Sicherheitsleck auf Steam (Up: sollte wieder gehen)

[Bedameister]

Bei Valve ist wohl was mächtig schief gelaufen. Irgendwie war es wohl zwischenzeitlich möglich die Profilinformationen von anderen Usern zu sehen. Es gibt wiedersprüchliche Informationen darüber wie weit das ganze geht und vor allem ob es möglich war auch bei fremden Accounts Käufe zu tätigen etc.
Ein offizielles Statement von Valve gibt es bis jetzt noch nicht. Zwischenzeitlich hat Valve aber wohl komplett alles runtergefahren und mitlerweile sieht es so aus als wäre wieder halbwegs normalität eingetroffen.

Trotzdem empfehle ich euch lieber erstmal nichts was mit Steam zu tun hat zu nutzen.

Wer sich das ganze Schlamassel durchlesen will:
http://www.neogaf.com/forum/showthread.php?t=1162196

Hier mal eine Nachricht von Eurogamer dazu:
http://www.eurogamer.net/articles/2015- ... on-exposed

[LeKwas]

Hab' ich auch eben erfahren (Steam glücklicherweise ohnehin längere Zeit nicht benutzt).
Ist dieser Cache-Fehler auf einen Hack oder dergleichen zurückzuführen?

[seph`]

danke für die meldung, hauptsache eben steam das erste mal seit ca. 2 monaten gestartet .

[LeKwas]

Angeblich lassen sich mithilfe dieser Sicherheitslücke auch Einkäufe tätigen und Accountdaten ändern:

http://www.neogaf.com/forum/showpost.ph ... tcount=333

Edit: Ben Janca von IGN kann zumindest den ersten Punkt bestätigen, mit seinem Account haben Unbekannte kürzlich Einkäufe getätigt:

https://twitter.com/BenJanca/status/680494074726514689

[Kingtoo]

kündigt unbedingt die Steamautorisierung bei eurem PayPal, aber NUR über PayPal selbst, nicht über die Steampage. Ganz wichtig, teilen se auch auf Twitter mit.

[CritsJumper]

Nun also die offizielle Valve Twitter Seite teilt da gar nichts mit, denn Valve scheint Twitter nicht zu nutzen.

Die Seite auf welche hier verlinkt wird ist eine private Seite von einem dritten, genannt wird auf steamdb.info:

SteamDB, 2012-2015. With by xPaw and Marlamin. Deployed from ee3a6b662c

Beiden traue ich nicht zu das sie ein Problem seitens Steam einschätzen können. Hier im Forum Panik zu verbreiten ist der Sache nicht dienlich.

Ich würde lediglich darauf verweisen das es immer besser ist bestimmte Daten bei diversen Diensten nicht zu hinterlegen und sie nur zu nutzen wenn es nicht anders geht.

[Kingtoo]

dienlich nein, aber eine Dauertranksaktion zu kündigen unter PayPal schadet auch niemanden, außer vll 1-2Min Zeit und falls es doch mehr ist als wir grade abschätzen können, wäre mir dieser Zeitaufwand es aufjedenfall wert.

[CritsJumper]

Hab' ich auch eben erfahren (Steam glücklicherweise ohnehin längere Zeit nicht benutzt).
Ist dieser Cache-Fehler auf einen Hack oder dergleichen zurückzuführen?

Das Problem ist anderer Natur LePie, man kann hier vielleicht nicht die normale Funktion erwarten wie etwa den Store zu Nutzen und ein Spiel mit seinen Inhalten gekauft zu haben so das es sich anschliessend auch herunterladen und starten lässt.

Vielmehr ist dies aber schon ein Hack da scheinbar per Zufall andere geschützte Inhalte der Nutzer offenbart werden. Ob man jetzt nur jene anderer Online eingeloggten Nutzern sehen kann oder wirklich die der kompletten Datenbank ist die Frage, ich vermute eher ersteres somit sind Offline-Nutzer ohnehin nicht betroffen und der Rat Steam aktuell nicht oder nur Offline zu nutzen wahrscheinlich hilfreich.

Dennoch reicht es um eben an die Daten der Nutzer zu kommen und das ist in der tat eine Art hack. Die Etikette und unser Hackerparagraph sollten jeden Nutzer aber davon abhalten in anderer Personen Daten zu schnüffeln, schliesslich macht man sich hierzulande damit strafbar.

dienlich nein, aber eine Dauertranksaktion zu kündigen unter PayPal schadet auch niemanden, außer vll 1-2Min Zeit und falls es doch mehr ist als wir grade abschätzen können, wäre mir dieser Zeitaufwand es aufjedenfall wert.

Ja damit hast du recht, aber ich bin bei solchen Aufrufen immer skeptisch, vielleicht möchte dich nur jemand auf eine Phishing-Seite umleiten um auch noch an deine Paypal-Zugangsdaten heran zu kommen?

Deswegen sollte man immer den Ursprung verifizieren.

[Kingtoo]

Hab' ich auch eben erfahren (Steam glücklicherweise ohnehin längere Zeit nicht benutzt).
Ist dieser Cache-Fehler auf einen Hack oder dergleichen zurückzuführen?

Das Problem ist anderer Natur LePie, man kann hier vielleicht nicht die normale Funktion erwarten wie etwa den Store zu Nutzen und ein Spiel mit seinen Inhalten gekauft zu haben so das es sich anschliessend auch herunterladen und starten lässt.

Vielmehr ist dies aber schon ein Hack da scheinbar per Zufall andere geschützte Inhalte der Nutzer offenbart werden. Ob man jetzt nur jene anderer Online eingeloggten Nutzern sehen kann oder wirklich die der kompletten Datenbank ist die Frage, ich vermute eher ersteres somit sind Offline-Nutzer ohnehin nicht betroffen und der Rat Steam aktuell nicht oder nur Offline zu nutzen wahrscheinlich hilfreich.

Dennoch reicht es um eben an die Daten der Nutzer zu kommen und das ist in der tat eine Art hack. Die Etikette und unser Hackerparagraph sollten jeden Nutzer aber davon abhalten in anderer Personen Daten zu schnüffeln, schliesslich macht man sich hierzulande damit strafbar.

dienlich nein, aber eine Dauertranksaktion zu kündigen unter PayPal schadet auch niemanden, außer vll 1-2Min Zeit und falls es doch mehr ist als wir grade abschätzen können, wäre mir dieser Zeitaufwand es aufjedenfall wert.

Ja damit hast du recht, aber ich bin bei solchen Aufrufen immer skeptisch, vielleicht möchte dich nur jemand auf eine Phishing-Seite umleiten um auch noch an deine Paypal-Zugangsdaten heran zu kommen?

Deswegen sollte man immer den Ursprung verifizieren.

Naja ich habe ja dort auf keinen Link oder sonstwas aus der Tweittermeldung geklickt. Sondern mich selbst bei PayPal angemeldet über nen eigenen TAB. PW geändert und Transaktiongekündigt. Sehe da keine Möglichkeit wegen Phishing-Sete.

[Stalkingwolf]

was ist wenn man die Kreditkarte direkt im Account gespeichert hat?

Klingt ja alles nicht so prickelnd.

[LeKwas]

Ja damit hast du recht, aber ich bin bei solchen Aufrufen immer skeptisch, vielleicht möchte dich nur jemand auf eine Phishing-Seite umleiten um auch noch an deine Paypal-Zugangsdaten heran zu kommen?
Deswegen sollte man immer den Ursprung verifizieren.

Ich denke, dass du da etwas missverstehst. Urspung der Hysterie ist dieses mal nämlich keine herumzirkulierende Spammail, sondern eine Vielzahl von Nutzern auf Neogaf, Twitter, reddit und weiteren, die simultan und unabhängig voneinander quasi 'live' Unregelmäßigkeiten bzw. eine potentielle Sicherheitslücke auf Steam feststellten.
In solchen Situationen gehört es nun einmal zum Standardprozedere, vorsorglich Abrechnungsvereinbarungen und co. mit dem betreffenden Shop aufzuheben, bis die Angelegenheit geklärt ist. Solange niemand einem (vermeintliche) Links zu PayPal unterjubelt, sondern man von sich aus ihre Seite aufrufen soll, kann es sich ergo auch nicht um einen Phishingversuch handeln.

Falls jemand Infos bzgl. PayPal brauchen sollte, so geht's:
- auf den PayPal-Account gehen
- Reiter "Einstellungen"
- Reiter "PayPal-Zahlungen per Händlerabbuchung"
- falls Abonnement mit Steam bestehen sollte, auf den entsprechenden Dienst klicken und diesen inaktivieren



Edit #1:
steamdb hat sich noch einmal dazu geäußert, sie halten eine interne Panne als Auslöser für am wahrscheinlichsten:

Disclaimer: Steam Database is not affiliated with Valve in any way. We are a community run website.

An hour ago, Steam users started seeing incorrect information on the Steam Store, as if they were signed into someone else's account.

There is no official confirmation from Valve yet, so we can only speculate as to why this issue happened. Valve is known to use Akamai as their CDN and Varnish for caching. Our theory is that a caching misconfiguration in one of these components has caused Steam to incorrectly serve rendered and cached pages intended for a single user only.

This issue means that users’ private information such as email address, billing address, and sometimes credit card details are at risk. As far as we know, this issue is read-only, and no one is able to perform any actions involving your account on your behalf.

To protect yourself, we strongly recommend completely avoiding visiting any Steam store links. This includes visiting the Steam store using the Steam client.

This is not a hack or a DDoS attack. This is highly likely to be a misconfiguration in one of Valve’s caching layers.

At the time of this writing, the Steam store is inaccessible. We can only assume Valve is currently working on fixing the issue.

If you used a PayPal account and had the details saved, you can unlink your account by logging on PayPal.com and going to Settings and Preapproved payments under the Payment options heading.

Going forward, we strongly encourage you not to store your billing information on the Steam store. Valve have proven multiple times that they’re unable to keep their security standards to a high level.

https://steamdb.info/blog/recent-cachin ... -on-steam/



Edit #2:
Totalbiscuit hat ein kurzes PSA dazu veröffentlicht:

https://www.youtube.com/watch?v=x80VOkFwsL0

[Bedameister]

Ok Momentan sollte es sich wieder etwas beruhigt haben. Scheinbar kann man nichtmehr direkt andere Accounts ankucken (scheint wohl über Google Cache noch zu gehen).
Abwarten was nun wirklich los war und wie schlimm es war. Aber für Valve wird das sicher noch unangenehme Folgen haben.

Hier mal n Random Artikel der vieleicht etwas mehr Informationen liefert
http://www.eurogamer.net/articles/2015- ... on-exposed

[greenelve]

Valve hat sich mittlerweile zu dem Vorfall geäußert:

Steam is back up and running without any known issues. As a result of a configuration change earlier today, a caching issue allowed some users to randomly see pages generated for other users for a period of less than an hour. This issue has since been resolved. We believe no unauthorized actions were allowed on accounts beyond the viewing of cached page information and no additional action is required by users.

http://kotaku.com/steam-goes-nuts-offer ... 1749718979

[Chibiterasu]

Wundert mich, dass das hier kaum jemanden interessiert... liegt wohl am Feiertag.

Es ist anscheinend so, dass wenn man zur Zeit wo das passiert ist in den Warenkorb gewechselt und auf bezahlen gegangen ist, ALLE Daten (voller Name, Adresse, Telefonnummer etc. und die letzten 4 Ziffern der Kreditkarte) einsehen konnte - sofern der betroffene die Zahlungsdaten gespeichert hat.
Das ist schon heftig und da müssen mehr Infos von Valve kommen.

Ich habe meine Daten in der Regel nicht gespeichert - hoffentlich beim letzten Salekauf vor ein paar Tagen ebenfalls nicht.

[shakeyourbunny]

Ich hab den Link zu Paypal durchtrennt, aber scheinbar spinnen die Server von Steam wieder rum.

Diesmal hats die Profilseiten erwischt ....