Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Hacker erbeuten Kundendaten von Steam

Wie Spielestudio Valve gegenüber PC Gamer erklärt, wurde das für Mac und Windows verfügbare Spieleportal Steam von Hackern angegriffen, die über eine Sicherheitslücke im Forum letztendlich auch die Datenbank mit allen Kundeninformationen erreichen konnten. Zu den betroffenen Kundendaten zählen die Benutzernamen, mit Salt verschlüsselte Hash-Kennwörter, E-Mail-Adressen, Spielekäufe, Rechnungsadressen sowie verschlüsselte Kreditkarteninformationen. Bisher gibt es keine Hinweise, dass die Kennwörter oder Kreditkarteninformationen entschlüsselt wurden. Valve setzt die Untersuchungen des Hackerangriffs fort und empfiehlt allen Nutzern, ihre Kennwörter mit Hilfe der Client-Software zu ändern. Das Steam-Forum, über den der Angriff erfolgt war, bleibt vorerst geschlossen. Nachfolgend die Stellungnahme von Valve:
Valve
Dear Steam Users and Steam Forum Users,

Our Steam forums were defaced on the evening of Sunday, November 6. We began investigating and found that the intrusion goes beyond the Steam forums.

We learned that intruders obtained access to a Steam database in addition to the forums. This database contained information including user names, hashed and salted passwords, game purchases, email addresses, billing addresses and encrypted credit card information. We do not have evidence that encrypted credit card numbers or personally identifying information were taken by the intruders, or that the protection on credit card numbers or passwords was cracked. We are still investigating.

We don’t have evidence of credit card misuse at this time. Nonetheless you should watch your credit card activity and statements closely.

While we only know of a few forum accounts that have been compromised, all forum users will be required to change their passwords the next time they login. If you have used your Steam forum password on other accounts you should change those passwords as well.

We do not know of any compromised Steam accounts, so we are not planning to force a change of Steam account passwords (which are separate from forum passwords). However, it wouldn’t be a bad idea to change that as well, especially if it is the same as your Steam forum account password.

We will reopen the forums as soon as we can.

I am truly sorry this happened, and I apologize for the inconvenience.

Gabe.

Weiterführende Links:

Kommentare

gritsch11.11.11 10:40
hier noch auf deutsch:
Sehr geehrte Steam Nutzer und Steam Forumteilnehmer,

Unsere Steam Foren wurden am Sonntag Abend, dem 6. November 2011, kompromittiert. Wir haben mit den Ermittlungen begonnen und herausgefunden, dass dieser Angriff über unsere Steam Foren hinausging.

Wir haben in Erfahrung gebracht, dass die Eindringlinge zusätzlich zu den Steam Foren auch Zugang zur Steam-Datenbank erhalten haben. Diese Datenbank umfasste Informationen bezüglich Benutzernamen, verschlüsselte Passwörter (hashed and salted), Spieleinkäufe, E-Mail-Adressen, Rechnungsadressen und verschlüsselte Kreditkarteninformationen. Wir haben keine Hinweise darauf, dass verschlüsselte Kreditkartennummern oder persönliche Kennungsinformationen von den Eindringlingen entwendet wurden oder dass die Verschlüsselung von Kreditkartennummern oder Passwörtern geknackt wurde. Wir ermitteln diesbezüglich weiter.

Zu diesem Zeitpunkt liegen uns keine Anzeichen auf Kreditkartenmissbrauch vor. Sie sollten dennoch Ihre Kreditkartenaktivität und Ihre Kontoauszüge genaustens beobachten.

Wir wissen, dass nur wenige Forum-Accounts tatsächlich beeinträchtigt wurden, aber wir werden alle Forumteilnehmer bei der nächsten Anmeldung bitten, ihr Passwort zu ändern. Falls Sie Ihr Steam-Forum Passwort auch auf anderen Benutzerkonten verwendet haben, dann ändern Sie bitte diese Passwörter ebenfalls.

Uns liegen keine Angaben über kompromittierte Steam-Accounts vor, deshalb werden wir keine Änderung der Steam-Account Passwörter forcieren (Forum-Passwörter unterscheiden sich von Steam-Passwörtern). Es wäre dennoch keine schlechte Idee, es dennoch zu ändern, insbesondere falls Sie für Ihren Forum-Account und Steam-Account das gleiche Passwort verwenden.

Wir werden die Foren baldmöglichst wieder öffnen.

Ich bedauere diese Situation zutiefst und entschuldige mich für die Unannehmlichkeiten.

Gabe.
0
valcoholic
valcoholic11.11.11 10:52
ich frage mich echt wie sowas sein kann. Dass man bei einem Einbruch übers Forum nicht einfach ausschliessen kann, dass da kreditkartendaten entwendet wurden. Hauen die die ganze Webdatensuppe in einen topf oder können sich die keine separate Datenbank für derartige Daten leisten? War bei Sony genauso, absolut lächerlich. Nachdem ich selbst meine Daten bei Steam habe, würde ich nicht sagen, dass ich es toll finde, dass da gehackt wurde, aber grundsätzlich finde ich das eher etwas schwach von steam, weniger von Seiten der Hacker, denn dass bei solchen zuständen früher oder später mal so einer auf die Idee kommt,d a rumzupfuschen liegt ja nicht fern.
0
iNVisO
iNVisO11.11.11 11:05
und ich kann mein Kennwort im moment nicht ändern...
0
gritsch11.11.11 11:08
ich habs vor 10 minuten problemlos ändern können.
0
Gilderoy Lockhart11.11.11 11:28
Ich finde, man sollte in diesem Bereich endlich mal ordentlich durchgreifen. Dabei könnte man von der Musikindustrie lernen und etwa folgende Strafen festlegen: Pro geklauten Datensatz wird ein ein potentieller Schaden von ca. 1000€ angenommen (die Begründung dafür wird ein Anwalt der MI sicherlich leicht formulieren können), je nach Umfang des Datensatzes. *sick*

Ehrlich gesagt, ich weiss gar nicht, ob ich das ironisch meine oder nicht. Es ist m.E. tatsächlich skandalös, dass offensichtlich zu wenig Aufwand (vermutlich v.a. Geld) in die Sicherung der Daten gesteckt wird. Denn nur von "doofen" Sysadmins zu reden trifft das Problem ja nicht. Aus meiner Erfahrung weiss ich, dass in solchen Fällen die Techniker meist 1000 Bedenken äußern und von den BWL-Fuzzis dann nur als nervende Pessimisten ignoriert werden. Es ist doch offensichtlich, dass sich Sicherheit aktuell nicht rechnet: Scheinbar reicht ja wohl eine nette EMail im Falle eines Leaks -- wozu also Geld in die Vermeidung solcher Vorfälle stecken.

0
Gilderoy Lockhart11.11.11 11:35
Update: Es sind 35 Mio. Steam-Accounts, wobei nicht bekannt ist, ob und wieviele Accounts betroffen sind. OK, einigen wir uns auf 30€ Schadensersatz (was auch ohne Missbrauch der Daten allein für die Zeit entschädigt, die jetzt die Kunden zum Ändern ihrer Passwörter sowie zur genaueren Kontrolle ihrer Konten aufwenden müssen) pro Account. Hehe... das ergibt 1 Mrd. €.
0
lenn1
lenn111.11.11 11:54
Habe mein PW eben erfolgreich geändert.

Es gibt außerdem noch den Steam-Guard....

denke es wird nix passieren. Vor allem wenns tatsächlich hashed & salted ist. (naja solange die private keys nicht auch dort irgendwo zu finden sind )
0
Alex.S
Alex.S11.11.11 12:05
Bliebt doch lieber bei der alter gute CD/DVD/Blu-Ray!
Not so good in German but I do know English and Spanish fluently. Warum ich es mit dem Deutsch überhaupt versuche? Weil ich in Deutschland arbeite! Lechón >:-]
0
Dirk!11.11.11 12:08
Ich frage mich eher, wann Apple sowas mal passiert. An Neidern, die Kapital aus der negativen PR schlagen würden, dürfte es ja nicht fehlen.
0
rambo300011.11.11 12:12
selber schuld wenn man mit Kreditkarte zahlt obwohl man auch die Möglichkeit hat mit der paysafecard zu zahlen
0
ts
ts11.11.11 12:25
valcoholic
ich frage mich echt wie sowas sein kann.
Sicherheitslücken können sehr schnell entstehen. Man könnte jetzt wild spekulieren, aber das Problem kann man aus der Ferne gar nicht nachvollziehen, weil die Informationen dafür fehlen. Naheliegend wäre jedoch ein Designfehler. Natürlich sollte man Fehler vermeiden, aber diese liegen in der Natur des Menschen…

Ich finde die Entschuldigung lächerlich. Es ist schon soweit gekommen, dass man ein „truly” an das „sorry” anhängen muss und den Zwischenfall selbst dann nur als „inconvenience” bezeichnet. *sick*
0
LoCal
LoCal11.11.11 13:03
valcoholic
ich frage mich echt wie sowas sein kann. Dass man bei einem Einbruch übers Forum nicht einfach ausschliessen kann, dass da kreditkartendaten entwendet wurden.

Stichwort: Single-Signon ... wenn Du dich bei Steam anmeldest, dann willst Du auch, dass die Anmeldung fürs Forum gilt.
Es ist durchaus ein Vorteil bzw. richtig, wenn auf bestehende Forumensoftware zurückgegriffen wird Spart Geld, Zeit und ist meistens gut gewartet... nur der Admin darf halt das patchen nicht vergessen

Wenn dann halt ne Lücke gefunden und ausgenutzt wird, dann ist schon viel nach aussen und die nächsten Schritte sind dann eher leicht.

Es bleibt zu hoffen, dass Steam die KK-Daten gut verschlüsselt hat...
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
0
Gerhard Uhlhorn11.11.11 13:52
D.h. man muss jetzt für den Rest des (Kreditkarten-) Lebens damit rechnen, dass aus diesem Vorfall Schaden entsteht? Es kann ja sein, dass die Gangster erst in einem Jahr die KK-Daten knacken, oder in 3 Jahren, oder 10, oder 50 …
0
macfan3111.11.11 13:55
Momentan kann ich mein Passwort nicht ändern! Gottseidank hab ich keine Kreditkarte hinterlegt. Ne Mail hab ich von denen aber auch nicht bekommen!!

0
user_tron11.11.11 14:24
Wer weiss, was da wirklich vorgefallen ist
Ich erwarte von niemanden Zustimmung für meine persönlichen Ansichten ;-)
0
Thorsten Hechtfischer11.11.11 14:29
Ich wüsste gerne wo man das Passwort ändern, bin ich zu doof?
0
Bernd Eichhorn11.11.11 14:39

Thorsten

Da sind wir schon zu zweit... Finde das auch nicht. Hatte das schon ewig nicht mehr benutzt. Sehr unübersichtlich das ganze. Löschen kann man seinen Account übrigens auch nicht.
0
lenn1
lenn111.11.11 14:44
Stichwort: Single-Signon ... wenn Du dich bei Steam anmeldest, dann willst Du auch, dass die Anmeldung fürs Forum gilt.

Bullshit, man muss sich fürs Forum extra anmelden.
Wenn du dir die Steam Stellungnahme durchliest, erkennst du auch, dass der Hacker angriff nicht DURCH das Forum ging, sondern über das Forum hinaus.
0
Bernd Eichhorn11.11.11 14:47

Thorsten
hab's rausgefunden: Beim Starten von Steam, nicht einloggen, sondern ganz unten den Button "ALTEN ACCOUNT ABRUFEN..." klicken. Dort kann man dann ein neues PW eingeben.
0
Bibolas11.11.11 16:16
Finde auch schade, dass der release eines der besten spiele durch diesen hack in den hintergrund geraten ist. Skyrim hat das ned verdient. Die haker sind sicher keine zocker. Sonst hätten die einen anderen tag genommen. 😡
0
Gerhard Uhlhorn11.11.11 16:59
Es scheint so, als wenn ich dort ein Guthaben-Konto habe. Dann kann ja nichts passieren.
0
Bibolas11.11.11 17:05
PSC ftw
0
Tirex11.11.11 19:16
Na, wie gut, dass ich nur den Key meiner bei MM gekauften Orange Box eingeben musste. Diese Online Portale sind wirklich noch sehr unsicher.
0
johnnyb11.11.11 20:08
Ich hab ihnen mal ne Mail geschrieben mit einer Kompensationsforderung. Mal sehen, wie die damit umgehen.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.