Een ernstig beveiligingslek in de populaire gamingdienst Steam zorgde ervoor dat accounts van gebruikers dit weekend op kinderlijk eenvoudige wijze konden worden gekaapt. Het enige dat een aanvaller nodig had om toegang tot een account te krijgen was de gebruikersnaam van gebruiker.
De kwetsbaarheid bevond zich in de wachtwoordresetfunctie. Bij het wijzigen van een wachtwoord stuurt Valve, de ontwikkelaar van Steam, een code naar het e-mailadres van de gebruiker. Deze code moet worden ingevoerd voordat het wachtwoord kan worden aangepast. Een bug zorgde er echter voor dat deze code niet meer nodig was. Een aanvaller die de code niet invulde kon gewoon op doorgaan klikken en vervolgens een nieuw wachtwoord instellen en zo toegang tot het account krijgen, zoals deze video laat zien.
Valve laat in een reactie aan gamingwebsite Kotaku weten dat het om een "bug" ging en het probleem op 25 juli werd ontdekt. Inmiddels zou de bug zijn verholpen. Om gebruikers te beschermen zullen van alle accounts met "verdachte wachtwoordwijzigingen" het wachtwoord worden gereset. Gebruikers zullen in dit geval een e-mail met een nieuw wachtwoord ontvangen. Daarnaast stelt Valve dat bij accounts die Steam Guard gebruikten, de twee-factor authenticatie van de gamingdienst, aanvallers niet konden inloggen ook al was het wachtwoord gewijzigd.
Steam heeft wereldwijd 125 miljoen gebruikers. Via het platform kunnen gebruikers allerlei games en digitale voorwerpen kopen. Sommige onderzoeksbureaus stellen dat 75% van alle pc-games via Steam worden verkocht. Steamaccounts met veel spellen of digitale goederen zijn dan ook een geliefd doelwit. Van hoeveel gebruikers het account is gekaapt is onbekend, maar op Reddit laten lezers weten dat verschillende bekende gamers de dupe zijn geworden.
Deze posting is gelocked. Reageren is niet meer mogelijk.