HALF-LIFE PORTAL
Your Gate To Valve's Games www.hlportal.de
HL PORTAL
FORUM
MISC
PARTNER

TF2 Crafting

Special Artworks by
Hayungs

Link us:
HL PORTAL

Support us:


HLPortal
auf Facebook

›› Willkommen!   ›› 101.320.546 Visits   ›› 18.316 registrierte User   ›› 16 Besucher online (0 auf dieser Seite)
    NEWS 

Steam

Steam-Hacker gelangten an Daten von 04 - 08

11.02.2012 | 01:06 Uhr | von Dienstbier
10.076 Hits
24 Kommentare
1 viewing
Bei dem illegalen Zugriff auf das Forum sowie interne Datenbanken von Steam im November des vergangenen Jahres sind entsprechend erster Vermutungen tatsächlich sensible Kundendaten abgerufen worden, wie der Betreiber jetzt bestätigt hat. Der Valve-Gründer und -Geschäftsführer Gabe Newell gab soeben in einer Pressemitteilung, die in Kürze auch an alle Steam-Nutzer versandt werden soll, bekannt, dass man herausgefunden habe, an welche Informationen die Unbekannten gelangt waren.

Es handle sich dabei um eine Sicherungsdatei, die Daten zu Transaktionen im Zeitraum zwischen 2004 und 2008 enthalte, konkret Nutzernamen, E-Mail-Adressen, verschlüsselte Rechnungsadressen sowie ebenfalls verschlüsselte Kreditkarteninformationen, allerdings keine Passwörter. Obwohl keine Nachweise zu einer Dekryptierung der Daten vorliegen, wird jedem Kunden empfohlen, die Kontoaktivitäten genau zu beobachten.

Zitat:
Dear Steam Users and Steam Forum Users

We continue our investigation of last year's intrusion with the help of outside security experts. In my last note about this, I described how intruders had accessed our Steam database but we found no evidence that the intruders took information from that database. That is still the case.

Recently we learned that it is probable that the intruders obtained a copy of a backup file with information about Steam transactions between 2004 and 2008. This backup file contained user names, email addresses, encrypted billing addresses and encrypted credit card information. It did not include Steam passwords.

We do not have any evidence that the encrypted credit card numbers or billing addresses have been compromised. However as I said in November it's a good idea to watch your credit card activity and statements. And of course keeping Steam Guard on is a good idea as well.

We are still investigating and working with law enforcement authorities. Some state laws require a more formal notice of this incident so some of you will get that notice, but we wanted to update everyone with this new information now.

Gabe


Für Steam-Nutzer ohne Kreditkarte heißt es also zunächst aufatmen, auch wer erst nach 2008 ein Konto bei Steam registriert hat, dürfte nach jetzigen Erkenntnissen wohl aus dem Schneider sein. Betont sei an dieser Stelle, dass E-Mail-Adressen und Nutzernamen unverschlüsselt in der Datei hinterlegt waren, es wird daher seitens Valve empfohlen, die Steam-Guard-Funktion zu aktivieren.

Kommentare (24)
Kommentar schreiben | Erweiterten Kommentar schreiben | Kommentare im Forum Seiten (2):  [1] 2 »


# 1
CarIo
ON
Ich hasse Sony. Ups, hier gehts ja um mein geliebtes Steam. Ach Gabe, es ist sicher alles nicht so schlimm. Meine Hüte sind jedenfalls noch da. Alle!
Post 11.02.2012, 01:33 Uhr
# 2
Northernstar
ON
Schon Interresant das Valve ebenfalls so dumm wie Sony war und Sensible Infos ohne verschlüsselung auf den Server gelagert hat...ich möchte nicht wissen wieviele firmen das noch tun
Post 11.02.2012, 06:41 Uhr
# 3
Cargetter
ON
Zitat:
Original von Northernstar

Schon Interresant das Valve ebenfalls so dumm wie Sony war und Sensible Infos ohne verschlüsselung auf den Server gelagert hat...ich möchte nicht wissen wieviele firmen das noch tun


Entschuldigung?......
ENTSCHULDIGUNG?!
Valve hat die Daten,abgesehen vom Nutzernamen und E-Mail Adresse, verschlüsselt gelagert,ich glaub die waren mit Hashs verschlüsselt,also erstmal Infos holen,bevor hier wild was behauptet wird.
Wär nett wenn jemand die News dazu verlinkt,die was über die Verschlüsselung sagt!
Post 11.02.2012, 07:52 Uhr
# 4
CvH
ON
ist ja nicht ganz so dramatisch, solange nur die Email+Nutzernamen weggekommen sind, schön ist allerdings anders. Aber wenigstens haben sie gezeigt das es auch so geht und nicht wie Sony das einfach alles in Klartext gespeichert wird.
Post 11.02.2012, 09:03 Uhr
# 5
CarIo
ON
Zitat:
Original von CvH

ist ja nicht ganz so dramatisch, solange nur die Email+Nutzernamen weggekommen sind, schön ist allerdings anders. Aber wenigstens haben sie gezeigt das es auch so geht und nicht wie Sony das einfach alles in Klartext gespeichert wird.


Mein Beitrag sollte ein wenig Witz und Ironie bringen, dass du jetzt quasi den gleichen Inhalt ernstgemeint wiederholst..... Ich finds einfach zu geil
Post 11.02.2012, 09:12 Uhr
# 6
[ToXed]Virus
ON
2004 - 2008
Nur 4 Jahre mit millionen von Transaktionen.

Gute Arbeit Valve.
Post 11.02.2012, 09:29 Uhr
# 7
BlHoernchen
ON
Kennwörter hab ich seit dem sowieso schon ein paar mal geändert und Kreditkarten hab ich sowieso keine ^^ Also brauch ich mir wohl nicht so viele Sorgen zu machen. Steam Guard nutze ich auch, also alles ist gut :D
Post 11.02.2012, 10:10 Uhr
# 8
bpewien
ON
Mein Kennwort hab ich auch direkt nach Rauskommen der ersten News geändert. Steam Guard beruhigt mich zwar schon, aber die Sache mit den Kreditkartendaten... :-/
Post 11.02.2012, 10:26 Uhr
# 9
Euphoria
ON
Zitat:
Original von Northernstar

Schon Interresant das Valve ebenfalls so dumm wie Sony war und Sensible Infos ohne verschlüsselung auf den Server gelagert hat...ich möchte nicht wissen wieviele firmen das noch tun


Wie Valve schon betonten, waren die meisten Informationen verschlüsselt und bisher ist kein Fall bekannt, wo diese Daten mißbraucht wurden -> Verschlüsselung wohl gut funktioniert.
Klar ist es unschön, aber gerade Valve legt auf sowas mit Sicherheit hohen Wert. (nach Half Life 2 Leak)
Man kann leider nicht jede Lücke ausfindig machen, aber hier wurde dennoch alles getan um im Fall der Fälle Schaden im Rahmen zu halten.
Post 11.02.2012, 10:40 Uhr
# 10
OnkelFrame
ON
Viele behaupten, es wäre eine Ungeheuerlichkeit, dass sowas ausgerechnet Valve passiert, die doch betreffend Online-Transaktionen und Nutzerdaten so hoch im Kurs stehen und weltweit eine der führenden Firmen darstellen.

Man muss aber auch bedenken, dass sich Hacker nunmal nur dann die Mühe machen, Daten abzugreifen, wenn es auch was zu holen gibt - und somit eben lieber bei Sony und Valve einsteigen als beispielsweise bei Origin, die noch viel zu wenig Zeit hatten, Daten zu speichern.

Natürlich bleibt die Frage, warum Nutzernamen und E-Mails nicht verschlüsselt waren, aber mal ehrlich: Selbst wenn ihr davon ausgeht, dass jemand bei Euch zu Hause einbrechen könnte, werdet ihr trotz aller Wertsachen und Vorsicht wohl kaum jede poplige Zimmertür verriegeln und alles nochmal in einzelne Tresore sperren - die Arbeit macht sich nicht mal Fort Knox; die haben da auch "nur" unüberwindbare Mauern und mehrere Abteilungen, aber das Gold liegt letztlich "offen" im Tresorraum.
Egal, wie vorsichtig man im Internetgewerbe auch ist, Hacker - vorallem bezahlte Angreifer - haben schließlich die Aufgabe, Sicherheitssysteme zu überwinden. Wenn es einfach wäre, würd's jeder machen. Daher darf man nicht so naiv sein und behaupten, es handle sich seitens Valve um einen "groben Fehler, der nicht passieren darf". Die Sicherheit ist ähnlich dem Virenschutz immer im Nachzug - man kann nur etwas bekämpfen, das man kennt. Ich bin fest davon überzeugt, dass zukünftige Hacker nicht einmal mehr die Nuternamen unverschlüsselt finden werden...

Statt sich also aufzuregen, was alles abgegriffen worden ist (sei es nun verschlüsselt oder nicht), sollte man Valve schlichtweg loben, dass sie mit genügend Ernsthaftigkeit und Tempo an die Sache rangegangen sind.
News auf Steam, die die Nutzer warnen, zügige Reaktionen im Sicherheitsbereich und Ermittlungen, die anscheinend erste Früchte tragen: So muss man handeln und dafür bin ich dankbar.
Post 11.02.2012, 10:46 Uhr
# 11
Drakon
ON
Sorry, aber immerhin ist Valve ziemlich ehrlich mit euch (in gegensatz zu anderen themen :P ).

Naja, es war halt nur ne Back-up Datei (sowie ich das verstanden habe) und warum sollte ich in eine Backup datei Nutzernamen und Email-adressen verschlüsseln? Man geht ja eigentlich immer davon aus das Hacker die "frischen" Daten haben wollen und keine Backups und immerhin stand in der Datei eh keine PWs und die Kreditkartendaten waren eh verschlüsselt.

Wenn Valve jetzt noch ne eigene Kodierungsmethode entwickelt hat, ist es für einen Außenstehenden nich ohne weitere möglich diese mal ebenso zu knacken.
Post 11.02.2012, 12:10 Uhr
# 12
ilv
ON
Zitat:
Original von OnkelFrame

Viele behaupten, es wäre eine Ungeheuerlichkeit, dass sowas ausgerechnet Valve passiert, die doch betreffend Online-Transaktionen und Nutzerdaten so hoch im Kurs stehen und weltweit eine der führenden Firmen darstellen.

Man muss aber auch bedenken, dass sich Hacker nunmal nur dann die Mühe machen, Daten abzugreifen, wenn es auch was zu holen gibt - und somit eben lieber bei Sony und Valve einsteigen als beispielsweise bei Origin, die noch viel zu wenig Zeit hatten, Daten zu speichern.

Natürlich bleibt die Frage, warum Nutzernamen und E-Mails nicht verschlüsselt waren, aber mal ehrlich: Selbst wenn ihr davon ausgeht, dass jemand bei Euch zu Hause einbrechen könnte, werdet ihr trotz aller Wertsachen und Vorsicht wohl kaum jede poplige Zimmertür verriegeln und alles nochmal in einzelne Tresore sperren - die Arbeit macht sich nicht mal Fort Knox; die haben da auch "nur" unüberwindbare Mauern und mehrere Abteilungen, aber das Gold liegt letztlich "offen" im Tresorraum.
Egal, wie vorsichtig man im Internetgewerbe auch ist, Hacker - vorallem bezahlte Angreifer - haben schließlich die Aufgabe, Sicherheitssysteme zu überwinden. Wenn es einfach wäre, würd's jeder machen. Daher darf man nicht so naiv sein und behaupten, es handle sich seitens Valve um einen "groben Fehler, der nicht passieren darf". Die Sicherheit ist ähnlich dem Virenschutz immer im Nachzug - man kann nur etwas bekämpfen, das man kennt. Ich bin fest davon überzeugt, dass zukünftige Hacker nicht einmal mehr die Nuternamen unverschlüsselt finden werden...

Statt sich also aufzuregen, was alles abgegriffen worden ist (sei es nun verschlüsselt oder nicht), sollte man Valve schlichtweg loben, dass sie mit genügend Ernsthaftigkeit und Tempo an die Sache rangegangen sind.
News auf Steam, die die Nutzer warnen, zügige Reaktionen im Sicherheitsbereich und Ermittlungen, die anscheinend erste Früchte tragen: So muss man handeln und dafür bin ich dankbar.


Tja aber anscheinend war es kein professioneller Hacker, sondern nur ein attention whore (Wenn es wirklich dieser komische 15 Jährige Asiate war.)

Zum letzten Absatz: Trotzdem hat Valve einen Fehler gemacht. :P

Zitat:
Original von Euphoria

Klar ist es unschön, aber gerade Valve legt auf sowas mit Sicherheit hohen Wert. (nach Half Life 2 Leak)
Man kann leider nicht jede Lücke ausfindig machen, aber hier wurde dennoch alles getan um im Fall der Fälle Schaden im Rahmen zu halten.


Anscheinend nicht hoch genug.
Irgendetwas scheint nicht richtig zu sein, wenn die Hacker über die Steamforen auf sensible Daten von Steam zugreifen konnten.
Ich mag Valve, aber sie haben Fehler gemacht. Fehler machen ist zwar menschlich, aber man sollte sie wenigstens einsehen ;)
Post 11.02.2012, 12:47 Uhr
# 13
Paul (Bademeister)
ON
mich beunruhigt das mit den Kreditkartendaten nicht. Meine Kreditkarte die ich 2008 benutzt hab ist schon längst abgelaufen (wie es bei den meisten der fall sein wird) und ich hab eine neue (mit anderem Sicherheitscode)... Ich weiss nicht obs auch Kreditkarten gibt die nicht ablaufen bzw mehr als 4 Jahre gültig sind aber ich wäre bei aktuelleren Daten viel mehr beunruhigt.
Post 11.02.2012, 12:47 Uhr
# 14
Northernstar
ON
Zitat:
Original von Cargetter

verschlüsselt gelagert,ich glaub die waren mit Hashs verschlüsselt,also erstmal Infos holen,bevor hier wild was behauptet wird.
Wär nett wenn jemand die News dazu verlinkt,die was über die Verschlüsselung sagt!


Das PSN war auch nur per Hash verschlüsselt bzw die Daten draus dasselbe haben wir jetzt bei Valve in grün.........

Und ein Hash würde btw noch nicht mal richtige verschlüsselung nennen Sony hatte damls nicht umsonst das Playstation 3 Netzwerk sofort und für Monate abgeschaltet
Post 11.02.2012, 15:29 Uhr
# 15
Kellerassel
ON
ich verstehe einfsch nicht, wieso solche daten nicht auf einem server liegen, der nicht am netzt hängt.

zur verschlüsselung: wenn noch ein salt dazugepackt wird, dann wird es verdammt schwer das wiederherzustellen
Post 11.02.2012, 15:32 Uhr
# 16
Euphoria
ON
@ilv
Naja die haben den Fehler ja eingesehen und direkt zugegeben.
Wie man dann auf die Daten zugreifen konnte ist eine gute Frage, da die Accounts ja extra aus diesem Grund getrennt werden.
Bzw. es steht ja nicht einmal fest ob wirklich auf Steam zugegriffen wurde, oder lediglich Backups gezogen wurden.
Post 11.02.2012, 15:43 Uhr
# 17
ilv
ON
Zitat:
Original von Euphoria

@ilv
Naja die haben den Fehler ja eingesehen und direkt zugegeben.
Wie man dann auf die Daten zugreifen konnte ist eine gute Frage, da die Accounts ja extra aus diesem Grund getrennt werden.
Bzw. es steht ja nicht einmal fest ob wirklich auf Steam zugegriffen wurde, oder lediglich Backups gezogen wurden.


Ja, ich denke auch, dass Valve daraus gelernt hat. Ich wollte nur nochmal klar stellen, dass Valve eben wohl einen Fehler gemacht hat und dass man das als Fan auch einsehen sollte, denn sowas:

Zitat:
Statt sich also aufzuregen, was alles abgegriffen worden ist (sei es nun verschlüsselt oder nicht), sollte man Valve schlichtweg loben, dass sie mit genügend Ernsthaftigkeit und Tempo an die Sache rangegangen sind.


würde ich jetzt nich zustimmen. Warum soll ich mich nicht aufregen dürfen? Soll ich Valve für ihre Fehler auch noch loben? :P
Post 11.02.2012, 16:03 Uhr
# 18
Zidane
ON
Puh, zum Glück erst nach 2008 die erste Transaktion getätigt.
Post 11.02.2012, 16:19 Uhr
# 19
HurrDurr
ON
Zitat:
Original von Kellerassel

ich verstehe einfsch nicht, wieso solche daten nicht auf einem server liegen, der nicht am netzt hängt.

zur verschlüsselung: wenn noch ein salt dazugepackt wird, dann wird es verdammt schwer das wiederherzustellen


Viele stellen sich Datenbanken und Server als extrem einfach vor und denken sich: Ach dann kann man ja mal eben mit einem USB Stick das ganze auf einen externen Server übertragen. Dem ist leider nicht so! Solche Backups müssen direkt mit den Hauptservern verbunden sein, damit man im Notfall sehr schnell die Daten zurückspielen kann und vor allem von vielen Rechnern darauf zugreifen kann! Klar könnte man alles abkapseln aber das steht einfach keinem Kosten-Nutzen Faktor!

Zum Thema selber: Ja es ist ärgerlich, dass das passiert ist und es hätte nicht passieren dürfen aber wenigstens hat Valve den Fehler zugegeben und schnell reagiert! Zudem haben sie einen Großteil der Daten wenigstens verschlüsselt. I
Post 11.02.2012, 18:28 Uhr
# 20
OnkelFrame
ON
Kritik ist richtig und wichtig - schließe mich da an. ;)
Post 11.02.2012, 19:09 Uhr


Seiten (2):  [1] 2 »


Du musst dich einloggen, um Kommentare schreiben zu können

Du hast nicht die erforderlichen Rechte einen Kommentar zu schreiben.
Solltest du eine Account-Strafe haben, findest du nähere Informationen in deinem Profil unter Verwarnungen.


FB | Tw | YT | SC
LOGIN
User oder E-mail:


Passwort:


oder
Registrieren
Passwort vergessen?
OpenID-Login
UMFRAGE
Half-Life: Alyx in VR - was hälst du davon?
   
   
NEWSLETTER
   
E-Mail Adresse:
   

    USER ONLINE 
Insgesamt sind 16 Benutzer online. Davon sind 0 registriert:
    SITE OPTIONS 
- Zu Favoriten hinzufügen
- Als Startseite festlegen (IE only)
- Fehler auf dieser Seite?