Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsSteam-Account Leak: Sicherheit von Steam wurde laut Valve nicht durchbrochen
In den letzten Tagen gab es immer wieder Berichte, dass Daten von zig Millionen Steam-Accounts angeblich im Darknet zum Verkauf angeboten worden sein sollen. Bei den Daten handele es sich aber nicht um Zugangsdaten, sondern wohl nur um SMS-Protokolle, wie Valve erklärt.
Ich hab zur Sicherheit dennoch mein Passwort geändert. Schaden kann es nie und wer weiß, was später noch so rauskommt. Vielleicht wurde doch mehr geleakt, als gerade zugegeben wird.
Ich glaube die Leute die kein MFA nutzen, wissen gar nicht, wie einfach es ist den Steam Guard zu verwenden. Defacto scannt man mit dem Handy nur den QR Code auf dem Monitor und ist eingeloggt.
Also hier nochmal der Appell, nutzt MFA.
PS: Steamguard schützt nur bedingt vor Scam/Phishing Angriffen, hier hilft nur Brain.exe.
Das ist gar nicht nötig. Zum einloggen auf jedem neuen PC brauche ich ohnehin eine email Bestätigung und wer klug ist, nutzt da ein anderes Passwort.
Es kann also kein internationaler den Steamaccount missbrauchen. Irgendwann wurde das mal aktiviert.
Wer damals mal Karten gehandelt hat musste sowieso einen höheren Schutz aktivieren.
Nach Browsercache löschen fragt er eben wieder...
Steam hat keine Handynummer von alten Accounts, kann also nicht gestohlen worden sein. 😄
Trotzdem würde ich mir wünschen, dass Steam z.b. TOTP unterstützen würde.
Aber ja, besser als der SMS-Blödsinn oder gar kein 2FA ist der Steam Guard allemal
Ich würde deine Sorgen verstehen, wenn hier der Fehler bei Valve gelegen hätte bzw deren Systeme kompromittiert wurden. Die betonen jedoch ausdrücklich, dass es bei den Steam Systemen KEINEN Breach gegeben hat. Ich sehe bei deren Track Record auch absolut keinen Grund diese Aussage anzuzweifeln.
Ich habe vorsorglich mein Kennwort geändert, nachdem jemand im Chat darüber berichtet hatte. Beim Lesen einiger Nachrichten dachte ich mir jedoch, dass möglicherweise nur jemand Aufmerksamkeit sucht.
Simanova schrieb:
Ich glaube die Leute die kein MFA nutzen, wissen gar nicht, wie einfach es ist den Steam Guard zu verwenden. Defacto scannt man mit dem Handy nur den QR Code auf dem Monitor und ist eingeloggt.
Also hier nochmal der Appell, nutzt MFA.
Ich nutze den Steam Guard eigentlich seit seiner Veröffentlichung, das müsste so 2011 gewesen sein.
Und ich kann dir da nur zustimmen – es ist einfacher, als die meisten wohl denken, und der Aufwand, ihn einzurichten, ist minimal.
Nicht nur wird der Account geschützt, sondern auch beim Handel auf dem Marketplace muss jede Transaktion zuerst in der App freigegeben werden. Dadurch wird zusätzliche Sicherheit gewährleistet.
Ich habe dennoch mein Passwort geändert, man kann nie wissen was genau passiert ist und in welchem Umfang, denn Firmen verheimlichen gerne so viel und so lange wie es nur geht um ihren Ruf zu schützen, dies erst zugeben wenn man es nicht mehr leugnen kann, was in der Vergangenheit leider viel zu oft vorkam.
Verstehe den Punkt vollstens. Wäre für mich auch extrem nervig wenn jede Plattform ihren eigenen 2FA-Client aufzwingen würde. Wobei es in meinem Fall der einzige Eintrag ist, der mir in meinem Ente Auth fehlt. Und so selten wie ich Steam Guard zücken muss nervt es mich nur marginal.
Valve hat hinsichtlich dieser Aufmerksamkeits-News sehr professionell gehandelt. So, wie es zig andere Firmen leider vermissen lassen und diese sich gerne erst nach Monaten, nachdem das Kind in den Brunnen gefallen ist, an ihre Kundschaft wenden mit dem "We're soooorry." Wortlaut.
Zuletzt bearbeitet:
(Nachtrag zu Valves Umgang zur Nachricht)
Die eine Sache ist ja, dass möglicherweise(!) das Steam-Passwort geklaut worden ist. Aber je nach Nutzer kann es auch sein, dass mehrere Dienste mit dem selben Passwort geschützt sind. Somit wäre nicht nur Steam sondern auch andere Dinge wie Mail usw. betroffen.
Dass das passiert ist, glaube ich nach derzeitiger Lage jedoch nicht. Und in Panik verfalle ich persönlich auch nicht, weil jeder Dienst bei mir mit anderem Passwort abgesichert ist.
Finde es auch schlecht, dass Steam keine Nutzung eines "gängingen" 2FA-Clients erlaubt. Wobei ich glaube, dass es sogar Clients gibt, die Steam Guard "unterstützen"? Dachte zumindest sowas mal gesehen zu haben. Gleichzeitig erlaubt Steam Guard aber auch Sachen, wie dass ich nicht mal einen Code abtippen muss. Wäre einfach schön, wenn OTP zusätzlich noch als Möglichkeit zur Verfügung stünde, besser als SMS wäre es sicher.
Wobei ich auch die Gefahr von SMS-Angriffen etwas als überdramatisiert ansehe. Mich kann aber gerne jemand aufklären, wie viele Steam-Accounts durch die Mitlesbarkeit von SMS gestohlen wurden.
Das Passwort ändern? Wozu denn. Wie @jimmy13 schreibt habe auch ich für jeden Dienst ein eigenes Passwort, und mit dem Passwort alleine kann sich eh niemand einloggen.
Wenn man das Passwort für mehrere Dienste nutzt und das als Grund für den Wechsel sieht, sollte man eher mal da ansetzen. Sicherheit fängt bei einem selbst an, nicht beim Dienst, den man nutzt.
Ergänzung ()
Europa schrieb:
Ich habe dennoch mein Passwort geändert, man kann nie wissen was genau passiert ist und in welchem Umfang, denn Firmen verheimlichen gerne so viel und so lange wie es nur geht um ihren Ruf zu schützen, dies erst zugeben wenn man es nicht mehr leugnen kann, was in der Vergangenheit leider viel zu oft vorkam.
Ich würde dann aber jede Woche das Passwort jedes Dienstes ändern. Nur weil eine Firma nichts bekannt gibt, heißt es ja nicht, dass nichts passiert ist. Um den Ruf zu schützen behalten die Firmen es für sich und geben es ja nur zu, wenn man es nicht mehr leugnen kann...
Auch wenn es nach aktuellem Stand nicht zur Erbeutung von Passwörtern gekommen ist, bleibt die Ungewissheit. Ich empfehle jedem Nutzer, das Passwort umgehend zu ändern. Die Erbeutung von Handynummern in Verbindung mit dem dazugehörigen Passwort macht die 2FA unbrauchbar und stellt eine enorme Gefahr dar.
Deswegen gebe ich NIE meine Rufnummer raus und habe eine gesonderte Rufnummer für solche Fälle, dass 2FA bei einem Anbieter doch nur via SMS möglich ist. Da ist es mir egal ob die Nummer leakt.
Handy meiner Schwester wurde gestohlen, ich war Notfallkontakt und die ersten 2 Wochen nach dem Diebstahl hatte ich echt Spass (nicht!).
Seither kommen noch ab und zu mal Phishingversuche bzw. nervige Spams via iMessage durch.
Aber ich öffne Nachrichten von Nummern die mir unbekannt sind nicht - wird alles umgehend gelöscht. Gut, wenn man nicht neugierig ist 😬
Wer was von mir will soll anrufen oder kontaktiert mich persönlich im echten Leben. Digital habe ich überall andere Namen, E-Mail-Adressen, Kennwörter und wenn es geht ist alles mit MFA (Hardware) abgesichert 😅
Ich bin zwar eine sehr uninteressante Person, aber Vorsicht ist besser als Nachsicht.
Von daher lassen mich Leaks mittlerweile fast kalt.
Ich versteh die Panik hier echt Null. Valve hat doch klipp und klar gesagt, dass deren Systeme keinen Breach erfahren haben. Da wurde halt irgendeinen Provider für die SMS-Dienste getroffen. Dadurch sind die Steam Accounts nicht mehr in Gefahr als alle eure anderen Konten auch. Vor allem würde eine Firma wie Valve niemals mit der Aussage kommen "Ihr braucht eure Passwörter deswegen nicht ändern", wenn auch nur der Hauch eines Zweifels bestehen würde, dass es eventuell doch eine Kompromittierung der eigenen Systeme gab. Vor allem vor dem Hintergrund, dass Leute teils CS Skins im MILLIONENHÖHE auf dem Account haben.
Ergänzung ()
tollertyp schrieb:
Wobei ich glaube, dass es sogar Clients gibt, die Steam Guard "unterstützen"? Dachte zumindest sowas mal gesehen zu haben
Jup, einige Authenticator-Apps können das tatsächlich. Darunter z.B. Aegis oder die so wie so in dem Bereich sehr beliebte App "2FAS". Beide Open-Source und letztere definitiv eine Empfehlung von mir was TOTP-Apps angeht.
Verstehe Valve aber irgendwo sogar. Der Authenticator wird ja noch für viel mehr genutzt als nur den Login. Bestätigen von Verkäufen am Communitymarkt, Trades etc.
