News Steam-Ausfall: Valve nennt DDoS-Attacke als Auslöser

[POINTman-10]

Das schwerwiegende Sicherheitsleck, mit dem Valve respektive der Steam Store an den Weihnachtsfeiertagen zu kämpfen hatte, wurde wie zuvor bereits vermutet von einem DDoS-Angriff eingeleitet. Infolgedessen gab es „Caching-Probleme“ bei den Servern, die Valve in einem Blogeintrag nun näher erläutert.

Zur News: Steam-Ausfall: Valve nennt DDoS-Attacke als Auslöser

 

[FranzvonAssisi]

Ich hoffe mal, dass sie so ein Partnerunternehmen jetzt erstmal vorläufig suspendiert haben

 

[yast]

@computerbase Bei den Uhrzeiten habt ihr euch vertan glaube ich.

 

[xcsvxangelx]

Es behauptet ja immernoch ein User, jemand hätte ihm mit diesen Infos seinen Paypal Account leergeräumt.

Für mich nur Spinnerei.

 

[hrafnagaldr]

Naja, mir wurden am 24.12. genau 950€ (300€ und 650€) über Entropay auf meiner VISA abgebucht, bei denen wurde mit meinen Daten bei denen eine virtuelle Kreditkarte erstellt und mit den 950€ aufgeladen. Meine Karte war ein halbes Jahr alt und bei Google / Steam / Amazon und Blizzard mit CVC drin.
So nun die große Frage, woher kamen die Daten gerade an Weihnachten. Ich gehe zumindest mal nicht davon aus, dass sich ein Kollege die Daten gezockt hat als ich aufm Klo war

Mir ist das bis auf das Telefonat und den Reklamationsantrag relativ egal, das Geld krieg ich wieder. Aber eigentlich müssen die Daten von einem der vier Anbieter stammen.

Klar kann das Zufall sein, aber als erstes denkt man natürlich an die Steamgeschichte.

 

[Luxuspur]

na es waren definitiv genug Infos (und mehr als STEAM zugibt) sichtbar, konnte selbst diverse andere Konten einsehen und mit den Infos sollte es problemlos möglich sein sich gegenüber Steam als rechtmäßiger User auszugeben! Wenn dann auch noch dein Paypal Account hinterlegt als Dauerauftrag, wäre das durchaus möglich!

Mailadresse; Geheime Sicherheitsfragen / Antworten; vorhandene Spiele und Wunschliste; Adresse, Geburtsdatum ... zwar kein PW und keine vollständigen Konto/Kreditkartennummern, aber zum übernehmen eines STEAM Accounts ausreichend Daten.

Das ist noch nicht vorbei! Und diese Daten sind auf dem Schwarzmarkt bares Gold wert.

Sollten da tatsächlich noch Folgeschäden im größeren Maße auftreten wäre das der Dolchstoß für STEAM, gerade bei Klagen in der USA. Eigentlich genau das was es bräuchte um von diesem always on Wahn runter zu kommen.

 

[diamdomi]

Na ist ja zum Glück nichts wirklich passiert, was einen schaden könnte. Ist ja nicht wie bei anderen Betreiber etwas im Klartext gespeichert

 

[luda]

Wie ichs ja gesagt hab.

 

[R1c3]

Auch wenn man keine Einkäufe mit fremden Konten tätigen konnte oder ähnliches, es wurden persönliche Daten in manchen Fällen offengelegt sofern der andere Account Artikel im Warenkorb vorgemerkt hatte, dann hatte man die ganze Anschrift der Person + Telefonnummer + Email verfügbar und das ist durchaus sehr bedenklich, da es bekanntlich genug A*****öcher gibt die mit den persönlichen Daten anderer Personen teilweise extrem gefährlichen Unfug treiben.

Totalbiscuit hat dazu ein sehr passendes Video gemacht wo er erklärt warum Steam mit der Aktion durchaus ziemlichen Bockmist gebaut hat und das ganze nicht als harmlos abgetan werden sollte wie so mancher Steam Jünger das gerne tut.

 

[RipperJoe]

Ok sie waren ein paar std. down, aber ansonsten waren Valve, MS und Sony dieses Jahr recht standhaft wie ich finde.

 

[NeoTiger]

Klar hat Valve Bockmist gebaut. Allerdings hätte das saubere Vorgehen - erst einmal die Konfigurationsänderung im Caching sorgfältig auf einer Testumgebung zu prüfen, bevor man sie deployed - bedeutet, dass zum Beginn des Winter Sales Steam erstmal für mehrere Stunden nicht erreichbar gewesen wäre - vermutlich nicht nur der Store, sondern auch die Foren, der Chat und der Matchmaking Service. So oder so wären die Leute dann auf Valve sauer gewesen.

Man hat sich offensichtlich übereilit zu einer Not-Handlung entschlossen, und dann ist halt dummerweise etwas schlimmeres passiert.

Dass gerade Personen von öffentlichem Interesse wie TotalBiscuit sich darüber besonders aufregen ist gut nachvollziehbar. Wenn irgendjemand seine Wohnadresse gesehen hat, darf er jetzt Angst haben dass jederzeit ein SWAT Team bei ihm aufkreuzt. Und der arme Mann hat wirklich schon genügend andere Sorgen derzeit ...

 

[Luxuspur]

ok ... nach deiner Aussage geht also Gewinn vor, vor der Sicherheit der Userdaten! Dann gehören die erst recht bis aufs Unterhemd verklagt! Wenn man sich einem Angriff gegenüber sieht macht man zuerst die Schotten dicht, analysiert und schaut dann wie man dem Angriff begegnen kann!

 

[estre]

Totalbiscuit hat dazu ein sehr passendes Video gemacht wo er erklärt warum Steam mit der Aktion durchaus ziemlichen Bockmist gebaut hat und das ganze nicht als harmlos abgetan werden sollte wie so mancher Steam Jünger das gerne tut.

harmlos finde ich das nicht, aber was willst du machen? Steam muss man aber zu Gute halten, dass sie in den letzten Jahren echt viel in Bezug auf Sicherheit gemacht haben, gerade was die Handelsgeschäfte betrifft (CS:GO Skins, etc.).

 

[mambokurt]

na es waren definitiv genug Infos (und mehr als STEAM zugibt) sichtbar, konnte selbst diverse andere Konten einsehen und mit den Infos sollte es problemlos möglich sein sich gegenüber Steam als rechtmäßiger User auszugeben! Wenn dann auch noch dein Paypal Account hinterlegt als Dauerauftrag, wäre das durchaus möglich!

Mailadresse; Geheime Sicherheitsfragen / Antworten; vorhandene Spiele und Wunschliste; Adresse, Geburtsdatum ... zwar kein PW und keine vollständigen Konto/Kreditkartennummern, aber zum übernehmen eines STEAM Accounts ausreichend Daten.

Das ist noch nicht vorbei! Und diese Daten sind auf dem Schwarzmarkt bares Gold wert.

Sollten da tatsächlich noch Folgeschäden im größeren Maße auftreten wäre das der Dolchstoß für STEAM, gerade bei Klagen in der USA. Eigentlich genau das was es bräuchte um von diesem always on Wahn runter zu kommen.

Die Daten _wären_ vielleicht Geld wert, hätte jemand 1000 Datensätze (oder so) gezogen. Hat aber niemand, weil technisch schlecht möglich. Dann wären die 1000 Sätze vielleicht 50 Cent bis 1 € wert.

Und (ich bin mir nicht ganz sicher) afair ist die Antwort auf die Sicherheitsfrage auch ausgesternt bei Steam.

Du malst hier Schreckgespenster an die Wand die schlicht keine sind. Bei einem Databreach selbst mit kompletten Kreditkartendaten lacht sich ein anständiger Cyberkrimineller kurz kapput und drückt dir für die 34000 Sätze einen Zehner in die Hand. Das war rufschädigend und peinlich für Steam, mehr aber auch nicht.

Selbst wenn da jetzt in Größenordnungen falsche Transaktionen auf die Kreditkarten laufen, für die Kreditkartenfirmen ist das Business as usual. Theoretisch kannst du dafür nichtmal Steam belangen, die Kreditkartennummer ist keine geheime Info.

 

[crvn075]

Mailadresse; Geheime Sicherheitsfragen / Antworten; vorhandene Spiele und Wunschliste; Adresse, Geburtsdatum ... zwar kein PW und keine vollständigen Konto/Kreditkartennummern, aber zum übernehmen eines STEAM Accounts ausreichend Daten.

Du hast also die Antworten auf Geheimfragen anderer User sehen können? Bitte keine Märchen verbreiten...
Ansonsten würde ich gerne wissen, in welcher Ansicht du die Antworten gesehen hast.

Das ist noch nicht vorbei! Und diese Daten sind auf dem Schwarzmarkt bares Gold wert.

Ja, nur dass nicht die ganze Datenbank auf einmal veröffentlicht wurde, sondern nur ein gewisser Teil der Nutzer für einige Zeit die Daten eines anderen oder einer Hand voll anderen Nutzern sehen konnte. Für ein paar wenige erbeutete Datensätze bekommst du auf dem Schwarzmarkt nichts, das lohnt sich ja nicht mal darüber nachzudenken.

Sollten da tatsächlich noch Folgeschäden im größeren Maße auftretten wäre das der Dolchstoß für STEAM, gerade bei Klagen in der USA.

Ja sicherlich, hauptsache Drama im Beitrag erzeugen was?

 

[shoKuu]

Hab noch nie so viel Quatsch auf einmal gelesen.

1. Konnte man nur die E-Mail Adresse 100% vollständig lesen
2. Waren absolut keine Käufe mit der falschen Verlinkung möglich

Die restlichen Daten waren alle nicht vollständig. Sprich keiner konnte Kreditkartennummer sehen, oder Paypal Accounts übernehmen oder sonst was. Und selbst die Anschrift konnte man wirklich nur lesen, wenn man einen Artikel im Warenkorb hatte. Und mit diesen Sachen kann man auch noch kein Account übernehmen.
Und wer wirklich so faul ist und seinen Paypal Account oder Kreditkarteninformationen hinterlegt hat auch irgendwie selber Schuld. Ich habe lediglich meine Kontonummer bei Amazon hinterlegt. Bei jeder Seite (egal wie oft ich dort bestelle) werde ich jedes mal alles von Hand eingeben.

 

[Pr0gramm]

Der Angriff kam doch mit Ankündigung. Tage zuvor wurde so ein Angriff proklamiert.

 

[UltraWurst]

War klar, daß die ganzen Steam-Hater jetzt wieder aus ihren Löchern gekrochen kommen und Lügen erzählen.

 

[Pure Existenz]

Wird alles zu heiß gekocht.
Ihr wollt ja die Spiele.
Ihr hinterlegt eure Daten.
Und alles ist immer zu 100% sicher, wisst ihr doch.
Kann also gar nicht sein...

 

[Zehkul]

Totalbiscuit hat dazu ein sehr passendes Video gemacht wo er erklärt warum Steam mit der Aktion durchaus ziemlichen Bockmist gebaut hat und das ganze nicht als harmlos abgetan werden sollte wie so mancher Steam Jünger das gerne tut.

Totalbiscuit hat da ganz natürlicherweise eine etwas andere Ansicht, die für normale Nutzer nicht unbedingt relevant ist. Er ist ungemein bekannt, wenn seine Daten plötzlich im Internet herumflattern, hat er ein richtiges Problem. Du, ich oder irgendwer sonst hier eher nicht. Es ist ein unangenehmes Gefühl, wenn jemand deine Adresse sieht, aber praktische Auswirkungen hat das nicht. Für Totalbiscuit und andere bekannte Persönlichkeiten schon …