News Auch Steam wurde gehackt – Nutzerdaten betroffen

[serverlag]

1.
Geheimfrage in Steam neu ausgesucht mit völlig unlogischer Antwort.

2.
Steam Passwort geändert 16 Zeichen mit Umlauten, Groß-und Kleinschreibung,Zahlen und Ascii

...

Hab ich auch gemacht und eine interessante Feststellung gemacht:
Steam schickt dir einen Bestätigungscode an deine Email-Adresse, den du eingeben musst, um die Sachen ändern zu können.
Der Bestätigungscode wird aber nicht jedes Mal neu generiert... er war bei den drei Änderungen, die ich gemacht hab, jedes Mal der Gleiche...

Ähm, das ist doch wirklich nicht so ganz auf der Höhe der Zeit, oder?

Außerdem hieß es nach der Passwortänderung, ich solle Steam beenden, und dann wieder starten und mich neu einloggen. Nur das Steam mich automatisch mit dem neuen Passwort einloggt, ohne dass ich es jemals (ausser beim Ändern selbst) eingeben muss...

Das sind vielleicht nur Detail-Unstimmigkeiten, aber für mich ein klarer Hinweis, dass Valve die Sicherheitsfeatures in ihrem Laden an allen Ecken und Enden nicht im Griff haben. Bei so einer Plattform MUSS ALLES, was mit Accounts zu tun hat, EINDEUTIG und FEHLERFREI funktionieren. Die sollen bitte auch mal PRONTO die SMS-Bestätigung a la PayPal und Multifactor Authentifcation a la Google Authenticator anbieten.
Bei den Umsätzen die sie haben und der Menge an sensiblen Daten sind sie einfach ein 1a Prioritätsziel für Hacker. Das gibt es echt einfach nicht, dass die ihre Sorgfaltspflicht in dem Bereich so verletzen, das gefährdet doch auch ihr Geschäftsmodell...
Ich bin erst seit ein paar Monaten bei Steam und bin einfach davon ausgegangen dass die aufgrund ihrer Größe einen sinnvollen Standard haben, aber so schaut es jetzt für mich gar nicht mehr aus.
Finde die Plattform echt fein ansonsten, aber das geht nun mal gar nicht mehr heutzutage so die Sicherheit links liegen zu lassen.

 

[eichefranz]

Nicht hacken sondern zerhacken müsste man diesen Mist von Steam.
Steam = warten,warten ,warten..........................................................

 

[amcooper]

Da sind ja Viren und Trojaner aufm eigenen Rechner fast schon harmlos, lol.

 

[Wiggum]

@ Paddy84

Naja, man kann es aber auch übertreiben...
Nehmen wir mal an die haben dein Steam Daten (Benutzername, verschlüsseltes Passwort, E-Mail).

Jetzt müssten die erstmal das Passwort entschlüsseln was die Mühe vielleicht garnicht Wert ist, dann könnten sie sich einloggen.
Doch nun greift die Steam Zugangs Kontrolle (die loggen sich ja von einem anderen PC ein).
Jetzt müssten die also noch dein E-Mail Passwort knacken.
Und selbst dann hätten sie noch lange nicht dein Paypal Passwort.

Ich beobachte jetzt einfach mal, E-Mail, Paypal und so...sollte Steam dann doch dazu raten alle Logins zu ändern werde ich das machen aber jetzt erstmal keine Panik !

 

[o0andre0o]

Du wirst nicht umhin kommen, dir kurz den Client zu installieren, das Passwort zu ändern und ihn dann wieder zu entfernen.

Danke für die Antwort. Hab da auch nichts gefunden und schon eine Anfrage an den Support gemacht. Dafür brauch man natürlich auch ein extra Support-Konto. Das angelegte steamkonto kann dafür nicht verwendet werden.
/kopfschüttel Momentan warte ich noch darauf das adidas ihre micoach website wieder in Betrieb nimmt. Ohne die kann man nähmlich seinen "micoach" leider nicht verwenden. Hat ja damals auch bloß 119,- € gekostet. Jetzt noch den steamclient installieren... Loriot würde jetzt wohl sagen: "Tja!". Wie mich diese unfähigen Onlineshops an...

 

[micki70]

Dass ein Sicherheitscode von valve gesendet wird, falls man sich von einem anderen PC aus anmeldet ist die eine Sache. Die Hacker haben sich aber in das System gehackt und konnten somit alle Sicherheitsmerkmale als "Administrator" deaktivieren. Jedenfalls habe ich keinerlei Sicherheitsfragen oder Codes von steam erhalten. Wie die das gemacht haben, ist mir letzen Endes egal und ich will es auch gar nicht wissen. Man sollte diesem Treiben Einhalt gewaehren. Ich kann mir auch nicht vorstellen, was man davon hat steam zu hacken. Wahrscheinlich ist es wiedermal eine Demonstration nach dem Motto: seht mal was wir koennen. Mich macht so ewtas wuetend. Ich kann gleich erstmal meine Bestatigungscodes/Eigentumsnachweise heraussuchen.

 

[ViRuZ87]

Sind die Bankdaten, die man fürs bezahlen über Sofortüberweisung.de verwendet hat auch gefährdet?

 

[Staubwedel]

Selbst wenn du heutzutage Spiele auf DVD kaufst, sind die meisten mit einem Kopierschutz versehen der Steam erfordert. Man kommt heutzutage einfach nicht mehr an Steam vorbei.

Leider, ich weiß. Hab aber nur 1 Game das Steam erfordert und nie Infos für Kreditkarten o.ä. bei Steam eingegeben

 

[MUnicorn]

Sie haben ja sehr schnell reagiert ! Wenn ich da am Mindf.... damals denke ohh weia

und noch ein grund warum ich keinen Steam Account besitze und mich auch mit der Idee nicht anfreunden kann, hoffe das die betroffenen Nutzer keine finanziellen Nachteile haben.

 

[bushklopper]

... und schon eine Anfrage an den Support gemacht. Dafür brauch man natürlich auch ein extra Support-Konto. Das angelegte steamkonto kann dafür nicht verwendet werden.
/kopfschüttel

du willst dich ernsthaft beschweren, das Valve für Steam, Steam-Forum & Steam-Support jeweils ein eigenes Konto verlangt, das i.d.R. nicht gleiche Username&Passwort&Mail benötigt?
Die Trennung ist doch Klasse! 3 unabhängige Konten.

@micki70
also ich hab vorhin ne Mail mit Secure Code bekommen. Kuck mal in deinem Spam-Ordner nach.
Ich glaub, der Fehler liegt woanders als bei diesem Steam-Hack...

 

[bLu3to0th]

Genau... nu werd ich mir n neues ausdenken müssen*grml*

Sowas ist in der heutigen Zeit einfach nur dumm, sorry, muss man einfach mal so sagen ....

Einfach nur dumm, dass du nicht verstanden hast, dass es sich nur um mein Steam-PW handelt

 

[stan2008]

moment, ich kapier das jetzt net: ich bin nicht im Steam-Forum, habe aber nen Steam-Acc mit Spielen drauf, in wie weit sollte ich jetzt mein Passwort ändern? (Irgendwie wird mir das aus der News nicht ersichtlich ^^)

 

[mrdeephouse]

Am besten wär echt die gute alte Spiel als DVD kaufen, installieren, Code eingeben und fertig.

so isses !

 

[Mr.Highping]

Ich sehe das ganze sehr gespalten.
Meiner Meinung nach hat Valve einfach die Paraderolle, dass soetwas nicht passieren darf! Natürlich gibt es keine 100% Sicherheit aber trotzdem ist es gerade für Valve und Steam gefährlich und der absolute GAU was gerade passiert ist.
Auf der anderen Seite muss ich sie dafür loben, dass sie a) ehrlich sind und b) schnell reagiert haben!
Da mit Steam Guard die Chance, seinen Account zu verlieren gegen 0 geht mache ich mir keine Sorgen, dass wirklich was passiert. Nur meinen ClickandBuy Account habe ich vorsichtshalber erstmal die Berechtigung entzogen, dass Steam darauf zugreifen darf.
Außerdem glaube ich, dass Valve im Gegensatz zu Sony die Daten auch wirklich verschlüsselt hat und man sich keine Sorgen machen sollte, dass irgendwas von der Kreditkarte abgebucht wird.
Der Imageschaden wird trotzdem nicht zu unterschätzen sein und das tut mir für einen der letzten großen Indie Entwickler richtig leid!

Mit freundlichen Grüßen
Dude-01

 

[Paddy84]

@ Paddy84

Naja, man kann es aber auch übertreiben...
Nehmen wir mal an die haben dein Steam Daten (Benutzername, verschlüsseltes Passwort, E-Mail).

Jetzt müssten die erstmal das Passwort entschlüsseln was die Mühe vielleicht garnicht Wert ist, dann könnten sie sich einloggen.
Doch nun greift die Steam Zugangs Kontrolle (die loggen sich ja von einem anderen PC ein).
Jetzt müssten die also noch dein E-Mail Passwort knacken.
Und selbst dann hätten sie noch lange nicht dein Paypal Passwort.

Ich beobachte jetzt einfach mal, E-Mail, Paypal und so...sollte Steam dann doch dazu raten alle Logins zu ändern werde ich das machen aber jetzt erstmal keine Panik !

Ist meine Standard Prozedur wenn ich betroffen bin.

 

[o0andre0o]

bushklopper

du willst dich ernsthaft beschweren, das Valve für Steam, Steam-Forum & Steam-Support jeweils ein eigenes Konto verlangt, das i.d.R. nicht gleiche Username&Passwort&Mail benötigt?

ich selber

Hab da auch nichts gefunden und schon eine Anfrage an den Support gemacht.

Ich habe eine Anfrage gemacht ob ich mein Passwort auch über die Website ändern kann.

bushklopper

Die Trennung ist doch Klasse! 3 unabhängige Konten.

computerbase Artikel

Bei dem Angriff auf das offizielle Steam-Forum wurden nicht nur einige Forenaccounts kompromittiert ... Die Datenbank enthalte dabei „echte“ Nutzerdaten von Steam-Nutzern und nicht nur solche von Foren-Nutzern... Konkret gehe es um Nutzernamen, verschlüsselte Passwörter, Informationen über gekaufte Spiele, E-Mail-Adressen, Rechnungsanschriften und verschlüsselte Kreditkarteninformationen.

(ironie) Natürlich sind 3 Anmeldungen besser als eine. Hat in diesem Fall ja auch wunderbar geklappt. (/ironie)

 

[Child]

Da mit Steam Guard die Chance, seinen Account zu verlieren gegen 0 geht mache ich mir keine Sorgen, dass wirklich was passiert.

Seh ich ähnlich - dass jemand den Account hijacked ist so recht unwahrscheinlich. Da müsste zeitgleich auch der email-account gehacked worden sein.
Bei Paypal gibt es übrigens eine ähnliche Funktion. Wenn man sich einloggen will bekommt man ne SMS mit ner 6-stelligen Nummer aufs Handy und nur wenn man die eingibt kann man sich einloggen. Funktioniert im Grunde wie das Mobile-TAN-System, dass mittlerweile häufig beim Online-Banking zum Einsatz kommt. Das Ganze ist in Paypal nur recht versteckt

 

[carom]

Alle Antiviren,Spyware und Maleware Programme aktualisiert und einen Intensivscann durchführen lassen.

Zwischen dem Hacken der Steamsite und Malware auf deinem PC ist es aber noch ein ganz ganz weiter Weg. Der nächste logische Schritt in deiner Kette wäre dann einen Sturzhelm aufziehen und unterm Bett verstecken.

 

[TGoP]

Steam ist Schmutz, aber das sage ich schon immer. Wer es nutzen will bitte, nur bekommt man es ja leider aufgezwungen. Selbst wenn man, wie ich, seine Spiele nach wie vor im freien Handel kauft kommt man am Ende nicht um Steam herum. Und wieso ich dort für neue Spiele, in rein digitaler Form, grundsätzlich mehr zahlen soll als für ein Spiel mit Verpackung, Medien und Handbuch (und sogar noch inkl. der Versandkosten) wird mir ewig ein Rätsel bleiben.

Aber die Verteidiger des Systems Steam stehen sicher gleich auf der Matte und schließlich geht es dieses Mal ja auch nicht um das System an sich sondern "nur" um die Nutzerdaten. Da lobe ich mir Händler wie Okaysoft. Und schaut man sich die Entwickling an ist es nur eine Frage der Zeit bis PayPal dran ist... und dann steppt der Bär.

 

[Paddy84]

Zwischen dem Hacken der Steamsite und Malware auf deinem PC ist es aber noch ein ganz ganz weiter Weg. Der nächste logische Schritt in deiner Kette wäre dann einen Sturzhelm aufziehen und unterm Bett verstecken.

Das kleine Gefühl der Scheinsicherheit, ist mir am ende eines solchen Tages aber lieber als nix zu tun.