht das.
Hatte da selber einen Fall bei mir, wo mir Geld abgezogen worden ist, von dem ich absolut nicht wusste woher.
Alle 6 Monate wurden 15,37 Euro abgebucht. Erst als ich bei der Bank war und mir den letzten Betrag rückbuchen lies, hörte es plötzlich auf. Ein Fehler oder bewusst ? Die Bank konnte mir auch nicht sagen von wo dieser Auftrag gekommen ist, nur das es eine Onlinefirma sei und die dürfen von deinem Konto Geld abbuchen. Eine Scheinfirma ??

Mag sein, das die Sicherheit verschärft worden ist, aber es gibt irgendwann immer einen Weg, den kriminelle finden, weil sie soviel Zeit zum Suchen und Sammeln haben.
#6
customavatars/avatar205813_1.gif
Registriert seit: 05.05.2014
Hessen
Oberstabsgefreiter
Beiträge: 417
ich nutze diesen rotz nicht...ist wie facebook...niemand brauchts..
#7
Registriert seit: 30.11.2012

Banned
Beiträge: 529
Möglichkeiten gibt es immer, aber sehr unwarscheinlich.

Sobald ich eine verdächtige transaktion habe stehe ich sofort in der bank auf der matte. Die haben mich sogar einmal angerufen weil die psa finance bei mir geld abbuchen wollte obwohl das in ordnung war. Aber ja man muss regelmässig wenn man nen kontoauszug holt gleich nachharken.

Aber wie gesagt wenn alles verschlüsselt ist ist es hakb so wild.
#8
Registriert seit: 12.01.2013

Bootsmann
Beiträge: 664
Wen ich mir Online was kaufe hol ich mir von der Tanke nebenan eine paysafecard.
Habe nirgends meine Bankdaten hinterlegt.
Nutze auch kein Onlinebanking.
#9
customavatars/avatar215183_1.gif
Registriert seit: 01.01.2015
€uropäische Union - Bairischer Sprachraum
Korvettenkapitän
Beiträge: 2447
Zitat Artikel
Außerdem hätten Nutzer, die sich nicht während dieses Zeitraums eingeloggt haben, nichts zu befürchten – deren Accountdaten hätten sich nicht im Cache befunden.

Danke für diese Information, dies hat mich wieder beruhigt, denn ich war schon mehrere Monate nicht mehr Online eingeloggt.

Erst kürzlich habe ich einen Artikel darüber gelesen wie viele Daten letzte Jahr gestohlen wurden, wer glaubt das er betroffen ist sollte sich dies durchlesen : Zu einfache Passwörter: HPI zählt 2015 rund 35 Millionen gestohlene Identitätsdaten
Dort könnte ich überprüfen lassen ob ihr ein opfer davon seit : https://sec.hpi.de/leak-checker/search
#10
customavatars/avatar192294_1.gif
Registriert seit: 21.05.2013
in the middle of berlin
Oberleutnant zur See
Beiträge: 1300
@Olaf16
ne - das ist ja gerade das schöne - du musst dich mit dem gerät einmalig individuell auf deinem konto online anmelden - und dann geht es auch nur mit DIESEM! konto und DIESEM gerät (einmalige registrierung)
danach wird dir jedesmal beim o-banking bei jeder transaktion die du tätigst, optional zur schriftlichen TAN eine grafik angezeigt, die du dann mit diesem kleinen endgerät einscannst - dann erzeugt es eine eigene TAN die du dann eingibst und das wars...

[ATTACH=CONFIG]346558[/ATTACH]

wenn dich das ganze mehr interessiert (ohne werbung machen zu wollen), kannst du dir das hier mal genau anschauen:
https://www.berliner-bank.de/download/bedienungsanleitung_phototan-lesegeraet.pdf

das gerät kostet je nach bank so um die 10-15 euro
das photoTAN verfahren soll momentan das "sicherste" sein (nach dem letzten hack beim online banking)
ich rate allerdings davon ab, das über das smartphone zu machen da dort wieder eine app installiert werden muß, die man auch wieder hacken kann!
auf dem pc mußt du nix installieren - da scannst du einfach die grafik, diese erzeugt auf dem gerät eine TAN, und diese gibst du dann ein...
#11
customavatars/avatar60791_1.gif
Registriert seit: 25.03.2007
Schriesheim
Fregattenkapitän
Beiträge: 2747
Bei der Sparkasse gibt es sowas ähnliches. Die Grafik besteht aus weißen und schwarzen balken, die sich ständig ändern. Da muss man dann das Gerät ein paar Sekunden an den Bildschirm halten, eine Übertragung findet statt, IBAN und der Betrag werden auf dem Gerät nochmals angezeigt zur Überprüfung und anschließend wird eine Tan generiert, die man dann eintippen muss.
#12
customavatars/avatar189120_1.gif
Registriert seit: 25.02.2013

Flottillenadmiral
Beiträge: 5305
ChipTAN nennt sich das bei der Sparkasse, photoTAN scheint so ähnlich zu sein.
#13
customavatars/avatar192294_1.gif
Registriert seit: 21.05.2013
in the middle of berlin
Oberleutnant zur See
Beiträge: 1300
@RevoX81
ne - ist was völlig anderes (chipTAN) - geht nur in der kombination mit ner zusätzlichen karte

edit:
lese dir doch bitte meinen link unter post #11 durch! (ab seite 7 im PDF)
da ergibt es sich eindeutig, was das photoTAN verfahren ist
#14
Registriert seit: 05.03.2007

Kapitän zur See
Beiträge: 3672
Steam mit Facebook vergleichen.
Bisher der Lacher des Jahres.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Unreal Engine 4: So realistisch geht virtueller Wald

Logo von IMAGES/STORIES/2017/UNREAL-ENGINE4

Die Entwickler von MAWI United, ein CG- und VR-Studio, welches hauptsächlich Animationen und Effekte für Filme, Serien, Trailer, Videospiele und Werbeclips erstellt, zeigt einige Beispiele, wie man mithilfe der Unreal Engine 4 einen spektakulären Wald erstellen kann. MAWI United bietet die... [mehr]

Spotify Premium Family: Streaming-Anbieter schaut bei Familien-Konten jetzt...

Logo von IMAGES/STORIES/2017/SPOTIFY

Die Praxis ist bekannt: Ein Kunde abonniert einen Streaming-Dienst wie Amazon Prime, Netflix oder auch Spotify und andere Personen nutzen das Abonnement dann mit. So vorgesehen ist das durch die Streaming-Anbieter natürlich nicht, wird in der Praxis aktuell aber zumeist geduldet. Ein Ende... [mehr]

Kodi muss international verstärkt gegen Patent-Trolle vorgehen

Logo von IMAGES/STORIES/2017/KODI_LOGO

Kodi ist eine Open-Source-Software, die sich schon seit Jahren enormer Beliebtheit erfreut: Die Multimedia-Software ist extrem vielseitig, erweiterbar und kostenlos. Viele Anwender nutzen Kodi, um umfangreiche Musik- und Videosammlungen zu verwalten. Dabei müssen die Entwickler der freien... [mehr]

Valve arbeitet womöglich an neuer Benutzeroberfläche für Steam

Logo von IMAGES/STORIES/LOGOS-2013/STEAM

Valve scheint im Hintergrund an einer neuen Benutzeroberfläche für seine digitale Spielevertriebsplattform Steam zu arbeiten. Das lassen zumindest zwei Bilder vermuten, die im Code eines Beta-Updates entdeckt, inzwischen aber von Valve schon wieder entfernt wurden. Auf Github sind die beiden... [mehr]

Dropbox sorgt für Ärger: Vermeintlich gelöschte Daten tauchen nach Jahren...

Logo von IMAGES/STORIES/LOGOS-2017/DROPBOX

An sich hört sich das nach einer feinen Sache an: Bei Cloud-Speicherdiensten wie Dropbox kann man seine Daten online speichern und so auch langfristig archivieren. Auf diese Weise lassen sich auch Daten sichern, die möglicherweise bei einer defekten Festplatte für immer verloren wären.... [mehr]

Google Chrome erreicht Meilenstein von zwei Milliarden aktiven Nutzern

Logo von IMAGES/STORIES/LOGOS-2013/CHROME-LOGO

Google bzw. dessen Vizepräsident für das Chrome-Produktmanagement, Rahul Roy-Chowdhury, hat einen neuen Meilenstein für den Browser Chrome vermeldet: Mittlerweile nutzen ca. zwei Milliarden Nutzer Chrome aktiv. Diese Zahl meint plattformübergreifend Chrome an sowohl Windows-PCs, Geräten mit... [mehr]