4Players.de Das Spielemagazin. Kritisch. Ehrlich. Aktuell.
 
von Julian Dasgupta,

Valve bestätigt Steam-Hack

Steam (Service) von Valve Software
Steam (Service) von Valve Software - Bildquelle: Valve Software
Vor einigen Tagen war das Steam-Forum offline gegangen. Aufgrund einiger Umleitungen wurde sofort gemutmaßt, dass der Community-Bereich von Hackern geknackt worden war.

Wie Valve allerdings gerade verkündet, haben die Täter nicht nur Zugriff auf das Forum, sondern auch auf eine Steam-Datenbank erhalten. Diese enthält die Nutzernamen, Passwörter (als Hash mit Salting), die Liste der gekauften Spiele, Emailadressen, Rechnungadressen sowie - in verschlüsselter Form - Kreditkartendaten. Zum jetztigen Zeitpunkt gebe es aber noch keinen Hinweis darauf, dass verschlüsselte Kreditkartendaten oder persönliche Informationen entwendet oder Passwörter geknackt werden konnten - man sei immer noch dabei, die Situation zu untersuchen.

Es gebe keine Anzeichen von Kreditkartenmissbrauch, so der Hersteller. Der allerdings allen Nutzern empfiehlt, die Kreditkartentransaktionen in den kommenden Tagen im Auge zu behalten.

Definitiv wisse man nur, dass einige Foren-Accounts kompromittiert wurden - alle Nutzer des Steam-Communitybereichs müssen deswegen sicherheitshalber ihre Passwörter ändern. Sollte jenes Passwort auch woanders zum Einsatz kommen, sollte es auch dort geändert werden.

Hier die offizielle Mitteilung:

Dear Steam Users and Steam Forum Users,

Our Steam forums were defaced on the evening of Sunday, November 6.  We began investigating and found that the intrusion goes beyond the Steam forums.

We learned that intruders obtained access to a Steam database in addition to the forums.   This database contained information including user names, hashed and salted passwords, game purchases, email addresses, billing addresses and encrypted credit card information. We do not have evidence that encrypted credit card numbers or personally identifying information were taken by the intruders, or that the protection on credit card numbers or passwords was cracked. We are still investigating.

We don't have evidence of credit card misuse at this time. Nonetheless you should watch your credit card activity and statements closely. 

While we only know of a few forum accounts that have been compromised, all forum users will be required to change their passwords the next time they login. If you have used your Steam forum password on other accounts you should change those passwords as well. 

We do not know of any compromised Steam accounts, so we are not planning to force a change of Steam account passwords (which are separate from forum passwords). However, it wouldn't be a bad idea to change that as well, especially if it is the same as your Steam forum account password.  

We will reopen the forums as soon as we can. 

I am truly sorry this happened, and I apologize for the inconvenience.

Gabe

Quelle: Pressemitteilung

Kommentare

Wigggenz schrieb am
Zeigt wieder nur, dass zwingend vorrausgesetzte Accountbindungen der größte Mist sind.
Man bezahlt nicht nur, sondern muss auch sich auch noch zwingend an einem weiteren Schwachpunkt (obwohl man davon eigentlich schon genug hat) über das Internet angreifbar machen, um spielen zu können.
Worrelix schrieb am
HanFred hat geschrieben:Macht du einen auf boesor? 8)
Ne, dafür bin ich nicht bØse genug ;-)
Xyluz hat geschrieben:
Worrelix hat geschrieben:Das Forum wurde gehackt. Nicht die Content Server.
Wie soll also ein Virus eingeschleust worden sein?
Die Database wurde gehackt.
Was da alles dran hängt weiß ich nicht, aber große Firmen packen in ihre Datawarehouses ganz gerne mal alle möglich Daten zusammen, um ein Profil seiner Kunden zu erstellen.
Also nix mit "nur Forum".
Da aber für Steam, den Support und das Forum eigene Login Daten verwendet werden, liegt es nahe, daß bei Valve eine grundsätzliche Trennung dieser Bereiche konzipiert ist.
Xyluz schrieb am
Wo][rm hat geschrieben:War im Endeffekt nur eine Frage der Zeit bis auch Valve an die Reihe kommt.
Hoffen wir mal das der Lerneffekt für die Betroffenen darin besteht nie für 2. Accounts dasselbe PW zu nutzen :D
Na sowas liebe ich ja. Diejenigen die nun garnichts dafür können werden auch noch belehrt.
Zur Hölle nochmal, man kann dieses Systeme auch so gestalten, das der Hackaufwand den Nutzen bei weitem übersteigt. Oder noch einfacher: Manch sensible Daten schlichtweg nicht ans Netz hängen! Die CC Nummern müssen schlichtweg nicht an einer Onlineschnittstelle gespeichert werden, es würde reichen diese nur auf plausibiltät zu prüfen. Oder diese werden irgendwo lokal abgefragt, oder oder oder. Ich weiß, IT-Sicherheit ist ein weites Feld, aber ein Dienst den man Nutzen MUSS um seine rechtmäßig gekaufte Ware nutzen zu können sollte verdammtnochmal sicherstellen, dass die Database nicht am öffentlichen Netz hängt. Meine Güte.
Und sich über Hacker aufzuregen ist wie sich übers Wetter aufzuregen. Es regnet auch manchmal, da kann man nix dran machen, betreibe gefälligst vorsorge.
lingonberrypancake hat geschrieben:
Meist hockt das größte Problem vor dem Bildschirm.
Klassisches layer-8 Problem :-)
Wohl wahr, fragt sich nur ob das Problem der Anwender oder der Entwickler ist. ITler sind bei sowas meist etwas zu arrogant. Ich weiß es, ich bin selbst einer.
Xyluz schrieb am
Worrelix hat geschrieben:
Chibiterasu hat geschrieben:Also ich bin nicht im Forum angemeldet habe aber einen Account bei Steam. Soll ich jetzt das Passwort ändern - oder bekommt man jetzt wirklich nen Virus/Trojaner wenn man mit Steam online geht und er das Update lädt (ist bei mir nicht im Autostart und ich habe es nur mal alle paar Wochen an) ?
Das Forum wurde gehackt. Nicht die Content Server.
Wie soll also ein Virus eingeschleust worden sein?
Die Database wurde gehackt.
Was da alles dran hängt weiß ich nicht, aber große Firmen packen in ihre Datawarehouses ganz gerne mal alle möglich Daten zusammen, um ein Profil seiner Kunden zu erstellen.
Also nix mit "nur Forum".
HanFred schrieb am
Worrelix hat geschrieben:
Dr.Maier hat geschrieben:... valve ... sollen mal ihre fresse halten und stattdessen was auf die reihe bekommen.
Ich steig da mal drauf ein:
Was genau bekommen sie denn nicht auf die Reihe?
Macht du einen auf boesor? 8)
schrieb am