Steam

Schwerwiegender Bug ermöglichte einfache Account-Übernahme

Ein schwerwiegender Bug auf Valves digitaler Spielevertriebsplattform sorgte in der letzten Woche dafür, dass zahlreiche prominente Twitch-Streamer und DOTA-2-Spieler ihr Account verloren haben – zumindest kurzzeitig. Über einen einfachen Passwort-Reset konnte sich jeder Steam-Nutzer Zugriff auf das Account eines anderen verschaffen. Wer bislang sein vergessenes Kennwort über die Reset-Funktion zurücksetzen wollte, der bekam einen Einmalcode an die im Steam-Account hinterlegte E-Mail-Adresse geschickt. Erst nach dessen Eingabe konnte ein neues Passwort vergeben werden.

In den vergangenen Tagen konnte das entsprechende Eingabefeld für den Code allerdings leergelassen werden, die Reset-Funktion ohne Eingabe des E-Mail-Codes fortgesetzt werden. Damit genügte der Steam-Name, um sich Zutritt auf einen fremden Account zu verschaffen. Vor allem Video-Streamer waren von ungewollten Account-Übernahmen betroffen. Laut Valve sei der „Bug“ inzwischen aber behoben worden. Inhaber von Accounts mit verdächtigen Kennwort-Änderungen sollen von Valve angeschrieben worden sein – entsprechende Accounts will man zurückgesetzt haben. Laut eines Steam-Sprechers konnte der Bug zwischen dem 21. und 25. Juli ausgenutzt werden, soll wenige Stunden nach Bekanntwerden aber behoben worden sein.

Um eine Account-Übernahme durch Dritte zu erschweren, empfiehlt Valve den Steam Guard zu aktivieren. Dann verlangt die Software bei einem Login auf einem bisher noch unbekannten System nach einem zusätzlichen Code, welcher ebenfalls per E-Mail an den Account-Inhaber geschickt wird. Erst nach dessen Eingabe funktioniert der Login. Wer diese Zwei-Wege-Autorisierung aktiviert hatte, der konnte die Übernahme seines Accounts trotz der Passwort-Änderung verhindern.