Bedingt durch eine schwerwiegende Sicherheitslücke bei Steam konnten Hacker in der Zeit vom 21. bis 25. Juli zahlreiche Accounts der Spieleplattform übernehmen. Die von Valve lediglich als Bug bezeichnete Schwachstelle befand sich in der Passwort-Rücksetzung. Anders als üblich war hierfür kein spezieller, per E-Mail zugesandter Code nötig – stattdessen reichte es aus, das entsprechende Feld leer zu lassen und danach ein neues Passwort einzugeben.
Mittlerweile wurde die Lücke geschlossen. Wie Valve in einer Stellungnahme mitteilt, wurden sämtliche verdächtigen Passwortänderungen der letzten Tage wieder rückgängig gemacht. Betroffene User erhielten daraufhin eine E-Mail mit einem neuen Passwort. Benutzer mit aktiviertem Steam Guard waren von der Schwachstelle nicht betroffen.
Achso. Nach der Überschrift war mein erster Gedanke "So schlecht ist Steam nun auch nicht".
Anonsten klingt es schon nach einem eher peinlichen "Bug".
Ach deswegen kam die E-Mail. Hatte nämlich vor ein paar Tagen mein Passwort mal geändert und mich heute morgen gewundert, warum nun eine Passwortänderung durchgeführt wurde, obwohl keine Code-E-Mail ankam. Kurzer Schreck, ob der Account gehackt wurde...
Ich hab neulich eine Mail zur Passwortänderung bekommen, obwohl ich das nie angefordert habe. Jetzt weiß ich warum. Ohne Steam Guard hätte ich da wohl ein größeres Problem gehabt.
Das ist schon heftig, auf der anderen Seite verstehe ich auch niemanden der auf Steam Guard verzichtet. Wenn man dann ein Passwort zurücksetzen will müsste der Angreifer zusätzlich auch noch die Email abfangen.
Nun theoretisch hätte man auch beim normalen Passwort zurücksetzen eine Mail abfangen müssen (will sagen: Sicherheits-Features sind immer nur so gut wie die Umsetzung).
Laut Valves Statement bei Kotaku waren User von SteamGuard schon vom eigentlichen Bug betroffen, das Passwort konnte also geaendert werden. Allerdings konnte man das geaenderte Passwort nicht einsetzen da bei einem Login-Versuch auf einem fremden System der SteamGuard zum Einsatz kommt. Der Aerger haette sich dann also erstmal auf das Zuruecksetzen des Passworts beschraenkt.
Üble Sache, aber bei Steam jetzt nicht ungewöhnlich. Technisch ist Steam nicht gerade auf der Höhe der Zeit, siehe Steam Client und mobile App. Man könnte meinen, da sitzen Leute dran, die gerade erst Programmierung und Design lernen. ;-)