ComputerBase Menü
Registrieren
Suche
  2. News
  3. Wirtschaft

Steam-Account Leak: Sicherheit von Steam wurde laut Valve nicht durchbrochen

Philipp Ernicke
79 Kommentare
Steam-Account Leak: Sicherheit von Steam wurde laut Valve nicht durchbrochen
Bild: Valve

In den letzten Tagen gab es immer wieder Berichte, dass Daten von zig Millionen Steam-Accounts angeblich im Darknet zum Verkauf angeboten worden sein sollen. Bei den Daten handele es sich aber nicht um Zugangsdaten, sondern wohl nur um SMS-Protokolle, wie Valve erklärt.

Die SMS-Protokolle enthalten wiederum Telefonnummern und Einmal-Codes, welche aus der Zwei-Faktor-Authentifizierung (2FA) per SMS stammen. Nicht enthalten sind Benutzernamen, Steam-IDs oder gar Passwörter.

Entsprechend hat Valve nun eine Meldung rausgegeben, dass die Account-Sicherheit von der Millionen Accounts zu keinem Zeitpunkt gefährdet gewesen sei, da sich über die SMS-Protokolle kein direkter Bezug zum jeweiligen Steam-Account herstellen lasse. Außerdem seien die Einmal-Codes nur 15 Minuten gültig, wodurch diese spätestens wenige Minuten nach dem Leak schon wieder ungültig waren.

Woher stammen die Protokolle?

Wo genau das Leck entstanden ist, ist aktuell unklar. Zwischenzeitlich hieß es, dass die Daten vom SMS-Dienstleister Twilio stammen würden. Der behauptet aber, keinen Sicherheitsvorfall gehabt zu haben. Und Valve, Betreiber von Steam, streitet sogar ab, überhaupt mit Twilio zusammen zu arbeiten. Die Daten könnten bei einem externen Dienstleister verloren gegangen sein.

2FA per SMS als Schwachstelle

Die Zwei-Faktor-Authentifizierung per SMS ist unter Sicherheitsexperten schon länger umstritten, da diese viele Schwachstellen aufweist. So können die nicht verschlüsselten SMS zum Beispiel zwischen Sender und Empfänger abgefangen, mitgelesen und verändert werden. Das Problem gilt allerdings für die Authentifizierungs­methode im Allgemeinen und hat nichts mit Steam zu tun.

Phishing-Kampagne befürchtet

Das einzig wirklich wertvolle an den SMS-Protokollen sind die Telefonnummern in Verbindung mit dem Wissen, dass diese zu Steam-Nutzern gehören. Selbige sollten in nächster Zukunft bei einer eingehenden SMS, die angeblich von Steam kommt, genauer hingucken.

Hacker könnten die Telefonnummern für Phishing nutzen, eine Methode des Social Engineerings, bei der dem Nutzer eine echt wirkende E-Mail, oder in diesem Fall SMS, geschickt wird, die dazu auffordert, eine bestimmte Handlung vorzunehmen, zum Beispiel auf einen Link zu klicken, der dann zu einer kompromittierten Webseite führt.

Steam Guard als Alternative

Steam selbst nutzt den Vorfall, um seine Nutzer zu mehr Wachsamkeit zu ermahnen. Da die Zwei-Faktor-Authentifizierung per SMS allgemein als weniger sicher gilt, empfiehlt Steam die Nutzung des Steam Guard. Steam Guard ist eine Funktion, die im Steam-Account aktiviert wird und beim Login eine zusätzliche Bestätigung per E-Mail oder Steam-Mobile-App anfordert.

Unsere Bots: RTX 50 kaufen und RX 9000 kaufen mit ⭐Deals und 📉Preistrend. Und Angebote zum Vorbestellen der Nintendo Switch 2.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 157 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz