Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsSteam: Übernahme beliebiger Accounts durch Sicherheitslücke
Durch einen Fehler bei der Passwortwiederherstellung von Valves Spieleplattform Steam war es Betrügern möglich, jeden beliebigen Account zu übernehmen. Die Lücke ist inzwischen geschlossen. Wer eine E-Mail von Steam bezüglich einer Passwortänderung erhielt, sollte dieses dennoch ändern.
Durch den Fehler konnte keinerlei Schaden entstehen ausser man war wirklich so doof und hat SteamGuard deaktiviert. Wer das gemacht hat, hats aber auch verdient.
Schon heftig, wie so eine Schwachstelle übersehen werden kann.
Zudem heißt es, dass Accounts mit aktiviertem „Steam Guard“ gegenüber nicht authorisierten Logins geschützt waren, auch wenn die Zugangsdaten geändert wurden.
Mit Steam Guard muss ein unbekannter Rechner erstmal autorisiert werden und das geschieht über eine Email. Hat der "Hacker" (was hier wirklich der falsche Begriff ist), also keinen Zugriff auf das Emailkonto kann er gar nichts machen außer das Passwort zu ändern. Was evtl ärgerlich ist, ist dass nach einem geänderten Passwort man einen mehrtägigen Tradeban bekommt.
Was verstehst du unter via Twitch ab und woanders angemeldet wurden? Der Steam Guard ist normalerweise immer an und verlangt nach einer weiteren Identifikation sobald sich jemand mit einer neuen IP Adresse, Position oder Gerät anmeldet die nicht deinen bisherigen entspricht. Der hat mich selbst schon paar mal genervt weil ich mobil über die Jahre hinweg mit neuem Smartphone(s), nach Provider Wechsel oder nach Reset des Geräts (weil Custom Rom ausprobiert) mich über die Steam App einloggen wollte. Oder Firma (ohne Passwort Speicherung versteht sich) auf der Webseite. Und jedesmal hieß es STOP verifiziere mal ob du du bist weil wir das Gerät, IP oder Location (es wird festgehalten wie dein Provider dich normalerweise Routet über das Internet) nicht kennen.
Der Typ da in dem Video loggt sich ja mit seiner bekannten Location (er ist Zuhause), Gerät (der PC den Steam kennt) und IP (der IP Pool seines Providers der sonnst auch benutzt wird) ein. Deswegen schlägt der Steam Guard auch nicht Alarm. Wäre er aber schon um die ecke bei sich in einem Internet Cafe gewesen = vielleicht gleiches Routing wenn es der selbe Provider wäre aber durch das andere Gerät (PC) & IP Pool. Schon wäre der Steam Guard aktiv.
Die Frage ist, ob einem das der Steam-Account wert ist?
Oder besser gesagt: Warum haben andere Anbieter (LoL, WoW usw dies noch nicht integriert?).
In Zeiten von Smartphone hat doch eh jeder die Mail direkt parat.
Ohne Steam wäre (Singelplayer)Gaming viel sicherer
Datenträger einlegen- Spiel installieren - evtl noch ein Patch installieren (vorher downloaden) und dann spielen.
Kein (Zwangs)Account der geknackt werden könnte.
Ob der Steamaccount es einem Wert ist, ihn per Steam-Guard zu schützen?
Ich glaube mein Steam-Acc ist 1000€+ wert. Selbstverständlich ist es mir das Wert.
Ich war gestern davon betroffen - habe früh um 01:20 zwei Mails von SteamGuard erhalten, dass mit einer IP aus Russland versucht wird, auf meinen Account zuzugreifen. Danach wurde ein neues Passwort angefordert und "mein" altes funktionierte nicht mehr.
Ich konnte am nächsten Tag dann zum Glück wieder auf meinen Account mit Passwort zurücksetzen zugreifen, da die Mailadresse nicht geändert werden konnte - aber da wird Dir kurzfristig schon anders. Vor allem, was passiert wäre wenn der SteamGuard nicht aktiviert gewesen wäre?
SteamGuard kann ich jedem nur empfehlen...
Durch den Fehler konnte keinerlei Schaden entstehen ausser man war wirklich so doof und hat SteamGuard deaktiviert. Wer das gemacht hat, hats aber auch verdient.
euch ist aber schon bewusst, dass man gegenstände auch einfach löschen kann, oder?
so kann sich ein anderer zwar nicht an den den Wertgegenständen bereichern, aber dem Besitzer einen erheblichen verlust zufügen geht trotzdem
Oder besser gesagt: Warum haben andere Anbieter (LoL, WoW usw dies noch nicht integriert?).
In Zeiten von Smartphone hat doch eh jeder die Mail direkt parat.
Das ist eine gute Frage. Ich halte zwar eine Zwei-Faktor-Authentifizierung via E-Mail für nicht ausreichend sicher (Idealerweise Unterstützt man alles von Google Authenticator/Open OAuth, YubiKeys bis hin zu proprietären Donglen), aber besser als gar nichts wie bei vielen Diensten wäre es auf jeden Fall.
Die Frage ist, ob einem das der Steam-Account wert ist?
Oder besser gesagt: Warum haben andere Anbieter (LoL, WoW usw dies noch nicht integriert?).
In Zeiten von Smartphone hat doch eh jeder die Mail direkt parat.
@Falcon: das Problem mit den Authenticator ist das wieder jeder Scheissproducer seinen eigenen Mist abziehen muss anstatt sich zusammen auf einen Standard zu einigen, so das man einen Authenticator hätte, hab ich jetzt 2 Dutzend hier rumliegen. Macht das Ganze nicht Komfortabel ...
und sry auf Handy ? was ich immer rumtrage und somit das Risiko höher ist geklaut verloren zu gehen? Sicherheitslücken noch gar nicht einkalkuliert ? Nee danke.
euch ist aber schon bewusst, dass man gegenstände auch einfach löschen kann, oder?
so kann sich ein anderer zwar nicht an den den Wertgegenständen bereichern, aber dem Besitzer einen erheblichen verlust zufügen geht trotzdem
@Luxuspur, gibt es doch, nennt sich OATH. Laesst sich zB mit dem Google Authenticator oder falls du deine Secretkeys verstaendlicherweise nicht auf dem Phone haben moechtest: https://github.com/Yubico/yubioath-android bewerkstelligen. Das hilft zwar nichts bei Diensten, die ihr eigenes Ding durchsetzen muessen (vorwiegend Battlenet oder Steam) aber grundsaetzlich doch recht weit verbreitet (Google, Dropbox, Microsoft Account, Facebook um mal einige Beispiele zu nennen).
und sry auf Handy ? was ich immer rumtrage und somit das Risiko höher ist geklaut verloren zu gehen? Sicherheitslücken noch gar nicht einkalkuliert ? Nee danke.
Ein Hardware-Token bzw. physisch abgegrenzter "Schlüssel" ist natürlich immer die bessere Variante. Aber Google Authenticator ist schon mal ein sehr guter Anfang. Die Wahrscheinlichkeit, dass beide Systeme gleichzeitig infiziert werden, ist nicht sehr hoch, zumal es ja verschiedene Ökosysteme sind.
Aber ja, ich denke darüber nach, meinen Authenticator durch einen YubiKey zu ersetzen, wo möglich.