ComputerBase Menü
Aktuelles
  • Mitspieler gesucht? Du willst dich locker mit der Community austauschen? Schau gerne auf unserem ComputerBase Discord vorbei!

Steam Account gestohlen

Bei dem Google beispiel hat das nur funktioniert weil die 2FA wohl abgelaufen war.
(Aktualisieren sie bitte ihre Handynummer)

Das kann man auch mit dem regelmäßigen wechseln der Passwörter vergleichen.
Wer das nicht tut verliert Sicherheit, und am ende ist der Anbieter wieder schuld: 123456
 
  • Gefällt mir
Reaktionen: Old Knitterhemd und DrThodt
Das kann ich dir nicht beantworten. Aber es gab in meinem Fall sicher keinen Zugriff auf die E-Mail Adresse.
Folgende Mails habe ich bekommen:
  • "Steam Guard Mobile Authenticator removed"
  • "A phone was removed from your Steam account"
  • "Recent changes to your Steam account"
    ("The email address associated with your Steam account has been successfully changed.")
Laut E-Mail Header kamen die ersten beiden in der selben Sekunde, die Dritte dann 6 Sekunden später.
 
Noch nie gehabt sowas, aber wie das mit der email funktioniert, das interessiert mich sehr.
 
@DrThodt Das ist an Ignoranz kaum zu überbieten von Dir, sorry. Du kannst die höchsten Sicherheitsmaßnahmen der Welt in ein System implementieren, aber wenn Du jedoch händisch den Zugang bestätigst, dann ist alles für die Katz, und da wird nichts mehr helfen. Du bist einfach ein Phishing-Opfer und Dir Deiner Schuld nicht bewusst bzw. Dir zu stolz das einfach einzugestehen. Denn Schuld haben immer die anderen, nie man selbst? Layer 8 Problem confirmed.
 
Richtig! Phishingopfer sind natürlich selbst SCHULD daran, dass sie überhaupt erst Opfer geworden sind. Wie kann man auch nur so dämlich sein auf eine perfekt gefälschte Eingabemaske reinzufallen, sieht doch ein Blinder mit Krückstock sofort. Und überhaupt sind alle Opfer von Straftaten selbst SCHULD, nur gesteht sich das keiner ein.

In einer Sache stimmte ich dir aber zu: an Ignoranz kaum zu überbieten (allerdings meine ich was ganz anderes).
 
Ja, Phishing-Opfer sind selbst Schuld. Hier hast Du selbst die Kontrolle darüber wem Du Deine Daten gibst. Bei einem Raubüberfall z.B. hast Du nicht die Wahl dem Täter die Beute zu geben; jedenfalls nicht ohne erhebliche Konsequenzen in Kauf nehmen zu müssen. Du siehst nur was Du sehen willst.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
Zuletzt bearbeitet:
Dein Vergleich hinkt gewaltig. Versuch das doch mal eher auf den Tatbestand Diebstahl (denn das trifft es sachlich deutlich eher) anzuwenden.
Die Kaufhäuser sind selber schuld daran, dass sie beklaut werden. Du bist selbst schuld, wenn dein Auto geklaut wird. Und du bist auch selbst schuld, wenn dir die Brieftasche gestohlen wird... Liste nicht abschließend.
 
DrThodt schrieb:
Richtig! Phishingopfer sind natürlich selbst SCHULD daran, dass sie überhaupt erst Opfer geworden sind.
Zum Vergrößern anklicken....

Du musst schon damit leben das die Anbieter von 2fa gesicherten Services nicht dafür verantwortlich sind wenn die User ausgetrickst werden ;)

Du machst es dir halt sehr einfach. Wenn es einen Schuldigen gibt, dann sind es die Täter und nicht die Anbieter von Diensten, deren Security nur mit sehr viel Social Engineering beim User ausgehebelt werden kann.

Wahrscheinlich hast du darauf gehofft das andere Foristen mit Google Aversion auf deine Geschichte anspringen und dir zustimmen...
 
  • Gefällt mir
Reaktionen: JAIRBS
Nein, darauf habe ich nicht gehofft. Es ging mir gar nicht um Google, sondern darum, dass die "heilige Kuh" 2FA nicht der Weisheit letzter Schluss ist. Insbesondere nicht wenn 2FA schlecht implementiert ist und dafür habe ich nur ein Beispiel gegeben.

Und ich muss sicher damit leben, dass letztendlich ich selbst den Fehler begangen habe, das hab ich auch nie abgestritten (auch, wenn mir ständig was anderes unterstellt wird).

Ich weiß auch, dass letztlich der Anbieter nicht "schuldig" (können wir das mit dem Schuldbegriff vielleicht mal einfach mal sein lassen?) ist.

Ich habe auch keine Lust mehr mich hier ständig verteidigen zu müssen. Ich hoffe echt nur, dass euch so was nie passiert, dann seit ihr nämlich die Angeschmierten. Falls doch, erzählt bloß niemanden davon! Denn der Hohn ist euch dann gewiss.

Ich würde trotzdem gerne zur Sachebene zurückkehren:
Der ganze Vorgang war ja voll automatisiert. Die Frage, die sich mir gestellt hat war, wie man mit einem Sicherheitscode mehrere Aktionen gleichzeitig ausführen kann. Also Handynummer entfernen, E-Mail Adresse ändern, Authenticator entfernen, Passwort ändern usw. usf.... Stellt sich raus, der Steam Sicherheitscode ist 30 Sekunden lang gültig (ich hab's gestoppt) und verliert innerhalb dieser Zeitspanne NICHT die Gültigkeit, wenn er benutzt wurde. Und damit sollte auch die Frage beantwortet sein, wie man ohne Zugriff auf das E-Mail Konto, alles mögliche in Steam ändern kann.
 
Ich habe diese 2 Wege Authentifizierung nicht aktivert.
Habe auch noch keine Probleme gehabt.
 
"Stellt sich raus, der Steam Sicherheitscode ist 30 Sekunden lang gültig (ich hab's gestoppt) und verliert innerhalb dieser Zeitspanne NICHT die Gültigkeit, wenn er benutzt wurde. "

Das setzt aber vorraus das man diesen auf ner manipulierten nachgebastelten Seite eingetragen hat(dubioser Link oder so)

In dem fall ist das System nur so sicher wie der User der vor dem Bildschirm sitzt seinen Kopf eingeschalten hat^^
Man kann viel Sicherheitslücken finden wenn man will aber in solchen Fällen greift man halt direkt auf die unbedachten User zu.

"Ich habe diese 2 Wege Authentifizierung nicht aktivert.
Habe auch noch keine Probleme gehabt. "

Muss ja auch nichts passieren aber wenns mal soweit ist biste alles schneller los als dir lieb ist^^
Soll ja auch Leute geben die haben ihre Pin auf der EC Karte stehn und denen ist noch nix passiert:P
 
Ach Quatsch. Solange unsere E-Mail Adressen vernünftig abgesichert sind, ist das völlig ausreichend.
 
DrThodt schrieb:
Nein, darauf habe ich nicht gehofft. Es ging mir gar nicht um Google, sondern darum, dass die "heilige Kuh" 2FA nicht der Weisheit letzter Schluss ist. Insbesondere nicht wenn 2FA schlecht implementiert ist und dafür habe ich nur ein Beispiel gegeben.

Und ich muss sicher damit leben, dass letztendlich ich selbst den Fehler begangen habe, das hab ich auch nie abgestritten (auch, wenn mir ständig was anderes unterstellt wird).
Zum Vergrößern anklicken....

Um noch mal auf dem Google Beispiel rumzureiten: Wie anders hätte die 2FA da implementiert sein sollen? Immerhin hattest du korrekte credentials (Username und Passwort) und der Besitzer des Accounts hat *aktiv* den zweiten Faktor durch Abschaltung der Telefonnummer und der Email abgeschaltet. Natürlich merkt Google wenn ein Versuch, eine Mail oder eine SMS zu verschicken laufend fehlschlägt.

Eigentlich ist das System ordentlich umgesetzt (denn es erlaubt dem Besitzer selbst den Account zu behalten, auch wenn er den zweiten Kanal abschaltet). Du hast nicht wegen einer Unsicherheit des Systems den Zugriff bekommen, sondern durch mehrere bewusste Handlungen des alten Nutzers, der dir die Credentials gab und den zweiten Kanal für Google sichtbar abschaltete. In dem Fall war nicht "F2A unsicher" sondern es GAB KEIN F2A da kein zweiter Faktor existieren konnte, durch eine Handlung des Kontoinhabers die er mehrere Wochen nicht korrigierte.
 
@ChiliSchaf

Also wenn die Geschichte von @DrThodt so stimmt, dann hat der Vorbesitzer die 2FA eben nicht aktiv abgeschaltet, sondern Google hat einfach selbst entschieden, dass die 2FA hinfällig ist, weil die Telefonnummer laut Google obsolet war. Dann konnte DrThodt einfach eine neue Nummer registrieren und so die 2FA umgehen. Aber das darf nicht sein. Die 2FA soll ja eben davor schützen, wenn jemand meine Credentials erlangt.
Meiner Meinung nach hätte man hier an DrThodts Stelle den Account ausschließlich mit den Backup Codes zurückbekommen dürfen.

Ich habe mir das gerade alles nochmal durchgelesen. Wenn das so stimmt wie ich das verstanden habe, dann ist das nicht ganz korrekt so von Google. Die können nicht einfach von selbst die 2FA abschalten, weil sie denken, dass meine Telefonnummer nicht mehr aktuell wäre.
 
@frizzmaster

lies nochmal:
DrThodt schrieb:
Es dauert 3 Wochen bis ich raus finde, dass weder die Handynummer noch die E-Mail Adresse überhaupt noch existieren.
Zum Vergrößern anklicken....

Der Vorbesitzer HAT sowohl Telefon als auch Email abgeschaltet, was Google dann veranlasste die Frage zu stellen.

PS: die Backup Codes hätten dann einen Einsatz gefunden, wenn die primären Credentials (die der "Angreifer" in diesem Falle ja besaß) vergessen worden wären. Hier war (wie beim TE und dem "Hack" den DrThodt erlitt) menschlichen Versagen das Problem.
 
@ChiliSchaf

Hmm, das ist alles etwas ungenau formuliert vom TE. Ich habe Deine zitierte Passage so verstanden, dass DrThodt mit u.A. der E-Mail Adresse die Backupadresse von Google meint. Man kann sich ja nebst der Telefonnummer auch ne zusätzliche E-Mail Adresse zur Wiederherstellung des Kontos einrichten. Und wenn der Besitzer die Backupadresse löscht, wird sie nicht automatisch beim anderen Konto als Wiederherstellungsadresse gelöscht.

Müssen wir am besten auf DrThodt warten. Alles andere ist Spekulation.
 
Wenn die SMS oder eine Mail noch angekommen wäre, dann hätte der alte Clan Kollege ja auch den Code weiterleiten können.
 
Okay, also ich versuch's nochmal klarer zu machen.
Der alte Kontoinhaber hat überhaupt nichts gemacht außer irgendwann mal das Konto zu registrieren und eine Handynummer für 2FA hinzugefügt.
Das Konto bestand über einen ca. 12 Monate und wurde Anfangs auch aktiv genutzt.
In den letzten 2-3 Monaten jedoch nicht mehr.

Was mit dem Satz "Es dauert 3 Wochen bis ich raus finde, dass weder die Handynummer noch die E-Mail Adresse überhaupt noch existieren" meinte:
Die E-Mail Adresse und die Handynummer, die mit dem Konto verknüpft waren existierten beide nicht mehr (waren aber immer noch verknüpft!). Sprich es konnte NIEMAND mehr auf die Mail Adresse noch auf die Handynummer zugreifen. Der Vorbesitzer hat da auch nichts abgeschaltet o.ä.

Meine ursprüngliche Idee sah daher auch so aus, dass ich abwarten wollte, bis die Domain, die zu der Mail Adresse gehört wieder frei wird, diese zu registrieren und die Mail Adresse neu einzurichten. Das war aber nicht notwendig, weil Google aus eigenem Antrieb heraus auf den zweiten Faktor verzichtet hat und ich damit die Möglichkeit hatte, das Konto zu übernehmen.

Es ist also genau so, wie @frizzmaster in #55 geschrieben hat.
 
ChiliSchaf schrieb:
PS: die Backup Codes hätten dann einen Einsatz gefunden, wenn die primären Credentials (die der "Angreifer" in diesem Falle ja besaß) vergessen worden wären.
Zum Vergrößern anklicken....

Nein! Das ist sachlich falsch! Die Backup Codes sind nicht dafür da einen Ersatz zu haben, falls man die Login Credentials nicht mehr hat, sondern dafür gedacht eine Alternative zu haben, falls man keinen Zugriff mehr auf die 2FA hat. Heißt, man hat den Authenticator ausversehen gelöscht oder keinen Zugriff mehr auf die Handynummer oder E-Mailadresse, an die die Login-Codes geschickt werden. Wenn Du das Passwort nicht hast, dann hast Du gar keine Möglichkeit einen Backupcode einzugeben. Dann wären diese Backup-Codes für die 2FA ja Backup-Passwörter.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

X
Steam Account gestohlen, keine Chance 😞
Antworten
19
Aufrufe
8.072
Maviba
M
B
Steam und Battlestate Account gestohlen
2
Antworten
20
Aufrufe
4.173
Eletron
Eletron
M
Steam Account wurde gestohlen
2
Antworten
27
Aufrufe
7.234
Feligs
Feligs
M
  • Gesperrt
steam account gestohlen oder gesperrt
Antworten
12
Aufrufe
1.759
Dandelion
Dandelion
S
Steam Account gestohlen
2 3
Antworten
41
Aufrufe
17.510
ekin06
ekin06

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz