Das Unternehmen Valve hat neue Details über den Steam-Foren-Hack im November (wir berichteten) kommuniziert. So sind offenbar -- entgegen den Einschätzungen von damals -- doch Nutzerdaten des Steam Store ausspioniert worden. Im November ging Gabe Newell, Chef von Valve Software, dem Betreiber der Steam-Plattform, noch davon aus, dass lediglich der Zugang zu den Steam-Foren betroffen sei. Daher wurden -- nach einer Zwangspause, in der das Forum generell nicht verfügbar war -- alle User dazu aufgefordert, ein neues Passwort für die Steam-Foren festzulegen.
Wie sich jetzt herausstellte, gibt es aber Hinweise darauf, dass ein Backup-Archiv mit Nutzerdaten der Jahre 2004 bis 2008 bei dem Angriff kopiert worden war. Dieses enthält neben dem Benutzernamen die E-Mail-Adresse sowie Rechnungsinformationen und Kreditkartendaten; die beiden letztgenannten immerhin in verschlüsselter Form. Wie der Sony-Hack im letzten Jahr zeigte, ist dies keineswegs selbstverständlich. Das Archiv soll aber keine Zugangspasswörter enthalten.
Laut Firmenchef Gabe Newell arbeitet Valve Software seit Bekanntwerden im November mit Sicherheitsfachleuten von außerhalb zusammen, um diesen Vorfall genauestens zu untersuchen. Obwohl die Entwendung des Archivs wahrscheinlich ist, gibt es keinerlei Anzeichen dafür, dass die Verschlüsselung der besonders sensiblen Daten geknackt worden ist. Trotzdem empfiehlt Newell seinen Kunden, ihre Kreditkartenabrechnungen sehr genau zu kontrollieren und bekräftigt, dass Valve auch weiterhin mit Strafverfolgungsbehörden zusammen arbeitet.
Außerdem empfiehlt er, Steam Guard aktiviert zu lassen. Steam Guard sorgt dafür, dass bei jedem Einloggen in Steam von einem System, das Steam noch unbekannt ist, neben dem Benutzernamen und -passwort auch ein vierstelliger Code einzugeben ist, der an die E-Mail-Adresse des Benutzers verschickt wird. Es reicht daher nicht aus, Benutzernamen und -kennwort zu kennen, um sich von einer fremden Maschine in Steam einzuloggen. Es wird dafür auch der Zugriff auf das E-Mail-Konto des jeweiligen Users benötigt, das daher natürlich ein anderes Passwort als das Steam-Konto haben sollte.
105 Kudos
Unabhängig. Meinungsstark.
Hmm, schön das es nicht vertuscht wird und die „damals“ schon mehr oder weniger vernünftig gearbeitet haben @Verschlüsselung. Kann leider heutzutage fast überall passieren, nur ist hiermit mein Vertrauen in Steam ein wenig bestärkt − zumindest auf keinen Fall geschwächt.
Sehich auch so. MMn hat Steam von allen, dies erwischt hat, die Attacken am besten pariert, bzw betreibt auch die beste Informationspolitik...mittlerweile hätte kein Hahn mehr nach den Infos gekräht, die jetzt rausgegeben wurden.
Valve erinnert damit an einen Vorfall, den die meisten wohl möglichst unter den Teppich kehren würden...löblich...
Dass diese Information offen kommuniziert wird, finde ich natürlich super. Das Hinweisfenster, was ich hierzu gestern bei Steam erhalten habe, weist explizit darauf hin, dass diese Info nur ergangen ist, weil einige US-Bundesstaaten dies vorschreiben.
Sorry, aber das ist falsch. Ich zitiere:
"We are still investigating and working with law enforcement authorities. Some state laws require a more formal notice of this incident so some of you will get that notice, but we wanted to update everyone with this new information now. "
Manche US-Staaten schreiben vor, wie genau der Kunde darüber zu informieren ist, daher bekommen die Kunden aus diesen Staaten ein spezielles Schreiben, alle anderen bekamen das "normale" Schreiben.
Ups, da wollte ich gerade drauf hinweisen. Zu langsam...Aber so habe ich es auch verstanden.
Sie hätten aber durchaus schon mal etwas früher zu dieser Erkenntnis gelangen können, das hat ja jetzt nach der ersten Meldung eine Ewigkeit gedauert.
Das haben sie doch schon lange vermutet und sie haben schon lange mit Sicherheitsleuten zusammengearbeitet. Die haben das doch nicht erst gestern gemerkt.
Diese Hacks nerven, trotzdem bin ich von Steam überzeugt und werde aber künftig keine Kontodaten mehr bekanntgeben. Ich hoffe, dass nun endlich einmal die Zahlung per Verkaufsbon, ähnlich MS points ermöglicht wird!
Nehmen die nicht Paysafecard?
Doch die haben sie schon länger, sonst würde ich Steam keine Daten anvertrauen. Oh, haben sie ja eh nicht :D
Natürlich nerven die Hacks, aber Steam dürfte sich gerne mal ein bisschen besser absichern...
Solche Systeme sind prinzipbedingt angreifbar.
Wieso hat dann bisher noch niemand eine Bank gehackt und Konten leer geräumt? Es geht schon sicher, wenn Steam bereit wäre entsprechend zu investieren.
passend dazu nochmal die gehackte telefonkonferenz der hochsicherheitsspezialbehördenexperten, in der sich auch über die eine person unterhalten wird, die den steam-hack gemacht hat
/watch?v=pl3spwzUZfQ
Kurze OT-Steam Frage: Hatte sonst noch jemand Probleme gestern Abend eine Verbindung zur Steam-Cloud herzustellen?
Das komplette Friendssystem war gestern abend auch nicht verfügbar. Könnte mit Dota2 zusammenhängen. Da wurde zumindest eine längere Downtime angekündigt, weil sie mehr neue Server aufstellen.
Danke für die Info, eine "Newsseite" für Steam-Störungen gibt es nicht?
Es gibt keine Steamstörungen, sagen zumindestens die meisten Nutzer. ;)
Das ist Blödsinn. Geh woanders trollen.
Es ist nur meine Erkenntnis aus den Gesprächen mit Hardcoresteamjüngern.
Regel 1: Steam macht nie Probleme
Regel 2: Steam ist nie off
Regel 3: Steam kann immer und überall benutzt werden.
Das liegt dann immer nur am Netzanbieter oder an dir selbst, wenn Steam nicht gehen sollte.
Und das ist so und nicht anders und wenn du mir was anderes erzählst mach ich das Rumpelstilzchen.
Du hast noch vergessen, dass deren Informationspolitik dufte ist, weil die nie was verheimlichen.
Fällt ihnen halt erst ne Weile später auf, dass außer Forenkram auch Kreditkartennummern geklaut wurden, aber solange sie überhaupt mal Bescheid sagen ist ja alles in Butter. Toller Laden.
Ich bin zwar kein Steam-Jünger, aber Computerforensik ist keine triviale Angelegenheit. Zudem muss man ihnen zumindest zugute halten, dass sie die Informationen verschlüsselt haben, da gibt es ja auch einige vollnoobs in der Branche die das einfach mal "vergessen".
Man kein ein System nie zu 100% absichern, vor allem wenn es so komplex wie Steam ist. Aber wenn etwas passiert, darf man die Vorfälle nicht verheimlichen, sondern muss sofort alles was man weis an die Betroffenen weitergeben, damit diese eine Chance haben zu reagieren. Alles andere führt nur zu noch größerem Vertrauensverlust, meiner Meinung nach.
...auch Kreditkartennummern geklaut...mal Bescheid sagen ist ja alles in Butter.
Übersehe ich da jetzt irgendwelche Ironie-Tags? Wenn KK-Nummern geklaut worden sind, dann ist da nichts in Butter!!!
Die sind und waren verschlüsselt. Es gab bisher noch kein Anzeichen dafür, dass sie missbraucht wurden.
Und es waren alte Kreditkartendaten deren gültigkeit schon seit jahren abgelaufen ist.
Was wohl eher der Grund ist, warum sie nicht verwendet werden.
Die Passwörter sind allerdings noch interesant.
Passwörter bringen dir aber nichts. Ich kann dir meine Logindaten gerne geben. Damit kannst du trotzdem nichts anfangen.
Und du glaubst alle alten und derzeit ruhenden Accounts aus dem Jahr 2007 nutzen den Steamguard?
Oder gar das Teil mit dem Prozessor?
Wenn das nicht so einfach wäre, dann wäre Accountsharing nicht möglich.
Passwörter wurden nicht entwendet.
Und? Das Passwort kannst du trotzdem nicht ändern. Wenn ich den Steamguard deaktiviert hätte und du dich mit meinem Account einloggst, kann ich mich danach trotzdem einloggen und deine Verbindung wird getrennt. Und dann kann ich mein Passwort wieder ändern.
Stimmt, dazu brauche ich noch deine Mailaddy, die unverschlüsselt im Archiv lag :p
Und das Passwort für meinen Mailaccount, der NICHT im Archiv lag ;)
Wenn ich mich richtig erinnere wurde der SteamGuard für alle alten Accounts sofort für alle neuen Accounts nach dem dritten Login automatisch aktiviert. Also ja, ich denke, dass alle ruhenden Accounts aus dem Jahr 2007 SteamGuard nutzen.
Der war bei mir auch plötzlich vorhanden, ohne ihn explizit angeschaltet zu habe, von daher sehe ich das genauso.
Dann redest du mit Vollidioten. Selbst ich habe hier den Status als Hardcoresteamjünger, aber sowas zu behaupten, ist Schwachsinn und das hab ich auch noch nie erlebt, dass sowas behauptet wurde.
Nach deinem Artikel darfst du das aber auch keinem Übel nehmen ;)
Deswegen muss man aber auch niemandem etwas in den Mund legen und haltlose Unterstellungen machen. Wer behauptet, dass Steam unfehlbar ist, ist einfach nicht ernst zu nehmen.
Mir wäre neu, dass ich DIR was in den Mund gelegt habe.
Wenn du dich schon durch eine solch allgemeine Aussage persönlich angegriffen fühlst, die nicht mal eine direkte Antwort auf dich war, dann solltest du dich besser aus den Kommentaren raushalten.
Ich beziehe das nicht konkret auf mich. Aber was wolltest du denn bitte mit deinem Kommentar erreichen ausser rumzustänkern? Nichts. Primitive Provokation. Bravo! /applaus
Nein, es war ein ironischer Bezug darauf, wie offensichtliche Probleme mit Steam in der Steamcomunity gerne mal kleingeredet werden. Wir haben hier ein offensichtliches Problem. Ein ganzes Datenpaket wurde entwendet und nur die Passwörter und Kreditkarteninformationen sind nicht in Klartext. Steamnamen, Adressen (auch Rechnungsdaten genannt) etc sind es.
Das ist ein ziemlicher Gau.
Was sind die ersten Kommentare aus der Community? Schön, dass sie uns nach 3 Jahren informieren. Erinnert mich ein wenig an Drucker August oder Priol wenn er den StammtischCDUler wieder mal auf die Schippe nimmt.
Problem, es ist real.
Nach 3 Jahren informieren? Der Hack ist 3 Monate her. Die Info, dass es einen Hack gab, gab es schon vor 3 Monaten. Wenns bis dahin nichts weiter zu sagen gab - wo ist dann das Problem?
Verzeihung der Herr, ich schreibe hier nur nebenbei. Monate ist natürlich richtig. Man kann es von deiner Seite allerdings auf freundlicher ausdrücken. Z.B. "Du meinst sicher Monate."
Das Problem ist nicht, dass sie das erst nach 3 Monaten kommunizieren.
Das Problem ist, dass sie es erst nach 3 Monaten FINDEN und die User nichts besseres zu tun haben, als sich über die gute Informationspolitik zu freuen.
Anprangern, dass sie das erst nach 3 Monaten mitkriegen - niemals.
Auch nichts darüber, dass nur Passwörter und Kreditkartennummern verschlüsselt waren. Nein, Toll, dass sie überhaupt etwas verschlüsselt haben!
Dabei gehört ein ganzes Backuppaket verschlüsselt und alle die Benutzer betreffenden Daten sind eh nur verschlüsselt abzulegen. Darunter fallen auch die Steamnamen und die Rechnungsinformationen.
Aber nein, schön, dass Steam nach 3 Monaten herrausgefunden hat, dass der Hack größer war und uns darüber informiert und schön, dass sie immerhin ein bisschen was verschlüsselt haben.
Wetten wir, wenn jetzt Origin gehackt wird und die Datenbank der Nutzer wird geklaut. Und wenn EA dann sofort am selben Tag mitteilt, dass die ganze Datenbank komplett nach neuesten Verfahren verschlüsselt ist und die Daten nicht im Klartext in der verschlüsselten Datenbank vorliegen - sie würden trotzdem im Shitstorm untergehen.
Unterschiedliche Maßstäbe sind was tolles.
Und das weisst du genau woher? Und hier wendet keiner unterschiedliche Massstäbe an. Wenn du das anprangerst, dann bitte auch an einer Stelle, an der das getan wird.
Wieso, du freust dich doch grade darüber, dass sie dich nach 3 Monaten informieren ;)
Ehm... bitte was? Ich bin nichtmal betroffen. Meine Güte.
Also du empfindest die Art wie Steam hier gearbeitet hat durch alle Diskusionsstränge gut und siehst bei ihnen keine Verfehlungen.
Dafür must du doch nicht betroffen sein. *shrug*
Nein, ich sehe keine Verfehlungen. Und du hast doch behauptet, dass ich mich freue. Dabei hab ich hier nirgends Freude geäussert. Und du wirfst mir doch vor, dass ich mit unterschiedlichem Mass messe. Das ist hier nirgends passiert.
Hast du bei Sony eine gesehen?
Falls ja, dann misst du mit unterschiedlichem Mass.
Und du findest es gut, das Valve darüber jetzt informiert (weil sie es laut US-Gesetz müssen) und darüber so schnell informiert (nachdem sie es entdeckt haben) und du findest es gut, dass Valve immerhin teilverschlüsselt hat, oder?
Darf ich das nicht mit einer gewissen Freude über die gute Informationspolitik gleichsetzen? Bei jedem normalen Menschen müßte ich es.
Sony hat es sehr lange verheimlicht, dass etwas geschehen ist. Waren die Datensätze bei Sony verschlüsselt?
Bei Valve hat man es sehr schnell gesagt. Das Forum war dort kurzzeitig geschlossen und man musste ein neues Passwort verwenden. Aus Sicherheitsgründen. Dass sie ihre Datensätze verschlüsselt haben, ist etwas, dass ich erwarte. Darüber muss ich mich nicht freuen. Dass sie sich jetzt erneut gemeldet haben, ist eine gute Sache. Transparenz ist IMMER gut.
Und das ist objektiv einfach so. Wenn du das nicht abstrahieren kannst, ist das nicht mein Problem. Emotionen ändern nichts an den Tatsachen und haben dort letztendlich auch nichts verloren.
Sony war sich lange der Tragweite nicht bewußt. Valve noch länger (nach 3 Monaten merken sie etwas) und wäre Valve keine Amerikanische Firma die nach US-Recht über sowas informieren muss, hätten sie es vielleicht garnicht getan.
Wie du selbst sagst, das Forum war down. Nur das Forum. Das noch mehr kompromitiert wurde merkten sie erst jetzt. Und das mit dem Passwort war doch auch nur für das Forum.
Das Archiv mit den Backups war weder verschlüsselt noch sonst wie gesichert und die Daten darin waren nur teilweise verschlüsselt (eigentlich nur Datentypen von vielen).
Fassen wir also zusammen, geklaut wurde ein Archiv mit vielen Daten von denen nur wenige verschlüsselt waren.
Das merken sie aber erst nach 3 Monaten.
Der Informationspflicht ist man aus rechtlichen Zwängen nachgekommen (und dadurch wirkt man transparent). Aber ebend erst nachdem man es nach 3 Monaten endlich bemerkt hat.
Und das ist objektiv so und du findest es gut.
Wie zum Teufel kommst du nur darauf, dass Valve 3 Monate lang nichts gemerkt hat? News nicht gelesen?
Valve hat vor 3 Monaten gemerkt "Oh das Forum wurde gehackt"
Forum offline -> neues Passwort, lasst mal weiter schauen.
Valve hat JETZT gemerkt "Oh, nicht nur das Forum wurde gehackt sondern es wurden auch unsere Backups von 2003 bis 2008 kopiert".
Sie haben den unberechtigen Zugriff auf die Backups mit den Nutzerdaten 3 Monate lang nicht gemerkt.
News nicht gelesen?
Das war schon lange bekannt. Die News jetzt war nur ein Statusupdate. Du ziehst daraus nur den Schluss, dass sie es JETZT erst gemerkt haben. Dass sie Ermittlungen dazu schon lange laufen, ist für dich nicht möglich, hmm?
Da ihre Informationspflicht in den USA eine zeitnahe Informierung der Kunden erfordert.
Ja. Sie haben einen gewissen Zeitraum in dem sie informieren müssen.
Das die Ermittlungen lange laufen (seit dem Forenhack) ist klar.
news nicht gelesen?
"Seit November untersuchen die Steam-Betreiber mit Hilfe externer Sicherheitsfachleute den Vorfall."
kann ja nicht jeder so ein it-profi sein wie du der mit 20 schon 100jahre berufserfahrung auf den gebiet hat und nach 2min weiß was weg ist und was nicht.
Weg? es wurde kopiert, nicht verschoben. Es geht erstmal nur um die Überprüfung der sensiblen Daten und Zugriffsstellen auf unberechtigte Zugriffe.
Also Nutzerdaten, deren Backups, Logs und Steuerungssysteme.
Und hätten sie das sofort gemacht, dann wäre die Kopie eines unberechtigten Backups sehr schnell aufgefallen.
Du weisst nicht, wann es ihnen aufgefallen ist.
Das Antwortest du jetzt schon zum 3. mal wobei ich schon 2 mal geschrieben habe, dass sie Fristen für die Informierung haben. Von Gesetzeswegen her.
Frist von 3 Monate? Glaubst du daran?
Was laberst du eigentlich für einen Schwachsinn zusammen?
Valve hat nach dem Hackvorfall externe Sicherheitsleute beauftragt diesen Angriff auszuwerten und zu untersuchen. Das dauert seine gewisse Zeit und ist nicht innerhalb von 24 Stunden getan. Vor allem nicht bei diesen Datenmengen, die mutmaßlich auf vielen Servern gespeichert sind. Aber hey, Mister Anonymous bekommt das sicherlich in 10 Minuten hin.
Abgesehen davon: Valve wurde von keinem Gesetz zu dieser Informationspflicht gezwungen. Es heißt in dem Text, dass einige US-Bundesstaaten Gesetze haben, dass man die User PER BRIEF über so einen Vorfall berichten muss. Dieser Extra-Hinweis beim Steam-Start hat Gabe Newell aber für alle Nutzer freigegeben. Er hätte das NIE machen müssen, sondern lediglich die Nutzer, welche in den besagten US-Staaten leben, benachrichtigen müssen und das schriftlich.
Die Überprüfung ob auf Daten von berechtigten Nutzern zugegriffen wurden oder von unberechtigten und vor allem wann dauert keine 3 Monate. Es dauert zwar eine gewisse Zeit aber nicht mehrere Monate. Zumindestens wenn du einigermaßen gute interne Logs laufen läßt.
Im übrigen hätten das die Admins gleich durchführen müssen um zu überprüfen ob es noch weitere unberechtigte Zugriffe gab. Erstmal nur sagen "Ins Forum hat sich wer reingehackt, das sehen wir so, bei allem anderen gehen wir erstmal davon aus, dass es sicher ist und lassen die Externen ran" ist auch keine tolle Einstellung.
Die Analyse auf Datenmanipulationen und Vorgehen dauert etwas länger, da gebe ich dir recht. Auf wie vielen Servern dabei gespeichert ist, ist erstmal egal. Die sind ja nicht ungeordnet.
Und da sie wohl kaum die gesammte Architektur kopiert haben, war es wohl eine Untersuchung am schlagenden Herzen. Was auch nicht grade toll ist...
Hätte Valve nur per Brief die US-Nutzer informiert, dann hätte es einmal wesentlich mehr gekostet und es wäre dann über diese Nutzer im Internet gelandet, was wenig gute Presse gebracht hätte.
Und wieder gehst du davon aus, dass es 3 Monate gedauert hat. Ist das nur so schwer? Die können das auch schon seit 10 Wochen wissen und haben es erst jetzt gesagt, weil es dazu auch keinen Grund gab. Herr, wirf Hirn vom Himmel.
Lies meine Antwort auf deinen anderne Post.
Sie haben zumindestens für eine US Nutzer eine Informationspflicht mit gewissen zeitlichen Grenzen.
Die werden kaum 2/1/2 Monate betragen. Besonders wenn es um Kreditkarteninfos geht (verschlüsselt oder nicht) kann man es sich nicht leisten das 2 Monate zurückzuhalten. Das wäre besonders in den USA ein guter Klagegrund.
Dann zeig mal dieses gesetz bzw. deren zeiträume ,wann was gemeldet werden muss.
Ich weiß nur, dass Valve das in seiner Informationsmeldung das mit irgendeinem Bundesgesetzt begründet hat. Ich kenne die genaue Meldung weniger genaus als ein Steamnutzer. Frag bei denen nach dem § des US-Gesetzes.
Wird leider in keiner News erwäht welcher das war.
Was mich ja vor allem wundert. Das die Hacker zugriff auf die Datenbanken neben dem Forum hatten wissen sie schon lange. Das ein Backup kopiert wurde merken sie bald 3 Monate später.
thetechherald.com/articles/Hacked-User-information-possibly-compromised-in-Steam-attack
*einige
Ihr solltet die Diskussion ins Forum verlegen. Total unübersichtlich hier in den Kommentaren.
Dann gibt es wohl einige Vollidioten bei den Steamjüngern. Weil das was er oben schreibt, sind meist die Reaktionen von den Steam-Fanboys, wenn man es auch nur ein bischen wagen sollte am Steamglanz zu kratzen.
Stimmt, ist echt viel zu oft zu lesen sowas.
In der Form nicht. Wäre eine Sache, die noch fehlt. Die Stats sind aber online einsehbar.
http://store.steampowered.com/stats/
Wäre nur doof, wenn die Stats Seite halt auch ausfällt.
Es gibt einen Thread im Steam-Forum, in dem geplante Downtimes angekündigt werden und ungeplante Probleme angesagt werden. Da schaue ich immer zuerst, wenn etwas nicht geht.
http://forums.steampowered.com/forums/showthread.php?t=784745
Demnach ist die unterbrechungsfreie Stromversorgung des Rechenzentrums ausgefallen und für den Reboot haben sie knapp 3/1/2 Stunden gebraucht.
Valve gehört halt zu den Guten, da sind die Maßstäbe anders.
Aber sag das nie laut, sonst wirst du gleich runtergemacht.
Flascher Button
Sollte an Flo_the_G gehen.
Auch Amerikaner haben in der Regel am Sonntag frei. Bis das auffällt bzw. die Problemquelle gefunden ist, die entsprechende Person informiert wird, diese sich auf den Weg dorthin macht und der Reboot vollzogen ist, kann's halt mal ein paar Stunden dauern. Da wird wohl keiner 24/7 auf ner Pritsche im Rechenzentrum hausen.
Das wäre das erste RZ, dass ich kenne, das keine 24/7-Besetztung hätte. :O
Die Frage ist nur, wer in dem RZ 24/7 ist. Das sind mit Sicherheit nicht die alle Administratoren. Nur weil der Strom wieder da ist, heißt das nicht, dass alle Server wieder reibungslos hochfahren und obendrein alle Datenbanken und Applikationen sauber starten. Ehe sicherheitsrelevante Dienste wieder ans Netz gehen, wird obendrein auch noch getestet, ob alles sauber läuft. Bei einem Komplettausfall sind 3,5 Stunden Wiederherstellungszeit insofern ein guter Mittelwert.
Das Stelle ich auch gar nicht in Abrede. ;)
Vielen Dank, sowas habe ich gesucht. Schön das es dafür eine offizielle Quelle gibt.
Ich wollte mit meiner Frage keine Grundsatzdiskussion auslösen, sondern nur eine Informationsquelle, ob das Problem meinen oder Valves Rechner betrifft :-)
Ich finde die Reaktionen bisher sehr bezeichnent.
Sonyhack:
Erbeutet: Nutzerdaten, Passwörter und Kreditkarteninfos (unverschlüsselt -> Dummheit)
Reaktion: Erst mal runterspielen, auch weil sie selbst wohl nicht wußten wie weit es geht und anfangs schlechte Informationspolitik (typisch Japaner halt). Dann komplettes Abschalten des Dienstes, weitere Überprüfung und komplette Umgestaltung (was vielen auch nicht Recht war)
Ergebnis:
Sony = böse
Hacker = Gut (frenetisch bejubelt)
Steamhack:
Erbeutet: Nutzerdaten, Passwörter, Kreditkarteninfos (verschlüsselt, fragt sich nur wie lange noch)
Reaktion: Forum kurzzeitig down und nur das Forum, dann: "Das Forum wurde gehackt, nach mehr sieht es nicht aus, Shop ist sicher".
Nach rund 3 Monaten rumgucken im laufenden Betrieb "Öhm jo, die Sicherungsdatenbank des Shops! von 2001 bis 2008 haben sie auch, schaut mal auf eure Kreditkartenabrechnungen".
Dafür haben sie 3 Monate gebraucht?
Keine weiteren Reaktionen (Sicherheitslücke dicht?).
Ergebnis:
Valve = Gut
Hacker = Böse (regelrechte Hasstiraden auf die Hacker)
Indischer MS-Store (Drittanbieter):
futurezone.at/netzpolitik/7401-indischer-microsoft-store-gehackt.php
Erbeutete Daten: Nutzerdaten, Passwörter, Kreditkarteninfos (unverschlüsselt...)
Reaktion: Store ist down.
Ergebnis (Einschätzung):
Drittanbieter = Idioten
M$ = Böse (waren sie ja schon immer)
Hacker = Gut
Originhack, Uplayhack, Livehack (theoretisch)
Ergebnis (Einschätzung mit hoher Eintrittswahrscheinlichkeit)
[Anbieter des Netzwerkes] = Böse
Hacker = Gut
Stockholm? Mehr fällt mir dazu nicht mehr ein.
Steam gibts erst seit 2003, nur so am Rande.
Tippfehler kann ich aus gewissen Gründen nicht berichtigen.
Aber so lange das dein einziges Problem mit dem geschriebenen ist.
"Erbeutet: Nutzerdaten, Passwörter, Kreditkarteninfos (verschlüsselt, fragt sich nur wie lange noch)
von 2001 bis 2008 haben sie auch, schaut mal auf eure Kreditkartenabrechnungen".
Dafür haben sie 3 Monate gebraucht?"
Das Gültigkeitsdatum einer Kreditkarte beträg je nach Bank zwischen zwei und vier jahren.
Viel anfangen können sie damit nicht.
Meine KK hat 6 Jahre LAufzeit
Mit einer der Gründe, warum ich Gamer nicht mehr ernst nehmen kann.
Ich habe nun meine 360 verkauft und mit der PS3 kaufe ich nichts mehr online. Ein neuer PC kommt mir nicht mehr ins Haus und somit ist Steam für mich gestorben.
Mein C64 ist übrigens immer noch unhackable. ;)
Bekomm ich deinen Steam-Account? ;p
200€, dann gehört er dir. :p
Dafür habe ich zu viele Spiele selbst schon, die du hast ^^
Stockholm... :D
Der war echt gut!
Schon der Hammer, wie Valve seine Kunden im Griff hat. Solch eine Meldung in Bezug auf Origin, MS, oder Ubi? Hier wäre die Hölle los.
Du hast schon ein wenig Recht. Fans werden das häufiger etwas anders bewerten, als Außenstehende.
Dennoch hast Du einen ähnlichen Fehler gemacht. Du erwähnst zwar, dass die Kreditkartendaten verschlüsselt waren. Aber nur bei dem Steam-Fall fügst Du eine Frage/Vermutung hinzu ("Wie lange noch?"). Und dabei hast Du auch gleichzeitig mit dieser Frage ignoriert, dass es sich um alte Kreditkartendaten handelt, die im Allgemeinen alle abgelaufen sein sollten.
Das Drama spielt sich also oft nur im Kopf ab, insbesondere wenn man nicht alle Fakten genau bewertet.
Im Allgemeinen, aber nicht im speziellen. Es gibt Kredikarten die deutlich länger laufen ;). Den Großteil mag es nicht mehr betreffen. Aber schon eine Handvoll ist zu viel.
Außerdem, wie soll ich bitte bei den anderen Vorfällen fragen wie lange die Verschlüsselung noch hält? Da gab es keine. ;)
Weder Sony noch dieser Drittanbieter von MS haben verschlüsselt. Steam immerhin zum Teil. Etwas besser.
Ich hätte die Frage allerdings etwas präzisieren sollen. Zuletzt wurden dem Archiv wohl Daten um 2008 zugefügt. Die Frage ist ebend, wie sind die Daten verschlüsselt. Alle mit einer Verschlüsselung von 2003? Verschlüsselungen aus der Zeit taugen heute oft nurnoch als Benchmark für die Grafikkarte ;).
Oder alles mit einer von 08. Dann ist es noch nicht ganz so schlimm. Wenn die Verschlüsselung mit der Zeit angepasst wurde auch nicht. Dann sind nur die älteren Daten ein Benchmark. Und so lange wird kaum eine KK gelten.
Ich wolle es kurz und Übersichtlich lassen. Daher keine ellenlange Ausführung. Wahrscheinlich hätte ich aber doch noch ein "Verschlüsselung von 2003?" Einfügen sollen.
Und wird's wie bei Sony Gratis-Spiele als Entschädigung geben?
lol, warum sollte man das tun? Entschädigung wofür?
Für geklaute Kredikarteninfos?
Zugegeben, anders als Sony war sich Steam zu fein für eine genaue Untersuchung des Systems selbiges für die Untersuchungszeit offline zu nehmen. Daher hats wohl auch so lange gedauert...
Und dafür kann Valve wirklich was? Kein Unternehmen ist sicher. Eine 100%ige Garantie gibt es nicht. Ist deswegen jemand zu Schaden gekommen? War Steam im Gegensatz zum PSN monatelang nicht verfügbar? Nein. Schadensersatzansprüche zu stellen ist... fragwürdig.
Na klar kann Valve dafür etwas. Sie tragen das volle Risiko dafür. Wenn sie sauberer gearbeitet hätten, wäre das nicht passiert. Und natürlich gibt es keine 100% Garantie, aber normalerweise wird der Aufwand für Sicherheitsmaßnahmen so kalkuliert:
Was kann passieren? Wie hoch ist der Schaden in €? Wie warscheinlich ist es, dass dieser Eintritt?
Risiko = Schaden[€] * Eintrittswarscheinlichkeit
Wie viel würde welche Sicherheitsmaßnahme kosten? Ist die Sicherheitsmaßnahme günstiger als das Risiko -> Wird eingebaut. Ansonsten lässt man das Risiko bestehen und bildet entsprechende Rücklagen um es im Notfall auszugleichen. Beispiel: Wenn in einem Büro dauernd Computermäuse geklaut werden (1,2 im Monat), wäre es unverhältnismäßig eine Videoüberwachung oder ähnlich teure Späße zu installieren. Daher nimmt man dieses Risiko einfach hin und kauft halt für 20 € neue Mäuse im Monat.
Das Problem dabei ist meistens, den Schaden und die Eintrittswarscheinlichkeit effektiv zu schätzen, da Imageverlust nicht sehr leicht in entgangenen Gewinnen beziffert werden kann.
Und die Polizei ist für Einbrüche verantwortlich? Mein Rauchmelder ist dafür verantwortlich, dass es brennt? Die können doch nichts dafür. Absolute Sicherheit gibt es nicht. Die Steam Accounts sind durch Steam Guard abgesichert. Die Daten wurden gut verschlüsselt gesichert.
Ich weiß echt nicht wie du jetzt auf die Aussage kommst.
Steam ist für die Absicherung ihrer Server gegen Einbrüche verantwortlich.
Steam ist bei einem Einbruch dafür verantwortlich das System abzudichten, den Schaden gering zu halten und vor allem möglichst schnell rauszubekommen, was eigentlich alles kompromitiert wurde.
Für das Letzte haben sie satte 3 Monate gebraucht. Das PSN war weniger lange off, wenn ich mich nicht irre.
Und gut verschlüsselt. Wenn die Verschlüsselung noch aus den Anfangstagen von Steam stammen sollte, dann ist es eher ein Sport denn eine Herrausforderung sie zu knacken. In dem Fall können die Kartenbesitzer nur froh sein, dass die Karten wahrscheinlich alle abgelaufen sind.
Nur sollte man jetzt auch sein Steampasswort ändern. Was ich so lese werden wohl in letzter Zeit recht viele alte Accounts reaktiviert mit denen dann bis zum VAC-Bann gecheatet wird. Ein Zusammenhang ist möglich.
Natürlich sind Firmen dafür verantwortlich, wenn ihre Server gehackt werden und persönliche Daten der Kunden abhanden kommen. Auch wenn ich unpassende Vergleiche (wie deine mit der Polizei und den Rauchmeldern) ja normalerweise lieber vermeide...aber wenn ich meine Wertsachen einer Bank anvertraue und dort in einem Schließfach werwahre, ist auch die Bankd afür verantwortlich, wenn die geklaut werden. Wenn ich ein Kind einem Kindergarten anvertraue, kann die verantwortliche Aufsichtsperson auch ziemliche Schwierigkeiten bekommen, wenn dem Kind dort etwas passiert. Man hat einfach eine Verantwortung, wenn einem ein Kunde etwas anvertraut.
Und gerade bei solchen Hacks (der Hack wurde anscheinend von einem einzigen Minderjährigen Hacker durchgeführt), kann man meißt ruhigen Gewissens erstmal davon ausgehen, dass irgendwo bei der IT-Sicherheit geschlampt wurde.
Natürlich ist es verdammt schwer, jeglichen Einbruch zu verhindern, alles 100%ig abzusichern und es gibt auch immer 0-day exploits, gegen die man sich einfach nicht wirklich verteidigen kann. Aber solche Dinge werden auf dem Schwarzmarkt für sehr viel Geld gehandelt und ich würde mal davon ausgehen, dass dieser einzelne Hacker, der höchstwahrscheinlich noch bei seinen Eltern lebte, sowas nicht zur Verfügung hatte. Also hat er wohl irgendeine Methode benutzt, gegen die man sich hätte absichern können. Und damit ist er denn sogar an Backups gekommen, die ewig alt sind (was wirklich erschreckend ist) und ne Menge ziemlich sensibler Daten enthielten. Und selbst wenn eine Verschlüsselung natürlich erstmal besser scheint, als garkeine, wie beim Sony-Hack. Keiner von uns weiß, wie genau die Kreditkartendaten usw verschlüsselt waren. In den letzten 8 Jahren ist ne Menge passiert, in der Crypto-Welt. Ein Algorithmus, der damals noch als angemessen galt, kann dir heute um die Ohren fliegen, weil er einfach geknackt wurde oder man sich inzwischen zuhause, für wenig Geld, soviel Rechenpower hinstellen kann, dass es einfach nur ne Frage der Zeit ist, bis man die Daten entschlüsselt hat....vor allem, wenn man Millionen von Datensätzen zur Verfügung hat. Verschlüsselung ist nicht gleich Verschlüsselung und wenn die Verschlüsselung nicht taugt, ist das oft nicht besser, als wenn garnicht verschlüsselt wurde.
"Eine 100%ige Garantie gibt es nicht" halte ich auf jeden Fall für eine ziemlich naive Aussage. Weißt du, ob es nicht irgendeine billige SQL-injection war, nen ungepatchter Webserver, nen gehacktes email-Konto oder sowas, des dem Angreifer da Tür und Tor geöffnet hat? Bei den meißten Hacks sind es einfach solche Dinge...schlampige it-security. Und solange Valve mir nich ganz genau sagt, was da schief gelaufen ist und warum sich jemand unbefugt nen riesiges 8 Jahre altes Backup ziehen konnte, muss ich einfach davon ausgehen, dass es in diesem Fall nicht anders war.
"(der Hack wurde anscheinend von einem einzigen Minderjährigen Hacker durchgeführt)"
Gib es dafür beweiese?
"Und damit ist er denn sogar an Backups gekommen, die ewig alt sind (was wirklich erschreckend ist)und ne Menge ziemlich sensibler Daten enthielte"
Du weiß schon das es Aufbewahrungsfristen von Geschäftsunterlagen gibt ,diese beträgt zwischen sechs und zehn Jahren.
"Und solange Valve mir nich ganz genau sagt, was da schief gelaufen ist und warum sich jemand unbefugt nen riesiges 8 Jahre altes Backup ziehen konnte, muss ich einfach davon ausgehen, dass es in diesem Fall nicht anders war."
Warum sollte das Vale,beweis du doch erstmal das gegenteil
Es gibt zB eine gehackte Telefonkonferenz, in der sich ein paar Leute vom FBI und der britischen Polizei drüber unterhalten und erzählen, dass ein Kiddie festgenommen wurde, das wohl für den Steam-Hack verantwortlich war.
Ich hab keine Ahnung, wie genau die Aufbewahrungsfristen aussehen, für Firmen in den USA. Aber in den Gesetzen steht sicherlich nirgends, dass 8 Jahre alte Backups an nem Netzwerk zu hängen haben, in das man aus dem Internet reinkommt. Ich kann verstehen, wenn da irgendwie von außen auf aktuelle Backups zugegriffen werden kann, um die unkompliziert wieder herstellen zu können oder zu Supportzwecken oder für Statistiken oder zur Fehlersuche oder was auch immer. Aber Daten, die so alt sind? Die existieren doch genau nur noch, wegen solchen Aufbewahrungsfristen. Die braucht doch niemand mehr. Wieso liegen die nicht in irgendwelchen gut temperierten Schränken, wo sie nur rausgeholt werden (oder ans Netzwerk angesteckt werden), wenn ne Behörde kommt und die braucht?
Ich kann das Gegenteil nicht beweisen, weil Valve mir nicht sagt, was genau da passiert ist und der Hacker selbst meines Wissens nach nichts dazu veröffentlicht hat. Aber weil es bei Hacks (egal ob groß oder klein) nur wirklich selten irgendwelches komplett abgefahrenes Zeug ist, was dem Angreifer den Zugang zu nem System ermöglicht, kann ich mit relativer Sicherheit davon ausgehen, dass irgendjemand geschlampt hat. Und wenn es nur irgendein Mitarbeiter, mit Zugang zu diesem Netzwerk, wo die Backups und Forendaten lagen, war, der sich einen Trojaner eingefangen hat und das nicht gemerkt hat. Irgendwo wurde nicht aufgepasst.
Ich möchte ja eigentlich auch garnicht behaupten, dass da irgendwie grob fahrlässig gehandelt wurde. Wenn man lange genug sucht, wird man fast immer irgendwo einen Angriffspunkt finden. Aber man kann deshalb halt nicht einfach eine Firma von ihrer Verantwortung freisprechen. Wenn jemand unbefugt rein kommt, denn eigentlich immer, weil es nen Fehler im System gab, der theoretisch auch hätte behoben oder vermieden werden können. Und meißt sind es halt relativ simple Dinge. Meißt hat irgendwer nicht aufgepasst oder seinen Job nicht "gut genug" gemacht. Menschliches Versagen halt. Aber grade deswegen sollte man schon versuchen, dass Daten, auf die nicht unbedingt von der ganzen Welt aus zugegriffen werden können muss (wie riesige, 8 Jahre alte Backups), ganz einfach nicht von jedem, der nen passenden Login hat, übers Internet runtergeladen werden können.
Zumindest genauso fragwürdig wie einfach weiterhin blind gehorsam zu sein.
Polemik.
Wenn ich ehrlich bin, war dies das schönste Kompliment, dass mir jemals auf GG gemacht wurde.
Hier ist des Volkes wahrer Himmel, Zufrieden jauchzet groß und klein: Hier bin ich Mensch, hier darf ichs sein!
Bitteschön :)
Danke für diesen wertvollen Beitrag!
Hallo? Ein BACKUP mit nicht unsensiblen Daten wurde geklaut.
An ein Backup solltest du von außen unter keinen umständen rankommen können, wenn die IT sauber arbeitet.
Dafür kann Valve sehr wohl was. Aber offensichtlich hat die IT-Abteilung nicht so viel dazu gelernt, seit dem ihnen der Sourcecode von HL2 geklaut wurde.
Und relativ kurz danach legten schon die ersten Spieler ihre Daten in Valves hände. Das Kurzzeitgedächtnis ist ebend kurz
Man braucht ein System nicht für die ganze Untersuchungszeit offline zu nehmen. Normalerweise rücken IT-Forensiker an, ziehen sie ein 1:1 Image der ganzen Festplatten und eventuell auch des Ram's falls das System noch an ist, validieren die Korrektheit mit einer Prüfsummenermittlung und arbeiten nur auf dieser Kopie.
So lange ich nicht weiß was alles Kompromitiert ist, welche Hintertüren vielleicht angelegt wurden und auf was alles Zugriff von Außen genommen werden kann schon.
Schließlich kann eine solche Tür, wenn ich sie in der Untersuchung noch nicht gefunden habe, immer wieder verwendet werden.
Klar, für die Spurenauswertung brauche ich nicht offline zu gehen. Aber wenigstens so lange um rauszufinden wo ich überhaupt überall angegriffen wurde.
Hat Steam offensichtlich nicht gemacht. Sonst würde ihnen nicht erst nach 3 Monaten auffallen, dass da wer an den Backups war (die ja noch mal weiter weg vom Internet angelegt sind als die aktiven Systeme).
Vielleicht haben sie ja recht schnell die Lücke gefunden und gestopft, aber danach weiter nachgeforscht, worauf die Angreifer nachdem sie reingekommen waren so alles zugegriffen haben.
Obwohl, 3 Monate sind dafür schon arg lang...
Die ersten fünf auf der Wunschliste :D
Ahhh ... schnell einloggen und paar Spiele auf die Wishlist packen! Danke!! xD
Und wenn man 2008 noch nicht bei Steam war ist man relativ sicher?
Nicht nur relativ, sondern sehr sicher.
Ich hab Vertrauen in Steam. Im Forum bin ich nicht aktiv und Steam Guard ist an. Fühl mich daher sicher. Trotzdem gut das Valce da dran ist und informiert.
Ich fühle mich bei Steam auch sehr sicher. Dort sind schließlich keine echten Daten von mir hinterlegt.
Valve son Witzverein. Haben seit mehreren Jahren ein offenes Scheunentor und spielen fleissig alles runter. Der ungebildete Gamer, der nicht nachdenkt, schluckt das natürlich ohne die Sache zu hinterfragen.
Wäre das Ganze bei M$ passiert, wäre vermutlich die Hölle ausgebrochen.
Vergesst bitte nicht das die Hacker die Verursacher sind und nicht Steam.
Das ist recht egal, da Valve die Verantwortung für die Sicherheit der Daten trägt. Wenn du deine Haustür offenlässt und Einbrecher reinlaufen zahlt deine Versicherung auch nicht, obwohl die Einbrecher es waren, die Zeug mitgenommen haben.
Zeugt wirklich von ziemlichem Unverständnis diese Aussage.
Da wurden 4 komplette Jahre voll mit Backup Daten entwendet?
Das hat bisher ja nicht mal Sony fertig gebracht o.O
Das wirklich Erstaunliche ist aber, wie schizophren diese Nachrichten aufgenommen und kommentiert werden.
Ich gönne normalerweise jedem Tierchen sein Pläsierchen, aber wie man bei solchen Meldungen immer noch blindes Vertrauen in diesen Dienst haben kann, ist mir ein Rätsel.
Andersrum, es wurde EIN Backup über satte 4 Jahre entwendet. Sowas wie ein Komplettbackup. Mich wundert, dass man sowas auf Servern hat, die überhautp eine stetige Netzwerkverbindung haben. Sowas wird doch eigentlich lokal gespeichert und dann "Weggeheftet und abgelegt". Aber nicht stetig zugreifbar.
Aber wunder dich nicht, es geht um Steam.
- Backuparchiv, also eine Datei mit Daten über 4 Jahre. Offensichtlich ohne Passwort oder Verschlüsselung.
Naja, wofür macht man denn ein Backup? Damit man die Daten AUSFALLSICHER verwahrt. Vielleicht waren die so schlau, das in ne "Cloud" zu packen oder so, damit es besonders ausfallsicher ist ;)
Ne, aber auf ein externes Speichermedium, das nur bei Bedarf mit den Servern verbunden wird (der Hack war 2011, das Archiv bis 2008, das letzte mal, dass da was reingepackt wurde ist also her) und das ebend weder an der Datenverbindung noch an der Stromversorgung der Server hängt.
So extrem groß kann die Datenbank nun auch nicht sein, als das sie nicht auf ein einzelnes externens was auch immer Laufwerk passen würde.
nicht umsonst gibts es paypal, click&buy und co.
damit eben ein mittelsmann dazwischen ist, und der händler nicht die konkreten daten erhält.
Oder eine vollkommen anonyme Paysafecard ;)
ja. weil paypal mit sicherheit auch völlig unhackbar is. nich so wie steam oder psn. da kann ja überhaupt nichts schief gehen, wenn man einem webservice seine finanztransaktionen anvertraut...
Playstation Network, Steam .. so langsam nervts.
Das ist doch erst der Anfang, in Zukunft wird schließlich alles nur noch geCLOUD. :P
Hach, das wird schön.
Für die Hacker
Für die Geheimdienste
Für die Cloudfirmen
Für die Chefs die Bashwörter lieben
Und für die Kunden auch, wenn einer der Clouder wegen Urheberrechtsverletzungen offline geht.
Ich weiss, bei einem Vergleich schaut man nicht nach unten, aber wenn sich hier manch einer daran stört, dass Valve ein paar Tage gebraucht hat...
Nortel 10 Jahre (!!!) lang ungestört gehackt gewesen.
http://www.golem.de/news/nortel-networks-nortel-war-fast-zehn-jahre-lang-gehackt-1202-89770.html
Sie wußten auch fast 10 Jahre von dem Hack und haben nichts unternommen.
Valve hat 3, bei intensiver Untersuchung des Vorfalles, gebraucht um zu erkennen, dass auch unberechtig auf die Sicherungsdaten und nicht nur auf das Forum zugegriffen wurde.
Ignorieren und ewig und 3 Tage an der Analyse sitzen sind 2 Paar Schuhe.
Klick mal den Link an und lies den ersten Absatz.
"Vier Jahre bemerkte das Unternehmen den Hack nicht, in den Folgejahren reagierte es kaum. "