Werbung
Wenige Tage nach dem Start des Winter-Sales auf Valves digitaler Spielevertriebsplattform Steam berichteten zahlreiche Nutzer von einem gravierenden Datenleck bzw. Sicherheitsproblem. Wer sich in den späten Abendstunden des zweiten Weihnachtsfeiertages auf der Plattform einloggte, bekam unter Umständen die Account-Daten eines anderen Steam-Nutzers angezeigt – darunter auch sensible Daten wie verfügbares Steam-Guthaben, die E-Mail-Adresse, Handy-Nummer oder aber die Kreditkartennummer. Auch die Kauf-Historie konnte eingesehen werden. Die Daten wurden jedoch unvollständig ausgespielt.
Gegen 23:00 Uhr deutscher Zeit schaltete Valve den Steam Store komplett ab und gab wenige Stunden später bekannt, dass es sich um ein Caching-Problem gehandelt habe, Nutzer keine nicht autorisierten Käufe über ihre Kreditkarten oder das Steam-Guthaben zu befürchten hätten. Die Änderung des eigenen Passwortes wurde ebenfalls nicht empfohlen. Nun wurde Valve konkreter und nannte in einem Blogbeitrag weitere Details zum Vorfall.
Mehrere Hackerangriffe haben Caching-Fehler hervorgerufen
Anders als zuvor angenommen, seien ein oder mehrere Hackerangriffe für den Caching-Fehler verantwortlich gewesen. Bislang nannte man eine Konfigurationsänderung an den Servern als Ursache dafür, dass zufällige Nutzerdaten ausgespielt wurden. Laut Valve habe es am 25. Dezember mehrere DoS-Attacken (Denial of Service) auf die Server der Plattform gegeben. Solche Angriffe sind für die Betreiber fast alltäglich, in der Regel bekämen Nutzer davon jedoch nicht viel mit. Auf Antwort auf die Attacken habe man die Caching-Regeln eines Partners eingesetzt, um die Auswirkungen auf die eigenen Server zu minimieren und den Traffic der tatsächlichen Nutzer richtig routen zu können.
In einer zweiten Angriffswelle wurde die Caching-Konfiguration verändert, die jedoch den Web-Traffic der authentifizierten Benutzer inkorrekt gecached hatte. Dieser Konfigurationsfehler soll schlussendlich dazu geführt haben, dass einige Benutzer die Daten anderer angezeigt bekamen. Als Steam den Fehler bemerkte, wurde der Store komplett vom Netz und erst wieder online genommen als alle Sever die richtige Konfiguration hatten. Während der Angriffe soll die Plattform einen 2.000 % höheren Traffic verzeichnet haben. Der Vorfall soll sich laut Steam zwischen 11:50 und 13:20 Uhr US-Westküstenzeit und damit in den späten Abendstunden unserer Zeit ereignet haben.
34.000 betroffene Nutzer sollen benachrichtigt werden
Während des 90 minütigen Zeitfensters seien etwa 34.000 Accountdaten falsch ausgeliefert worden. Laut Valve sollen die Daten jedoch nicht vollständig einsehbar und zensiert ausgespielt worden sein. Lediglich die letzten vier Ziffern der hinterlegten Telefonnummer für den Steam Guard und die letzten beiden Ziffern der Kreditkartennummer sollen angezeigt worden sein – die Daten wären damit unbrauchbar gewesen und hätten nicht für einen Missbrauch eingesetzt werden können. Außerdem hätten Nutzer, die sich nicht während dieses Zeitraums eingeloggt haben, nichts zu befürchten – deren Accountdaten hätten sich nicht im Cache befunden.
Valve will alle betroffenen Nutzer über den Vorfall informieren. Die Identifizierung dieser erfolge derzeit mit Hochdruck in Zusammenarbeit mit den Caching-Partnern. Trotzdem betont man weiterhin, dass keinerlei Handlungsbedarf bestehe und entschuldigt sich für den Vorfall.