Ich wurde gehackt, und ich weiß nicht wie (Reddit & Steam)

[RedPanda05]

dass 2FA eigentlich total sinnlos ist und nur eine Scheinsicherheit bietet

Eigentlich nicht. 2FA schützt gegen Keylogger und Phishing sehr gut. Also Szenarien, in denen der Angreifer das Passwort erhält. Gegen Session hijacking hilft das leider wenig.

Das wird vermutlich auch kein gezielter Angriff gewesen sein, sondern irgendeine Malware, die er sich versehentlich heruntergeladen hat oder er war Opfer eines 0 Days. Die hat dann die Tokens an den TA geschickt und dann war es geschehen.

Die einzige wirklich komische Sache ist das mit Reddit …

Ergänzung (16. November 2025)

@coxon kann es sein, dass du dir vielleicht irgendein Indi Game oder eine Demo herunterladen hast? Man bekommt es ja manchmal mit, da die doch nicht so sauber sind https://www.buffed.de/Steam-Software-69900/News/malware-fake-spiel-hackt-daten-1482648/

 

[BFF]

dass 2FA eigentlich total sinnlos ist und nur eine Scheinsicherheit bietet.

2FA bringt wirklich nichts, wenn z.B bei der regionalen Abweichung nicht ausgeloest wird. Selbst wenn das Token stimmt. Das hat selbst mit 2FA nichts zu tun sondern eher wie der Anbieter damit umgeht.

dass sich jemand bei dir so einen hohen Aufwand macht, und das müsste dann ja auch seit Längerem so geplant gewesen sein

Das sind ganze Gruppen welche sich damit beschaeftigen. Die einen um per Auftrag bei Steam abzuraeumen, andere die hinter Crypto hinter her sind oder irgendwo eindringen wollen. Es wird abgegriffen was immer geht und in die Warteschleife gelegt. Wenn benoetigt halt genutzt.

Fuer @coxon geh ich fast davon aus, dass er garnicht geziehlt abgegriffen wurde sondern es einfach zu einem bestimmten Zeitpunkt moeglich war. Nicht nur bei ihm.

 

[nutrix]

ch bin generell kein Fan davon, aber das zeigt doch auch (auch wenn es jetzt nur ein Einzelfall ist...), dass 2FA eigentlich total sinnlos ist und nur eine Scheinsicherheit bietet...

So ein Blödsinn. Natürlich bietet 2FA einen sehr guten Schutz, wenn die Anwender es richtig machen.

Ergänzung (17. November 2025)

2FA bringt wirklich nichts, wenn z.B bei der regionalen Abweichung nicht ausgeloest wird.

Wie kann das bitte passieren? Dann dürfte auch nichts weiter passieren mit dem Ergebnis, daß man sich an seinem Konto nicht anmelden kann.

 

[BFF]

Wenn die Credentials und Token richtig sind und 2FA nicht ausloest bei anderem Geraet oder Standort hast Du die A-Karte. @nutrix Das ist aber dann wirklich Anbieterversagen. Weil das darf eigentlich nicht passieren, ist es aber in der Vergangenheit. Aber das ist beim TE nicht so passiert.

Im Falle des TE kam der Zugriff von einem "Geraet aus TW" mit richtigen Credentials und erlaubt per dieser Authenticator App. Dieses Geraet ist seit 2023 bekannt.

Und war 13h, nachdem zweiten Zugriff mit einem neuen Geraet aus den Staaten auch mit richtigen Credentials angemeldet und mit selbiger Authentikator App zugelassen, aktiv.

Gesehen wurde das Geraet von dem dieser zweite Zugriff erfolgte in ungefaehr 10 Tagen vor dem letzten Ereignis.

Wenn der TE das nicht war, wer dann? Vor allem von wo aus wurden wirklich die Anmeldungen ausgeloest? Wer hat den Authenticator bedient?
Wenn der Client "Telekraft" nicht der Client von @coxon ist, wurde bereits im April 2023 der Steam Account und der Steam Guard Mobile kompromittiert. Ist es doch der Client vom TE, "sassen" die Angreifer 2023 auf dem Geraet oder Geraeten des TE und lenkte bis zum Bemerken um.

 

[Vigilant]

@coxon
Wirklich ätzend. Scheint aber, dass du mit Schrecken davongekommen bist.

April 2023 ist zwar schon etwas her, aber erinnerst du dich, etwas heruntergeladen, installiert oder beim Browsen in unsicheren Gefilden unterwegs gewesen zu sein?

 

[coxon]

In 2023 war ich die meiste Zeit bei meiner damaligen Gschmusi. Wüsste aus dem Stehgreif nicht was ich damals hätte gemacht haben sollen.

In den letzten zwei Wochen, seit das mit dem Reddit war, habe ich weder seltsame Seiten besucht, noch nach Warez gesucht. Einzig The Expanse The Telltale Series habe ich mir bei Instant Gaming jetzt am Samstag gekauft, und nach prüfen meines Postfachs habe ich mir am 2. November ARC Raiders geholt und am 3. November meine Steam ID mit Embark für ein Cosmetic verknüpft. 👀 Schon ein seltsamer Zufall.

 

[Vigilant]

Wobei das Ereignis aus 2023 nicht zwingend mit dem aktuellen in Zusammenhang stehen muss. Vielleicht ist damals auch schlicht nichts weiter passiert.

Aber der zeitliche Match zwischen der ID-Verknüpfung und des Sicherheitsvorfalls sticht schon irgendwie ins Auge.

Vielleicht mal die Mädels anfunken, ob sie eine Idee dazu haben? https://www.embark-studios.com/security

 

[coxon]

Wobei das Ereignis aus 2023 nicht zwingend etwas mit dem aktuellen in Zusammenhang stehen muss. Vielleicht ist damals auch schlicht nichts weiter passiert.

Wie hier schon erwähnt, ist das vermutlich mein Steam-Token auf meiner alten Installation gewesen der so lange aktiv war. Bin ja dann doch sehr bequem geworden und habe mich lange nicht mehr neu eingeloggt. Zeitlich passt das nämlich nicht zusamen und macht auch keinen Sinn. Oder warum sollte mich 2023 jemand hacken und erst 2,5 Jahre später bestehlen?

 

[BFF]

Oder warum sollte mich 2023 jemand hacken und erst 2,5 Jahre später bestehlen?

Warum nicht?
Du wurdest damals eingesammelt und nun benutzt. Das ist absolut üblich.

 

[coxon]

Was für ein Durcheinander das hier gerade ist, das glaubt man nicht ...

Dadurch, dass ich gestern alles direkt über PayPal "storniert" habe, wurden mir heute morgen die 160€ von PayPal auf mein Konto bei der Bank gebucht. Das ist aber Geld das nicht abgebucht wurde, mir nicht zusteht und nicht meins ist, sondern Steam gehört.

Jetzt hab ich mit einem sehr freundlichen jungen Mann bei PayPal telefoniert der mir die Sachlage erklärt hat. Das Geld wird in den kommenden Tagen wieder von meinem Konto abgebucht und an Steam weitergereicht. Diese Buchung ist auch so bereits im System verbucht.

Puh ... Wenigstens eine Sache weniger um die ich mir gerade Sorgen machen muss. *trotzdem schwitz

Als kleines Schmankerl hat mir der junge Mann einen Gutschein im Wert von 30€ auf meinem PP Konto hinterlegt. Ich bin dort seit 19 Jahren ein sehr treuer Kunde.

Jetzt bleibt abzuwarten wann und welche Antwort ich von Steam erhalte. Gestern habe ich ein Ticket für den 50€ Gutschein aufgemacht, und heute noch mal eines für die 109,98€ für die beiden Spiele die ich angeblich verschenkt habe, und dabei den Sachverhalt mit etwas klarerem Kopf schildern können.

Heutige Termine habe ich nach hinten verschoben und derzeit kümmere ich mich um meine Passwörter und Dienste die mit meinem beiden Hauptadressen verknüpft sind.

Ergänzung (17. November 2025)

Du wurdest damals eingesammelt und nun benutzt. Das ist absolut üblich.

Echt? Lag mein Token über zwei Jahre auf irgend nem Wallet rum um jetzt einkassiert zu werden?

Verrückt! Einfach verrückt ...

 

[conf_t]

Kann passieren, wer weiß wie lang das "Paket" des Hackers im Darknet auf ein ausreichend hohes Gebot wartete und wie attraktiv es im gesamten war. Nicht zwingend ist der, der die Zugänge beschafft auch der, der sie benutzt. Die haben meist mehr davon, dass möglichst geldbringend zu verkaufen. Ausschließen würde ich einen Zusammenhang nicht. Es wurden da höchst warhscheinlich dein Zugang wenn nicht exklusiv angeboten worden sein, sondern ein ganzes Bündel an Zugängen.

 

[kali-hi]

Echt?

Ja... Bei genügend Interesse für eine Person oder ein Wallet, sammelt die chinesische, russische, etc. "Mafia" erst Informationen, lange bevor sie das System eigentlich infiltriert. Teils geschieht dieser Vorgang dann auch automatisch durch Scripts.

 

[coxon]

Danke euch, das war mir nicht klar.

 

[TheManneken]

Grundsätzlich erstmal ist MFA nicht phishing-resistent und die Wege, ein 2FA/MFA zu umgehen, sind gar nicht mal soviel komplexer und funktionieren mehr oder weniger genauso wie der klassische Phishing-Link, auf den man geklickt hat. Die Zugangsdaten gehen woandershin als man denkt, dort werden sie aber sogleich, ggf. automatisiert, für eine offizielle Anmeldung verwendet. Man selbst erhält dann in seiner Authenticator App eine Bestätigungsanfrage, mit der man ja auch gerechnet hat. Man bestätigt diese und gewährt unwissentlich dem unbekannten Dritten Zugang - alles trotz MFA. Mit One-Time-Passwords funktioniert das ebenso. Ein typischer Man-in-the-Middle-Angriff

Ich weiß nicht, wie automatisiert das im Hintergrund alles inzwischen abläuft, aber wer aus Unachtsamkeit durchaus schon mal auf einen Phishing-Link klickt und dort seine Daten eingibt, den schützt 2FA/MFA auch nicht. Im Gegenteil: ich vermute, sich auf MFA zu verlassen, kann einen u.U. leichtfertiger im Umgang werden lassen. Man hat ja seine Authenticator App... was kann schon passieren? Und dann passiert's.

Kritisch ist der Zeitpunkt, in dem das passiert. Wenn ich gemütlich auf der Couch sitze und aus heiterem Himmel eine Anfrage von meinem Authenticator, per Mail, SMS etc. erhalte, dann weiß man wohl, dass man es nicht selbst war, dass die Zugangsdaten geleaked wurden, aber MFA hat den direkten Zugriff verhindert.

Ich würde dennoch überall 2FA/MFA aktivieren, das schützt aber nur vor dem Fall, dass die eigenen Zugangsdaten geleaked wurden. Soll das Ganze auch phishing-resistent werden, benötigt man sowas wie FIDO2/WebAuthn (z.B. Yubikey), Passkeys oder hardwarebasierte Zertifikate.

 

[coxon]

Guten Morgen.
Der Steam Support hat sich gemeldet. Der Fall wird zwar noch weiter untersucht, aber ihr hattet insofern recht, das mein Rechner bereits im April 2023 kompromitiert wurde und die Daten lagen entsprechend 2,5 Jahre auf Halde. Jetzt würd ich gerne nur mal wissen, was ich im April 2023 gemacht habe ... Ist halt schon was her.

Die Sache geht auf jeden Fall zu meien Gunsten aus und eine Sperre oder einen Verlust des Kontos habe ich nicht zu befürchten. Bleibt noch abzuwarten wann das mit meinem Guthaben geklärt wird, das steht immer noch auf -50€.

 

[kali-hi]

Jetzt würd ich gerne nur mal wissen, was ich im April 2023 gemacht habe ... Ist halt schon was her.

Moin, das wird sich vermutlich nicht mehr klären lassen, aber du könntest mal in die Windows-Protokolle, geänderten Dateien, Kalender und Online-Postings, falls du zu der Zeit welche gemacht hattest, schauen, und ein Gedächtnisprotokoll aufstellen. Betrachte auch den Zeitraum davor und danach.

Mir ging das auch schon mal so, aber wenn es nicht gerade einprägsame/emotionale Ereignisse im episodischen Gedächtnis zu diesem Zeitpunkt gab (besonders schöne/unschöne oder vom Alltag abweichende Erfahrungen) oder du keine Hyperthymesia hast, dann hast du keine Chance, dich noch daran zu erinnern.

 

[coxon]

Windowsprotokolle wird schwierig, ist ja alles platt gemacht worden nach dem Zwischenfall.

besonders schöne Erfahrungen ... oder ... Hyperthymesia

Ich hab kein Elefantengedächtnis, aber ich weiß, dass ich zu dieser Zeit "nur das eine" im Kopf hatte.

Ein kurzer Blick in meine Emails ergab, dass ich am 11.4.23 eine Accountwiederherstellung bei Steam angestoßen habe, dabei wurden meine Daten wohl abgegriffen. Mehr kann ich dazu nicht sagen.

Hätte nie im Leben damit gerechnet, dass es mich mal erwischt, und dann auch noch so. Schön, dass die Sicherheitsmechanismen von PayPal und Steam gegriffen haben. Da bin ich wohl noch mal mit einem blauen Auge aus der Sache rausgekommen...

 

[qiller]

Ist halt Fail vom Anbieter Tokens so lange gültig zu lassen und dann auch noch möglich ist, darüber Einkäufe tätigen zu können. Bei so ner laxen Einstellung macht 2FA natürlich kaum noch noch Sinn.

 

[coxon]

Ich hab den Verdacht, es war eine man-in-the-middle Attacke. Am 12.4.2025 (!) kurz vor ein Uhr Nachts musste ich 2x hintereinander im Abstand von zwei Minuten mein Steam wiederherstellen. Am Tag zuvor hab ich noch Atome für Fallout 76 gekauft. Wird wohl ne Lücke im Client oder bei mir im Browser gegeben haben, wer weiß.

Man lernt nie aus, und ich hab die Tage schmerzlich gelernt, dass ich bei meiner Sicherheit wohl etwas besser aufpassen muss, auch wenn ich hier in diesem Fall wohl weniger dafür kann.

Ist schon scheiße wenn jemand in dein digitales Zuhause einbricht, genau wie im RL.

Ergänzung (18. November 2025)

Nachtrag:
Ein Blick auf mein Konto hat die Aussagen des PayPal Mitarbeiters von Gestern bestätigt. Da die Abbuchung vom Sonntag bereits auf dem Weg und nicht aufzuhalten war, wurde mir der Betrag bereits im Vorfeld überwiesen und heute morgen wieder abgebucht.

Bin echt froh, dass die Sicherheitsmechanismen gegriffen haben. Das stärkt mein Vertrauen in Steam und PayPal. Ich hoffe nur, dass es nie wieder zu so einem Vorfall kommt.

 

[Azdak]

Vielleicht habe ich es überlesen, aber bitte bei so etwas immer auch Anzeige erstatten. Im Ernstfall brauchst man die Anzeige, um sich juristisch erfolgreich wehren zu können. Zum anderen werden so die Statistiken genauer und die braucht es, damit auch die Politik mal aktiv wird. Strafverfolgung erreicht man damit leider so gut wie nie.