Steam "Account recovery" E-Mail Flut

[pmkrefeld]

Hi all,

ich habe seit 2 Tagen das Problem, dass jmd aktiv versucht sich den Zugang zu meinem Steam-Konto zu verschaffen.
Ich bekomme von Steam E-Mails mit Codes zum zurücksetzen des Passworts, und zwar aus aller Welt. Wahrscheinlich VPN und so. Habe ein wenig darüber gegrübelt, und glaube nicht dass jmd an meine Login-Daten gekommen sein könnte. Der Steam-Support zeigt sich leider recht ahnungslos, zuerst wollte man mir nicht glauben, nun werden mir so 0815-Maßnahmen vorgeschlagen. Ich glaube der Steam-Support Mensch kennt nicht einmal den Unterschied zwischen 'account recovery' und 'new login attempt'.

Was ins Auge sticht is die Verwendung der E-Mail samt des +Steam Suffix, der ist zwar zugegebenermaßen einfach zu erraten, ich habe diesen aber abgesehen von der Anmeldung bei Steam nie verwendet, nicht mal zum einloggen bei Steam, dort verwende ich meinen usernamen. Es ist nur ein schwacher Indikator, die Daten könnten aber theoretisch auch Steam selbst entkommen sein.

(So nebenbei: Ich verwende immer einzigartige Passwörter und speichere diese nirgends (kein PW-Manager oder ähnlich); es gab keine fehlgeschalgenen Anmeldeversuche zu meinem E-Mail-Konto oder ähnliches, es ist nur Steam betroffen.)

Daher fühle ich mich noch nicht sonderlich bedroht, bekomme aber von Steam haufenweise Spam in Mein E-Mail Postfach.
Was ich ebenfalls nicht verstehe ist was der Angreifer zu erreichen versucht, ohne Zugang zu meinen Mails zu erreichen.

Kennt jemand von euch die Masche oder war in einer ähnlichen Lage?

 

[Tornhoof]

Ich kenn das von Ubisoft, da versucht irgendeiner alle paar Wochen/Monate Account Recovery mit meinem Account zu machen.
Da kannst du nicht viel gegen machen.

 

[DaysShadow]

Sofern du den Steam Guard nutzt und damit 2FA aktiv ist, kann dir ohnehin keiner was. Sollen sie ihre Zeit verschwenden.

 

[Red Sun]

Ich hatte vor einiger Zeit mal so ziemlich das Gleiche Problem mit meinem Account vom EPIC-Launcher. Da ich sowohl bei der E-Mail als auch beim Account einzigartige und sichere Passwörter + 2FA nutze, habe ich mir da wenig Gedanken drüber gemacht. Irgendwann habe ich dann meine Mail umgezogen, dann war endgültig Feierabend mit den Meldungen.

Leider tauchte meine alte Adresse wohl in irgendeiner gehackten Datenbank auf, ich nehme an das dann einfach mal durchprobiert wurde. Was da die genaue Masche dahinter ist, darüber kann ich leider nur spekulieren, ich nehme an es gibt wohl einen Weg auf diese Art und Weise Accounts zu stehlen, zumindest falls die User entsprechend schwache Passwörter nutzen.

 

[Hexenkessel]

Zur Sicherheit würde ich jedoch ein neues (und sehr sicheres) Passwort erstellen. Wenn man schon darauf hingewiesen wird, dass man im Fadenkreuz steht, sollte man dies zumindest durchführen.

 

[Polishdynamite]

Ob es noch die Möglichkeit gibt weiss ich nicht, früher konnte man sich einloggen und das Passwort ändern ohne dafür einen Mailacc. zu benutzen!

 

[pmkrefeld]

Zur Sicherheit würde ich jedoch ein neues (und sehr sicheres) Passwort erstellen. Wenn man schon darauf hingewiesen wird, dass man im Fadenkreuz steht, sollte man dies zumindest durchführen.

Ich halte es zwar für sicher, könnte es aber NOCH Sicherer machen, was solls

Ergänzung (14. Juli 2021)

Werde auch mal einen neuen Suffix einstellen der etwas schwerer zu erraten ist

 

[TP555]

Hi

Das könnte evtl. Funktionieren , ich habe es allerdings jetzt nicht vor den Augen , wenn man das Passwort zurücksetzt , und Mann da seine E-Mail nochmal angeben muss.

Weil dann könntest du diese inkl. dem Passwort ändern , und dann ist's gut. !

Mfg.

 

[madmax2010]

Ich halte es zwar für sicher, könnte es aber NOCH Sicherer machen, was solls

Wirklich wichtig ist: jede email adressse nur 1x fuer einen account verwenden. Dann koennen dir leaks egal sein.
Massig gegscheite hoster unterstuetzen das, auch in guenstiggen accounts.
Kostenfrei geht das glaube ich nur bei gmail.

 

[pmkrefeld]

@TP555
@madmax2010

Genau so hab ich es gemacht, E-Mail geändert, PW noch gestärkt (so langsam sind die lächelich stark), und Handy als alternative zu Mail hinzugefügt.
Wenn diese Mail nun leakt, dann weiß ich definitiv dass Steam ein Loch hat.

 

[howdid]

https://haveibeenpwned.com/

hier kannst du schauen obs wegen einem Leak ist.

 

[DaysShadow]

@howdid Das ist eine Möglichkeit sich bzw. seine Mailadressen zu prüfen, aber keine 100%ig sichere Aussage. Man ist also nicht zwingend nicht betroffen, wenn die Mailadresse nicht dort auftaucht. Das sollte man nicht vergessen.

Ist ein etwaiger Leak nicht öffentlich, kann er auch nicht dort erfasst sein.

 

[sweber]

Wollte nur mal eine Anekdote zum Besten geben.

Ich habe tatsächlich vor etwa zehn Jahren mal so einen Versuch zurückverfolgt. Die IP war ausnahmsweise mal nicht Russland oder Brasilien, sondern in Deutschland. Eine öffentliche Einrichtung sogar. Ich habe mich dann beim Admin dort gemeldet, der das auch tatsächlich weiterverfolgt hat; es hat sich dann aber herausgestellt, dass jemand eine sehr ähnliche Mailadresse wie ich hatte (basiert auf Namen, der recht verbreitet ist).