News Steam: Valve behebt massive Sicherheitslücke im Shop

mambokurt · 27. Dezember 2015

TheDuffman schrieb:
Da sitzt immer nur eine handvoll Leute. Deshalb ist ja der Support auch so abgrundtief schlecht.

Ich war mit dem Support vor 1 Jahr sehr zufrieden. Ticket gelöst, zweimal Mailkontakt, Problem gelöst. War ein Problem mit der Kreditkarte, im Endeffekt vllt 6h wenn ich nicht so lahm geantwortet hätte.

Es gibt sicher auch, zu Recht, angefressene Kunden, bei denen das nicht so lief. Aber man muss sich dann halt fragen ob man da nicht Einzelschicksal ist oder ob der Shop an sich mies ist. Wenn du natürlich zu Weihnachten/zum Sale ein Problem hattest -> tja, it's the most busy time of the year. Kann mir schon vorstellen dass man da eine Weile wartet.

Ergänzung (27. Dezember 2015)

Tramizu schrieb:
Das die ganze Sache nur eine Stunde ging halte ich für ein Gerücht. Zwei bis drei Stunden bevor die ersten Meldung mit den fremden Accounts auftauchten, war Steam selbst schon sehr lahm. Das hat man deutlich gemerkt. Wahrscheinlich wird auch mehr gewesen sein, als Steam selber zugibt.

Naja, wenn da wirklich gerade DDoS auf den Shop lief war der Shop klar lahm, denke mal deshalb ist das Caching erst hochgesetzt worden und dadurch kam dann das eigentliche Problem zu Stande. Um das zu finden und zu beheben brauchte es dann halt eine Stunde, keine Glanzleistung aber die können auch nicht zaubern bei Valve.

Ergänzung (27. Dezember 2015)

A) waren nur die Daten sichtbar, die auch du im Shop siehst, also 'endet auf 2345', damit kannste Null anfangen.
B) ist Zweifaktorauthentifizierung nie schlecht, und wenn du einem Shop, bei dem du 100€+ an Spielen liegen hast, nicht deine Handynummer dafür geben möchtest ist das dein Ding, aber dann solltest du eher überlegen ob du denen die 100€+ für die Spiele überhaupt anvertrauen möchtest.

Ich wills mal so sagen: die arbeiten mit deiner Kreditkarte oder deinem Paypal Account, das schließt zwar nicht aus dass die mit deiner Handynr Kohle machen, aber wenn würden ihnen die deutschen Datenschützer dafür einen Einlauf verpassen und die Kunden abspringen.

guru meditation · 27. Dezember 2015

Steam oder Origin - ich kauf da gerne mal ein, vertrauen kann ich aber keinem von beiden. Deswegen hol ich mir für Sales immer eine PaySafeCard bei der Tanke. Da kann nicht sehr viel verloren gehen.

Pure Existenz · 27. Dezember 2015

mambokurt schrieb:
aber wenn würden ihnen die deutschen Datenschützer dafür einen Einlauf verpassen und die Kunden abspringen.

Denk mal nach. Die Leute sind so an diese Dienste gebunden (Kumpels zocken ja auch)...
Die können gar nicht weg (siehe Facebook)!
Über die "Bild" schimpft auch jeder, aber gekauft wird sie dennoch...

Das einzige was passiert: Ein kleiner Teil wird abspringen.
Solange es aber keine (neuen) Alternativen gibt, machen die mit ihren Kunden, was sie wollen.
Manches ist bekannt wie bei W10, anderes eben nicht...

Ismael11 · 27. Dezember 2015

guru meditation schrieb:
Steam oder Origin - ich kauf da gerne mal ein, vertrauen kann ich aber keinem von beiden. Deswegen hol ich mir für Sales immer eine PaySafeCard bei der Tanke.

Exakt. Ich kauf da auch niemals mit Kreditkarte ein. Immer nur Paysafecards oder Steam- Guthabenkarten aus dem Supermarkt.

M@rsupil@mi · 27. Dezember 2015

mambokurt schrieb:
waren nur die Daten sichtbar, die auch du im Shop siehst, also 'endet auf 2345', damit kannste Null anfangen.

Das wäre schön, dem ist aber nicht so. Die letzten Stellen werden durchaus immer mal wieder als Verifikation verwendet (etwa PW vergessen).

Ohne Frage ein Extremfall, aber was passieren kann:

In the space of one hour, my entire digital life was destroyed. First my Google account was taken over, then deleted. Next my Twitter account [...] AppleID account was broken into, and my hackers used it to remotely erase all of the data on my iPhone, iPad, and MacBook.

[...] four digits that Amazon considers unimportant enough to display in the clear on the web are precisely the same ones that Apple considers secure enough to perform identity verification.

http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/

Das spielen natürlich auch noch andere Faktoren rein, als User wurde da einige Fehler gemach, aber das dürfte locker auf 9x% aller Leute zutreffen.

BorstiNumberOne · 27. Dezember 2015

Hypeo schrieb:
Hast du einen Link dazu?
Das sowieso. MMn steht hier der Komfort in keiner Relation.
Und wenn ich einen Account irgendwo einspeicher, dann so, dass ich noch das Passwort eingeben muss.

Sehe ich genauso. Hatte damals Ärger mit Apple + Click and buy. Beide hatten sich die Schuld gegenseitig in die Schuhe geschoben.

OdinHades · 27. Dezember 2015

[F]L4SH schrieb:
[...]
Würde mich mal interessieren, was eine Abendstunde zu Weihnachten so an Umsatz generiert. Ob es schon dreistellige Millionensummen sind?

Dreistellige Millionensummen? Da müssten sie schon ein iPhone für rausbringen. Maximal einstellige Millionenbeträge kommen da zusammen und dafür müssten schon 10 % der gesamten Nutzerschaft in der gleichen Stunde irgendwas kaufen.

CD · 27. Dezember 2015

M@rsupil@mi schrieb:
(...)
Das spielen natürlich auch noch andere Faktoren rein, als User wurde da einige Fehler gemach, aber das dürfte locker auf 9x% aller Leute zutreffen.

Ehm ja... aber am Ende muss man auch ganz klar sagen, dass es Apple an dieser Stelle einfach verbockt hat. Dass dir im Account bei Amazon und Steam und sonst wo in der Regel die letzten vier Stellen deiner Kreditkarte angezeigt werden hat ja einfach den Hintergrund, dass man die unterschiedlichen Kreditkarten auseinanderhalten kann (ja manche Leute haben mehr als EINE Kreditkarte, vor allem in den USA).

Wie will man in der Account-Übersicht oder beim Bezahlen denn ansonsten MasterCard Eins von MasterCard Zwei unterscheiden? Also werden halt die letzten vier Stellen der jeweiligen Kartennummer angezeigt. Dass Apple genau diese Info (zusammen mit der Rechnungsadresse) als Notfall-Account-Authentifizierung verwendet ist halt schwach.

Dagegen war sogar mein GuildWars 2 Account besser abgesichert - dort hatte ich nämlich mal das Passwort vergessen und der Kundendienst wollte dann auch noch so Sachen wie die Namen meiner Ingame-Charaktere wissen bevor mir ein PW-Reset-Link geschickt wurde.

Wobei es genauso lächerlich ist von Amazon, dass man einfach telefonisch ne (Fake) Kreditkarte und email-adresse zu einem bestehenden Konto hinzufügen kann/konnte. Zeigt halt mal wieder, dass die meisten erfolgreichen Hacks über Social Engineering (sich als jemand anderes ausgeben) ablaufen. Und genau für solche Angriffe ist jeder Informations-Happen den man über das Opfer bekommt, enorm hilfreich.

BTW: bei einem grossen deutschen ISP konnte ich auch schon mal problemlos den bestehenden Vertrag einer anderen Person verändern, das einzige was die zur Authentifizierung von mir wissen wollten war das Geburtsdatum dieser Person. Das war zwar alles vorher abgesprochen mit dieser Person, aber trotzdem erschreckend wie einfach das alles ging.

Cardhu · 27. Dezember 2015

[F]L4SH schrieb:
Würde mich mal interessieren, was eine Abendstunde zu Weihnachten so an Umsatz generiert. Ob es schon dreistellige Millionensummen sind?

Ganz sicher nicht. Schau dir doch den Jahresumsatz an.

mambokurt · 27. Dezember 2015

Pure Existenz schrieb:
Denk mal nach. Die Leute sind so an diese Dienste gebunden (Kumpels zocken ja auch)...
Die können gar nicht weg (siehe Facebook)!
Über die "Bild" schimpft auch jeder, aber gekauft wird sie dennoch...

Das einzige was passiert: Ein kleiner Teil wird abspringen.
Solange es aber keine (neuen) Alternativen gibt, machen die mit ihren Kunden, was sie wollen.
Manches ist bekannt wie bei W10, anderes eben nicht...

Kann man als Argument durchaus zählen lassen, aber finde ich nicht so schwerwiegend wie bei Fratzenbuch & Co. Ich habe mich damals bewusst für Steam (wegen des aufkommenden Linuxsupports) entschieden, und wusste auch vorher worauf ich mich einlasse, nämlich verdongelte Software die an Steam gebunden ist.
Wenn du jetzt sagst 'ja wenn aber die ganzen Kumpel da sind', ist das im Endeffekt ein weiteres Proargument. Das wandert mit den anderen Proargumenten auf die eine Seite, die Gegenargumente (Verdongelung, potentieller Missbrauch der Daten usw) wandern auf die andere. Für einen Steamaccount muss man geschäftsfähig sein, wer sich einen holt kennt die Risiken.
Ansonsten gibts an jeder Tanke auch die Guthabenkarten, wer Steam nicht seine Finanzdaten geben will muss das nicht tun.

Offtopic: wie läuft das eigentlich bei gog & Co, gibts da ein zentrales Programm zum Installieren oder kommt da jedes Spiel mit eigenem Installer?

Chr1st1an · 28. Dezember 2015

Pr0gramm schrieb:
Es waren vermutlich alle Accounts betroffen. Ich hatte praktisch sämtliche Länder in meinem Account vertreten und in den diversen Foren hats ziemlich schnell gebrodelt.

Hatte ich auch

BridaX · 28. Dezember 2015

Belerad schrieb:
Es hat über eine Stunde gedauert bis Valve darauf geantwortet hat, reagiert haben sie wahrscheinlich schon eher.

Jep, bei großen Firmen wird gründlich überdacht, was man an die Community schreibt.
Da wird nicht schnell in 5 Minuten ein Kommentar geschrieben. Da Sitzt ein ganzen Team hinter.

Gehe auch davon aus, dass man viel schnellere reagiert hat.

Ergänzung (28. Dezember 2015)

mambokurt schrieb:
Offtopic: wie läuft das eigentlich bei gog & Co, gibts da ein zentrales Programm zum Installieren oder kommt da jedes Spiel mit eigenem Installer?

Selbe wie bei Steam, Origin (EA), UPlay (Ubisoft), Battle.net (Blizzard), Games for Windows (Microsoft) und bei GoG ist es eben Galaxy. Das sind zumindest alle Launcher die ich installiert habe

volgi · 28. Dezember 2015

Ich hatte bisher immer Glück, dass nix passiert ist. Aber ich überlege jetzt auch zu PaySafe-Karten zu wechseln. So langsam wird mir Steam irgendwie zu oft gehackt. Und wer weiß ob die nicht irgendwann doch an die Kreditkarten Nummern kommen.

klopogo · 28. Dezember 2015

erst kann jeder idiot dein pw reseten dann kann jeder deine kompletten daten sehen und was gibts seitens steam als entschädigung ? garnix ^^ selbst beim psn gabs damals ein paar kostenlose spiele als entschädigung

kelevrax · 29. Dezember 2015

Bridax schrieb:
[...]
Selbe wie bei Steam, Origin (EA), UPlay (Ubisoft), Battle.net (Blizzard), Games for Windows (Microsoft) und bei GoG ist es eben Galaxy. Das sind zumindest alle Launcher die ich installiert habe

Der Launcher bei GOG ist derzeit noch experimenteler Natur und nicht verpflichtend. Man kann die Spiele samt installer direkt über den Browser laden und jederzeit überal installieren, da kein DRM System vorhanden ist. Galaxy ist ein optionales Angebot.

klopogo schrieb:
erst kann jeder idiot dein pw reseten dann kann jeder deine kompletten daten sehen und was gibts seitens steam als entschädigung ? garnix ^^ selbst beim psn gabs damals ein paar kostenlose spiele als entschädigung

PSN war damals auch fast einen Monat offline. Schlechter vergleich.

Ich kann nur die Zwei-Faktor-Authentifizierung empfehlen. Die nutze ich für alle für mich relevanten Dienste. Etwas Mühsam, wenn man sich mal auf einem neuen Gerät anmeldet, das pasiert aber nicht so oft, als dass es stören würde. Man muss eben abwägen, was einem wichtiger ist: Komfort oder Sicherheit.

hrafnagaldr · 31. Dezember 2015

volgi schrieb:
Ich hatte bisher immer Glück, dass nix passiert ist. Aber ich überlege jetzt auch zu PaySafe-Karten zu wechseln. So langsam wird mir Steam irgendwie zu oft gehackt. Und wer weiß ob die nicht irgendwann doch an die Kreditkarten Nummern kommen.

Naja ich bin gerade am Nachforschen, wird aber nicht viel helfen. Mir wurden am 24.12. 950€ von meiner Visa gebucht, Geld ging an Entropay, das ist dein Dienstleister für virtuelle Kreditkarten. Da hat also einer eben mal ne virtuelle Kreditkarte mit meinen 950€ aufgeladen.

Gut Karte gesperrt und den Betrag reklamiert bei meiner Bank, das Geld bekommt man ja wieder.
Entropays Support habe ich geschrieben, die haben das entsprechende Konto gesperrt, aber können mir keine weiteren Infos geben. Geld wurde bereits verbraucht.

Dann hab ich mal testweise ein Konto bei denen gemacht. Dafür brauchst aber Kreditkarteninhaber, Nummerm Ablaufdatum und CVC.
Jetzt ist die große Frage, woher die Daten kamen. Die Karte ist 6 Monate alt mit der Nummer und war bei Amazon, Google, Battle.Net und Steam fest hinterlegt.

Woher stammen die Daten nun also, die ganz offensichtlich nicht sonderlich gut gesichert wo abgelegt waren.

Capthowdy · 2. Januar 2016

Valve selbst gibt als Zeitraum 11:50-13:20 PST an, was dann 20:50-22:20 MEZ entspricht. Was die gestohlenen Daten anbelangt, sollte man so etwas niemals herunterspielen, aber leider gibt es genug Menschen, denen einfach der notwendige Verstand fehlt, um Gefahren zu erkennen und die dann auch noch die Schuld für derartige Vorfälle auf die Nutzer abwälzen. Man kann sich eigentlich nur fragen, was für ein "lowlife" man sein muss, um sich derart mit einem Unternehmen zu identifizieren, noch dazu ohne Gegenleistung? Wer sich angesprochen fühlt, möge nun ausführlich darüber sinnieren.

Ich persönlich war am 25.12. nicht mal bei Steam eingeloggt, denn da hatte ich besseres zu tun.

hrafnagaldr · 7. Januar 2016

Kurze Info:

Ok ich hab inzwischen meine 950€ zurück und wie es scheint war es ne Lücke bei einem One Click Hoster (OCK) upstore.net, bei dem ich mal nen Monat gebucht hatte. Die haben nämlich auch ohne weiteren Kommentar am 28.12. neue Passwörter verschickt und keinen Grund für die Neuvergabe genannt.

Steam kann ich daher zusammen mit der Datumsmeldung definitiv ausschließen.

Jesterfox · 7. Januar 2016

Die Daten können auch abgegriffen werden wenn sie (angeblich) nicht gespeichert werden. Vor allem wenn auch die CVC mit abhanden kam ist eigentlich ein Datenleck während der Transaktion viel wahrscheinlicher, denn die CVC darf eigentlich nie gespeichert werden.

hrafnagaldr · 7. Januar 2016

Blizzard, Steam, Amazon und Google haben die aber definitiv gespeichert. Verstanden habe ich das auch nie.
Im Falle des OCK war ich mir nicht mehr sicher, dachte das war ne einmalige verified by Visa Transaktion. Aber gut.
Geld hab ich zurück und halt mal wieder ne neue Karte.

News Steam: Valve behebt massive Sicherheitslücke im Shop

mambokurt

Gast

Lieutenant

Banned

Lieutenant

Vice Admiral

Commodore

Captain

Rear Admiral

Fleet Admiral

mambokurt

Gast

Chr1st1an

Gast

Captain

Cadet 1st Year

Ensign

Cadet 4th Year

hrafnagaldr

Gast

Lt. Commander

hrafnagaldr

Gast

Legende

hrafnagaldr

Gast

Ähnliche Themen

Passend zum Thema