News Steam-Account Leak: Sicherheit von Steam wurde laut Valve nicht durchbrochen

[Decorus]

Wer sich fragt warum es keinen 3rd party AUTH support gibt:

Der grösste Grund ist, dass über Steam auch gehandelt wird und wenn ein PC gepwned wird und der traded, dann wird dem auf der Kiste ein falscher trade angezeigt (du gibst 1 euro Item und bekommst 10 euro item - in Wahrheit ist es umgekehrt) und das Opfer generiert einen Token um dem Trade zuzustimmen.

Wenn du dein eigenes System hast, kannst du auf dem Smartphone/Tablet anzeigen, was dem Steam server als wirklicher trade gemeldet wurde und damit müsste ein Angreifer schon 2 Geräte kompromittieren um bei einem Trade zu betrügen.

Edit:

Vor ein paar Monaten wurden meine Anmeldedaten bei Steam leider auch einmal "gefished".
Ein "Freund" aus meiner Liste, mit dem ich früher viel gespielt habe, hat mir geschrieben und mich gefragt ob ich auf einer Website für ihn und sein Team voten könnte. lol

Ja, haben die bei mir auch versucht. Seite bei google nicht gelistet, Team ein koreanisches obwohl Freund das weisseste deutsche Weissbrot der Geschichte ist und niemals in seinem Leben das Spiel gespielt hat.

 

[Blood011]

Nutze schon jahre Steam Guard easy peasy.

PW änder ich auch nicht, meine wenn nicht hier gelesen, würde das ja auch niemand mit bekommen und man wüsste davon garnix.

 

[xexex]

Das hab ich nie kapiert wieso das nicht erkannt wurde.Vielleicht kennt sich ja jemand aus und kann mir sagen wieso das nicht erkannt worden ist, da mich das sehr interessieren würde.

Klassische "Virenscanner" arbeiten mit einfachen Signaturen, das Programm muss in der Form bekannt bekannt, vom Hersteller irgendwo erkannt und als Signatur an die Nutzer verteilt werden. Stelle dir das wie den Corona Virus vor, der konnte sich anfangs problemlos ungehindert ausbreiten. Erst als wir wussten womit wir es zu tun hatten, konnte es erkannt werden und Gegenmaßnahmen erfolgen. Virenscanner sind völlig wirkungslos gegen 0-Day Angriffe und gezielt programmierte Software.

Moderne Schutzsoftware arbeitet deshalb vor allem mit Verhaltenserkennung, wenn ein vermeintlicher Bildanzeigeprogramm plötzlich versucht diverser Dateien zu öffnen, oder auf "dubiose" Server im Internet zuzugreifen, schlägt es Alarm und unterbindet diese Zugriffe, aber sowas wird bei Online Virenscanner gar nicht geprüft.

Professionelle Lösungen arbeiten sogar mit ganzen Farmen an virtuellen PCs in einer isolierten Umgebung, auf denen dann jede unbekannte Datei ausgeführt wird, jeder Zugriff genaustens analysiert wird und daraus eine Gefahrenanalyse erzeugt wird. "Klassische" Virenscanner hingegen gelten heute zurecht oft als "Schlangenöl", aus dem genannten Grund, sie sind hilflos gegen gezielte Angriffe.

 

[Tyl]

Steam nutzt TOPT. Es gibt einen Schlüssel mit dem man einen zeitabhängigen Code generieren kann. Schlüssel kann man aus dem Smartphone extrahieren oder stattdessen alternative Steamguard clients benutzen. Nun kann man mit 2FA TOPT einloggen. Ich nutze KeyPassXC um die TOPT codes für den Login zu generieren.
Trades bestätigen kann man damit nicht, dabei hilft ArchiSteamFarm (ASF).

Ich hoffe, der TOPT Sicherheitsschlüssel für die Code-Generierung ist in derselben Datenbank hinterlegt wie das Passwort.
Man darf es einem Angreifer schließlich nicht zu schwer machen.

 

[schwimmcoder]

Es gibt einen Schlüssel mit dem man einen zeitabhängigen Code generieren kann. Schlüssel kann man aus dem Smartphone extrahieren oder stattdessen alternative Steamguard clients benutzen. Nun kann man mit 2FA TOPT einloggen. Ich nutze KeyPassXC um die TOPT codes für den Login zu generieren.
Trades bestätigen kann man damit nicht, dabei hilft ArchiSteamFarm (ASF).

Sorry, aber das ist halt auch nicht die Lösung. Wenn ich ne Anleitung brauche, um den Schlüssel zu holen, ist da was falsch.
Und da Trades bestätigen nicht geht, ist das auch zur Kategorie „Frickellösungen“ einzuordnen

Ergänzung (17. Mai 2025)

Der grösste Grund ist, dass über Steam auch gehandelt wird und wenn ein PC gepwned wird und der traded, dann wird dem auf der Kiste ein falscher trade angezeigt (du gibst 1 euro Item und bekommst 10 euro item - in Wahrheit ist es umgekehrt) und das Opfer generiert einen Token um dem Trade zuzustimmen.

Aber das kann doch nicht der Grund sein… Kann man doch trotzdem über 2 Geräte mit dem Standart TOTP Machen.
Trade am PC, Meldung aufs Smartphone „Gewünschter Trade von ihnen, wenn korrekt, hier bitte den TOTP eingeben“ und fertig.

 

[Decorus]

Aber das kann doch nicht der Grund sein… Kann man doch trotzdem über 2 Geräte mit dem Standart TOTP Machen.
Trade am PC, Meldung aufs Smartphone „Gewünschter Trade von ihnen, wenn korrekt, hier bitte den TOTP eingeben“ und fertig.

Wer bindet sich denn 2 Lösungen ans Bein wenn man ohnehin schon Eine selbst entwickeln muss.

Das gibt nur Kosten und Supporttickets.

 

[schwimmcoder]

Wer bindet sich denn 2 Lösungen ans Bein wenn man ohnehin schon Eine selbst entwickeln muss.

Da muss man genau nichts selbst entwickeln, man spiegelt die Anfrage von Gerät A nach B zur Anzeige, der TOTP Code ist auch keine Neuentwicklung.

 

[Decorus]

Das gibts bei deren Lösung aber alles aus einer Hand ohne in ein externes Programm wechseln zu müssen. Du kannst trades einzeln bestätitgen. Wie soll da ein externes Programm einen Mehrwert bieten?
Und selbstverständlich musst du die trade verification selbst entwickeln.

 

[TeaShirt]

Ich habe vorsorglich mein Kennwort geändert, nachdem jemand im Chat darüber berichtet hatte. Beim Lesen einiger Nachrichten dachte ich mir jedoch, dass möglicherweise nur jemand Aufmerksamkeit sucht.


Ich nutze den Steam Guard eigentlich seit seiner Veröffentlichung, das müsste so 2011 gewesen sein.

Und ich kann dir da nur zustimmen – es ist einfacher, als die meisten wohl denken, und der Aufwand, ihn einzurichten, ist minimal.

Nicht nur wird der Account geschützt, sondern auch beim Handel auf dem Marketplace muss jede Transaktion zuerst in der App freigegeben werden. Dadurch wird zusätzliche Sicherheit gewährleistet.

siehste und ich denk mir halt 2 faktor ist totaler müll wenn es auf einem smartphone läuft. das darf nur über ein tablet laufen was man immer zu hause lässt. verlier mal dein smartphoen wenn du anders nicht mehr in accounts kommst.

 

[Tastaturberuf]

Oder Passkey in Kombination mit 2FA

Passkey ist schon inklusive 2FA. Du musst ja dein Passkey am Handy freigeben. Dein Handy ist User/Passwort und das entsperren der 2FA. Jeder Dienstleister der trotzdem noch einen TOTP verwendet, wie z.B. PayPal, hat Passkeys nicht verstanden.

Können Passkeys gehackt werden?
Passkeys sind praktisch unhackbar. Der private Schlüssel verlässt nie Ihr Gerät und erfordert eine biometrische Authentifizierung, was sie völlig immun gegen Phishing und Sicherheitsverletzungen macht.

https://www.passkeys.com/de/was-sind-passkeys

 

[Spiczek]

verlier mal dein smartphoen wenn du anders nicht mehr in accounts kommst.

Das ist z.B. mit Aegis kein Problem, weil du dort ebenfalls ein Passwort oder Fingerprint zum Öffnen benötigst.

Ergänzung (18. Mai 2025)

Außerdem benötige ich auch unterwegs meine 2FA. Wo immer es geht ist die bei mir aktiv und wenn ich via PayPal was zahlen möchte, muss ich auch den Code eingeben. Das wäre bei deiner Option nicht möglich!

 

[AGB-Leser]

Steam hat leider immernoch keine 2FA....

 

[Ranayna]

Das soll mir mal jemand praxisnah demonstrieren!

SIM Cloning und IMSI Catcher will ich da mal in den Raum werfen.

Was so krass an der Sache war.Ich hab das Programm noch extra bei Virustotal hochgeladen und checken lassen und das wird ja dann von mehreren Programmen geprüft und es wurde nichts entdeckt.
Das hab ich nie kapiert wieso das nicht erkannt wurde.Vielleicht kennt sich ja jemand aus und kann mir sagen wieso das nicht erkannt worden ist, da mich das sehr interessieren würde.

Naja, ein Programm das dir zwei Eingabefelder anzeigt...
Da ist erstmal grundlegend nix drin, wo ein Virenscanner hellhoerig werden wuerde. Das hat sich offensichtlich nicht versteckt oder hat irgendwelche technischen Tricks angewendet um an Sicherheitsmassnahmen vorbeizukommen. Es wird auch keine lokalen Daten abgreifen oder manipulieren.
Das sind Programme die erst auffaellig werden, wenn User das melden, oder der Server an den die Daten geschickt werden anderweitig auffaellig wird.

aber sowas wird bei Online Virenscanner gar nicht geprüft.

Virustotal laesst eigendlich die Sachen die hochgeladen werden in einer Sandbox laufen um genau sowas erkennen zu koennen. Jenach Auslastung kann das aber eine Weile dauern bis das passiert, und dann muss der Server auch auffaellig gewesen sein damit Virustotal deswegen meckert.

 

[xexex]

Virustotal laesst eigendlich die Sachen die hochgeladen werden in einer Sandbox laufen um genau sowas erkennen zu koennen.

Klar läuft es in einer Sandbox, es werden jedoch trotzdem nur die jeweiligen Engines der Antivirenhersteller drüber gejagt. Professionelles Verhaltensprüfung sieht anders aus, da wird dann tatsächlich geprüft wie sich eine Software verhält und worauf sie zugreifen will, wenn sie ausgeführt wird.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[Ranayna]

VirusTotal macht aber zumindest eine einfache Verhaltensanlyse. Aber klar, wie ich ja auch schon gesagt habe: Flaggen wird es nur Sachen von denen es weiss dass die malicious sind.

Ich glaube aber, das wenn man keinen Account bei VirusTotal hat oder gar dafuer bezahlt, werden diese Analysen nur nach "best effort" gemacht und koennen auch mal eine ganze Zeit in der Warteschlange stehenbleiben.

 

[PS828]

Die Zahl an finshingversuchen aus meiner Friendlist hat tatsächlich zugenommen und die leute klicken wirklich auf alles anscheinend

ich bin vorsichtig und dass es jetzt keine probleme gab die wirklich kiritisch sind ist auch erstmal eine gute nachricht.

Man muss einfach aufpassen sonnst zahlt man viel lehrgeld

 

[dev/random]

Zumindest wäre es schön, wenn Steam Guard "optional" wäre, und man ein standardisiertes TOTP zusätzlich bieten würde.

Absolut. GOG hat das gerade vorgemacht und bietet nun Standard TOTP als weiteres 2FA-Verfahren an: https://www.gog.com/news/you_can_now_use_authenticator_apps_to_keep_your_gog_account_secure
Epic kann ebenfalls TOTP, so schwer kann das auch für Steam nicht sein.

Ergänzung (20. Mai 2025)

VirusTotal macht aber zumindest eine einfache Verhaltensanlyse. Aber klar, wie ich ja auch schon gesagt habe: Flaggen wird es nur Sachen von denen es weiss dass die malicious sind.

Nö, Virustotal macht keine eigenen Analysen sondern stellt nur gesammelte Scan-Ergebnisse aller kooperierenden Antiviren-Hersteller und weiterer freier Tools zur Verfügung (und im Gegenzug die erkannten Dateien den Herstellern). Zusätzlich können registrierte Benutzer Kommentare zu jeder Datei und URL abgeben, die aber nicht weiter von Virustotal ausgewertet oder verifiziert werden.
Eine Verhaltensanalyse ist meist nur auf dem betroffenen System möglich, aber nicht in einer Sandbox-Umgebung wie bei Virustotal. Es ist seit vielen Jahren eine übliche Malware Taktik, die Ausführung in einer emulierten Umgebung (Sandbox, VM, ...) abzubrechen oder sich anders zu verhalten, um genau solche automatisierten Analysen zu erschweren.

Ergänzung (20. Mai 2025)

Was so krass an der Sache war.Ich hab das Programm noch extra bei Virustotal hochgeladen und checken lassen und das wird ja dann von mehreren Programmen geprüft und es wurde nichts entdeckt.

In der Regel wird bei Virustotal und anderen on-demand scans nur "bekannte" Malware erkannt.
Angesichts der Tatsache, dass jeden Tag unzählige neue Malware-Varianten in Umlaufe gebracht werden, ist es für einen Angreifer sehr einfach, eine Variante zu erzeugen und verteilen die nicht schnell genug erkannt wird. Es reicht ja schon, wenn die Erkennung in den ersten Antiviren-Produkten erst einige Tage später kommt.
Zur Einordnung: Dieses 6 Jahre alte Paper nennt eine Zahl von mehr als 1 Million neuer Malware Samples pro Tag

 

[MegatroneN]

Und wie läuft das dann ab?
Wird da jedes Sample manuell geprüft? Wäre ja irrsinnig, oder wird in da nach bekannten Codes gesucht, die es schon gibt und nur bei ganz neuen Sachen genauer geprüfte?
Weiß noch früher hatte der Virenscanner, den ich genutzt hatte so einen Heuristic Scan oder hieß so ähnlich auf jeden Fall.Der hat dann quasi probiert unbekannte Viren usw. zu erkennen.Nur hab ich keine Ahnung,ob das überhaupt funktioniert hat.

 

[xexex]

Und wie läuft das dann ab?

Unternehmen wie Trend Micro sind Milliardenschwere Konzerne die unzählige "Honey Pots" betreiben und natürlich Teil der Analyse automatisiert haben. Grundsätzlich werden durch moderne Engines heutzutage auch Varianten der jeweiligen Schädlinge meist schnell erkannt und zugeordnet, es ist aber ein gegenseitiges Rennen.

Fakt ist, die meisten Virenscanner sind nutzlos, weshalb man schon seit Jahren empfiehlt auf "Brain.exe" zu setzen und den Defender zu nehmen. Was nicht nutzlos ist, ist die Verhaltensüberwachung die solche Systeme ebenfalls durchführen, wenn sie auf einem System installiert sind. Eine unbekannte Datei, ohne ein gütiges Zertifikat, führt plötzlich mehrere Änderungen an Dateien durch? Treffer!

Deshalb nisten sich Virenscanner seit Jahren meist sehr tief im System an, anders wäre eine Gefahrenabwehr gar nicht möglich. Online Virenscanner können letztlich nur bekannte Signaturen abgleichen, der Schädling muss vorher durch genannte Maßnahmen analysiert und erkannt worden sein.

Weshalb auch meine Aussage, bei einem gezielten Angriff, wird ein Onlinescanner fast immer falsche Ergebnisse liefern und möglicherweise Sicherheit vermitteln wo keine ist. "Kostenlos" kann man keinen Service anbieten, der umfangreiche ressourcenfressende Analysen selbst durchführt.

 

[ev4x]

siehste und ich denk mir halt 2 faktor ist totaler müll wenn es auf einem smartphone läuft. das darf nur über ein tablet laufen was man immer zu hause lässt. verlier mal dein smartphoen wenn du anders nicht mehr in accounts kommst.

Kannst ja deinen eigenen Bitwarden Passwort Server lokal hosten mit Vaultwarden da ist ein TOTP Generator integriert und du kannst mit jedem Gerät drauf zugreifen zum Beispiel Browser am PC.