• Mitspieler gesucht? Du willst dich locker mit der Community austauschen? Schau gerne auf unserem ComputerBase Discord vorbei!

News Steam: Übernahme beliebiger Accounts durch Sicherheitslücke

Robert

Redakteur
Teammitglied
Registriert
Feb. 2009
Beiträge
1.699
Durch einen Fehler bei der Passwortwiederherstellung von Valves Spieleplattform Steam war es Betrügern möglich, jeden beliebigen Account zu übernehmen. Die Lücke ist inzwischen geschlossen. Wer eine E-Mail von Steam bezüglich einer Passwortänderung erhielt, sollte dieses dennoch ändern.

Zur News: Steam: Übernahme beliebiger Accounts durch Sicherheitslücke
 
Armutszeugnis ... Valve.

Verlorene Wertgegenstände werden:
[ ] ersetzt
[ ] untersucht
[ ] wiederhergestellt
[x] ignoriert

mfg,
Max
 
das video schaut sich wie ein aprilscherz. kanns kaum glauben das sowas möglich ist/war o_O .
 
max_1234 schrieb:
Armutszeugnis ... Valve.

Verlorene Wertgegenstände werden:
[ ] ersetzt
[ ] untersucht
[ ] wiederhergestellt
[x] ignoriert

mfg,
Max

Durch den Fehler konnte keinerlei Schaden entstehen ausser man war wirklich so doof und hat SteamGuard deaktiviert. Wer das gemacht hat, hats aber auch verdient.
 
max_1234 schrieb:
Armutszeugnis ... Valve.

Verlorene Wertgegenstände werden:
[ ] ersetzt
[ ] untersucht
[ ] wiederhergestellt
[x] ignoriert

mfg,
Max

Es gibt noch einen Trade Ban über mehrere Tage, wenn man den Steam Guard aktiv hat. Wie soll denn dann etwas wegkommen ?

[] Vorher nach gedacht.
[x] Vorher nicht nach gedacht
 
Schon heftig, wie so eine Schwachstelle übersehen werden kann.


Zudem heißt es, dass Accounts mit aktiviertem „Steam Guard“ gegenüber nicht authorisierten Logins geschützt waren, auch wenn die Zugangsdaten geändert wurden.
D.h. all die Leute, die plötzlich (etwa via Twitch) ab- und woanders angemeldet wurden, hatte keine 2-Faktor-Anmeldung aktiviert? Interessant.
 
Mit Steam Guard muss ein unbekannter Rechner erstmal autorisiert werden und das geschieht über eine Email. Hat der "Hacker" (was hier wirklich der falsche Begriff ist), also keinen Zugriff auf das Emailkonto kann er gar nichts machen außer das Passwort zu ändern. Was evtl ärgerlich ist, ist dass nach einem geänderten Passwort man einen mehrtägigen Tradeban bekommt.
 
M@rsupil@mi schrieb:
Schon heftig, wie so eine Schwachstelle übersehen werden kann.


D.h. all die Leute, die plötzlich (etwa via Twitch) ab- und woanders angemeldet wurden, hatte keine 2-Faktor-Anmeldung aktiviert? Interessant.

Was verstehst du unter via Twitch ab und woanders angemeldet wurden? Der Steam Guard ist normalerweise immer an und verlangt nach einer weiteren Identifikation sobald sich jemand mit einer neuen IP Adresse, Position oder Gerät anmeldet die nicht deinen bisherigen entspricht. Der hat mich selbst schon paar mal genervt weil ich mobil über die Jahre hinweg mit neuem Smartphone(s), nach Provider Wechsel oder nach Reset des Geräts (weil Custom Rom ausprobiert) mich über die Steam App einloggen wollte. Oder Firma (ohne Passwort Speicherung versteht sich) auf der Webseite. Und jedesmal hieß es STOP verifiziere mal ob du du bist weil wir das Gerät, IP oder Location (es wird festgehalten wie dein Provider dich normalerweise Routet über das Internet) nicht kennen.

Der Typ da in dem Video loggt sich ja mit seiner bekannten Location (er ist Zuhause), Gerät (der PC den Steam kennt) und IP (der IP Pool seines Providers der sonnst auch benutzt wird) ein. Deswegen schlägt der Steam Guard auch nicht Alarm. Wäre er aber schon um die ecke bei sich in einem Internet Cafe gewesen = vielleicht gleiches Routing wenn es der selbe Provider wäre aber durch das andere Gerät (PC) & IP Pool. Schon wäre der Steam Guard aktiv.
 
Zuletzt bearbeitet:
Die Frage ist, ob einem das der Steam-Account wert ist?

Oder besser gesagt: Warum haben andere Anbieter (LoL, WoW usw dies noch nicht integriert?).
In Zeiten von Smartphone hat doch eh jeder die Mail direkt parat.
 
:cool_alt: Ohne Steam wäre (Singelplayer)Gaming viel sicherer
Datenträger einlegen- Spiel installieren - evtl noch ein Patch installieren (vorher downloaden) und dann spielen.
Kein (Zwangs)Account der geknackt werden könnte.
 
plaggy schrieb:
Die Frage ist, ob einem das der Steam-Account wert ist?

Ob der Steamaccount es einem Wert ist, ihn per Steam-Guard zu schützen?
Ich glaube mein Steam-Acc ist 1000€+ wert. Selbstverständlich ist es mir das Wert.
 
Cokocool schrieb:
Es gibt noch einen Trade Ban über mehrere Tage, wenn man den Steam Guard aktiv hat. Wie soll denn dann etwas wegkommen ?

[] Vorher nach gedacht.
[x] Vorher nicht nach gedacht

Richtig, ab jetzt.
[x] Vorher nicht nach gedacht

mfg,
Max
 
Ich war gestern davon betroffen - habe früh um 01:20 zwei Mails von SteamGuard erhalten, dass mit einer IP aus Russland versucht wird, auf meinen Account zuzugreifen. Danach wurde ein neues Passwort angefordert und "mein" altes funktionierte nicht mehr.
Ich konnte am nächsten Tag dann zum Glück wieder auf meinen Account mit Passwort zurücksetzen zugreifen, da die Mailadresse nicht geändert werden konnte - aber da wird Dir kurzfristig schon anders. Vor allem, was passiert wäre wenn der SteamGuard nicht aktiviert gewesen wäre?
SteamGuard kann ich jedem nur empfehlen...
 
kokiman schrieb:
Durch den Fehler konnte keinerlei Schaden entstehen ausser man war wirklich so doof und hat SteamGuard deaktiviert. Wer das gemacht hat, hats aber auch verdient.



Cokocool schrieb:
Es gibt noch einen Trade Ban über mehrere Tage, wenn man den Steam Guard aktiv hat. Wie soll denn dann etwas wegkommen ?

[] Vorher nach gedacht.
[x] Vorher nicht nach gedacht

euch ist aber schon bewusst, dass man gegenstände auch einfach löschen kann, oder?
so kann sich ein anderer zwar nicht an den den Wertgegenständen bereichern, aber dem Besitzer einen erheblichen verlust zufügen geht trotzdem
 
plaggy schrieb:
Oder besser gesagt: Warum haben andere Anbieter (LoL, WoW usw dies noch nicht integriert?).
In Zeiten von Smartphone hat doch eh jeder die Mail direkt parat.

Das ist eine gute Frage. Ich halte zwar eine Zwei-Faktor-Authentifizierung via E-Mail für nicht ausreichend sicher (Idealerweise Unterstützt man alles von Google Authenticator/Open OAuth, YubiKeys bis hin zu proprietären Donglen), aber besser als gar nichts wie bei vielen Diensten wäre es auf jeden Fall.
 
plaggy schrieb:
Die Frage ist, ob einem das der Steam-Account wert ist?

Oder besser gesagt: Warum haben andere Anbieter (LoL, WoW usw dies noch nicht integriert?).
In Zeiten von Smartphone hat doch eh jeder die Mail direkt parat.

Wozu? Blizzard hat doch ihren Authenticator, der ist auch nicht schlechter als dieser Code per Mail von Steam.
 
@Falcon: das Problem mit den Authenticator ist das wieder jeder Scheissproducer seinen eigenen Mist abziehen muss anstatt sich zusammen auf einen Standard zu einigen, so das man einen Authenticator hätte, hab ich jetzt 2 Dutzend hier rumliegen. Macht das Ganze nicht Komfortabel ...
und sry auf Handy ? was ich immer rumtrage und somit das Risiko höher ist geklaut verloren zu gehen? Sicherheitslücken noch gar nicht einkalkuliert ? Nee danke.
 
onkel_axel schrieb:
euch ist aber schon bewusst, dass man gegenstände auch einfach löschen kann, oder?
so kann sich ein anderer zwar nicht an den den Wertgegenständen bereichern, aber dem Besitzer einen erheblichen verlust zufügen geht trotzdem

Ohne Zugriff auf den Account zu haben kann man auch keine Gegenstände einfach so löschen.
 
@Luxuspur, gibt es doch, nennt sich OATH. Laesst sich zB mit dem Google Authenticator oder falls du deine Secretkeys verstaendlicherweise nicht auf dem Phone haben moechtest: https://github.com/Yubico/yubioath-android bewerkstelligen. Das hilft zwar nichts bei Diensten, die ihr eigenes Ding durchsetzen muessen (vorwiegend Battlenet oder Steam) aber grundsaetzlich doch recht weit verbreitet (Google, Dropbox, Microsoft Account, Facebook um mal einige Beispiele zu nennen).
 
Luxuspur schrieb:
und sry auf Handy ? was ich immer rumtrage und somit das Risiko höher ist geklaut verloren zu gehen? Sicherheitslücken noch gar nicht einkalkuliert ? Nee danke.

Ein Hardware-Token bzw. physisch abgegrenzter "Schlüssel" ist natürlich immer die bessere Variante. Aber Google Authenticator ist schon mal ein sehr guter Anfang. Die Wahrscheinlichkeit, dass beide Systeme gleichzeitig infiziert werden, ist nicht sehr hoch, zumal es ja verschiedene Ökosysteme sind.

Aber ja, ich denke darüber nach, meinen Authenticator durch einen YubiKey zu ersetzen, wo möglich.
 
Zurück
Oben