Bereits vor einigen Tagen informierten wir euch über erhebliche Sicherheitsprobleme bei Steam. Valve hat nun, in einem umfangreichen Statement, erklärt, was genau passiert ist und wie es dazu kam.
Laut der Erklärung verursachten ein Fehler in der Caching-Konfiguration und ein DDoS-Angriff die Probleme. Am 25. Dezember wurden, zwischen 20:50uhr und 22:20uhr mitteleuropäischer Zeit, sämtliche zwischengespeicherte Store-Aufrufe anderen Steam-Nutzern angezeigt. Der Inhalt der angezeigten Seiten war unterschiedlich. Jedoch waren teilweise sensible Informationen sichtbar. Dazu gehört die Rechnungsadresse, die letzten vier Zahlen der Steam Guard Telefonnummer, der Einkaufsverlauf, die letzten zwei Zahlen der Kreditkartennummer und/oder die E-Mail-Adresse. Allerdings betont Valve, dass keine vollständigen Kreditkartennummern und Nutzer-Passwörter sichtbar waren. Es gab nie genug Daten, um sich als einer der betroffenen Benutzer anzumelden, beziehungsweise Transaktionen in deren Namen abzuschließen.
Betroffen sind alle, die den Steam-Store, sowie dazugehörige Seiten, im angegebenen Zeitfenster besucht haben. Zu diesen Seiten zählen alle, welche persönliche Informationen enthalten. Zum Beispiel also die eigene Account-Seite oder die Kasse des Steam-Stores. Alle anderen Nutzer haben nichts zu befürchten. Insgesamt soll es ungefähr 34.000 Spieler erwischt haben. Valve arbeitet momentan, zusammen mit dem Web-Caching-Partner, daran, die betroffenen Spieler zu identifizieren und zu benachrichtigen. Da keine unautorisierten Vorgänge möglich waren, müssen die Nutzer keine zusätzlichen Schritte unternehmen.
DDoS-Angriffe auf Steam finden regelmäßig statt und können im Normalfall von Valve und den Partner-Firmen leicht abgefangen werden. In der Regel kriegen Steam-Nutzer nichts davon mit. Allerdings stieg der Traffic, im Vergleich zum durchschnittlichen Sale-Traffic, dieses Mal um ganze 2000% an. Um auf diesen Angriff zu reagieren, wurde während der DDoS-Attacke eine neue Caching-Konfiguration eingeführt. Als die zweite Angriffswelle einsetzte, wurden weitere Einstellungen genutzt. Diese enthielten dann den besagten Fehler. Als Valve den Fehler bemerkte, wurde der Steam Store geschlossen und der Fehler in der Konfiguration behoben.
Das denken wir:
Besser spät als nie. Da sieht man mal wieder, dass niemand vor solchen Fehlern geschützt ist.