image

Ernstig lek maakte kapen van Steam-accounts kinderspel

maandag 27 juli 2015, 07:41 door Redactie, 8 reacties

Een ernstig beveiligingslek in de populaire gamingdienst Steam zorgde ervoor dat accounts van gebruikers dit weekend op kinderlijk eenvoudige wijze konden worden gekaapt. Het enige dat een aanvaller nodig had om toegang tot een account te krijgen was de gebruikersnaam van gebruiker.

De kwetsbaarheid bevond zich in de wachtwoordresetfunctie. Bij het wijzigen van een wachtwoord stuurt Valve, de ontwikkelaar van Steam, een code naar het e-mailadres van de gebruiker. Deze code moet worden ingevoerd voordat het wachtwoord kan worden aangepast. Een bug zorgde er echter voor dat deze code niet meer nodig was. Een aanvaller die de code niet invulde kon gewoon op doorgaan klikken en vervolgens een nieuw wachtwoord instellen en zo toegang tot het account krijgen, zoals deze video laat zien.

Bug

Valve laat in een reactie aan gamingwebsite Kotaku weten dat het om een "bug" ging en het probleem op 25 juli werd ontdekt. Inmiddels zou de bug zijn verholpen. Om gebruikers te beschermen zullen van alle accounts met "verdachte wachtwoordwijzigingen" het wachtwoord worden gereset. Gebruikers zullen in dit geval een e-mail met een nieuw wachtwoord ontvangen. Daarnaast stelt Valve dat bij accounts die Steam Guard gebruikten, de twee-factor authenticatie van de gamingdienst, aanvallers niet konden inloggen ook al was het wachtwoord gewijzigd.

Steam heeft wereldwijd 125 miljoen gebruikers. Via het platform kunnen gebruikers allerlei games en digitale voorwerpen kopen. Sommige onderzoeksbureaus stellen dat 75% van alle pc-games via Steam worden verkocht. Steamaccounts met veel spellen of digitale goederen zijn dan ook een geliefd doelwit. Van hoeveel gebruikers het account is gekaapt is onbekend, maar op Reddit laten lezers weten dat verschillende bekende gamers de dupe zijn geworden.

Reacties (8)
27-07-2015, 09:32 door karma4
Een fraai voorbeeld waarbij het verplicht veranderen van een ww een probleem veroorzaker is ipv een Hulp om het veilig te houden.
27-07-2015, 10:31 door Fwiffo
Ik zou steam guard geen 2-factor willen noemen. De site lijkt even down vanaf hier, maar volgens mij krijg je bij steam guard een e-mail bij elke verandering van je computer of van je ip adres. Alles hangt dus op het e-mail adres dat je gebruikt (en e-mail adressen zijn zelden voor het leven; providers worden overgenomen, webmail gaat failliet, etc.).

Ook begrijp ik dat je wachtwoord zelf niet gecompromitteerd is door dit lek, dus als ik de komende dagen een mailtje krijg van Valve, hergebruik ik gewoon weer mijn oude 12 tekens lange random wachtwoord ([0..9][A..Z][a..z]; 62 mogelijkheden per teken, ongeveer 6 bits)). Moet zo-wie-zo (alternatieve spelling: sowieso) weer eens inloggen, laatste controle mailtje van steam is al weer een half jaar geleden :-D
Heb geen zin mijn opgeschreven wachtwoord plus off-site backup daarvan aan te passen! (Opgeschreven wachtwoorden zijn zeer veilig tegen online aanvallen en steam is wereldwijd. Lokale wachtwoorden schrijf ik natuurlijk niet op. Verder gaat iemand die toch mijn wachtwoord achterhaalt niet wachten tot ik weer eens mijn wachtwoord zal gaan veranderen).
27-07-2015, 10:40 door Mysterio
Door Fwiffo: Ik zou steam guard geen 2-factor willen noemen. De site lijkt even down vanaf hier, maar volgens mij krijg je bij steam guard een e-mail bij elke verandering van je computer of van je ip adres. Alles hangt dus op het e-mail adres dat je gebruikt (en e-mail adressen zijn zelden voor het leven; providers worden overgenomen, webmail gaat failliet, etc.).
Ik ben vaker van telefoonnummer gewisseld dan van email adres. Wat zou jouw voorstel dan zijn richting Steam?
27-07-2015, 11:12 door Anoniem
Door Fwiffo: Ik zou steam guard geen 2-factor willen noemen. De site lijkt even down vanaf hier, maar volgens mij krijg je bij steam guard een e-mail bij elke verandering van je computer of van je ip adres. Alles hangt dus op het e-mail adres dat je gebruikt (en e-mail adressen zijn zelden voor het leven; providers worden overgenomen, webmail gaat failliet, etc.).

Steam Guard is wel degelijk 2 factor. Zowel via e-mail als app op je telefoon. De app is het meest secure. Je krijgt dan de verificatiecode via de app. In het bericht staat ook dat diegene die steam guard gebruikten geen risico hebben gelopen.

if Steam Guard was enabled, the account was protected from unauthorized logins even if the password was modified.

Recentelijk van provider veranderd. Nieuwe mail, nieuw ip. No problem. En providers die overgenomen worden? Mijn oude email was nog steeds een @home,
27-07-2015, 11:22 door Fwiffo
Door Mysterio: Ik ben vaker van telefoonnummer gewisseld dan van email adres. Wat zou jouw voorstel dan zijn richting Steam?
Deze? https://eu.battle.net/support/en/article/battlenet-authenticator ;-) Net als bij Blizzard heeft Steam accounts die heel veel geld waard zijn. Dan kan de aanschaf van zo'n token er nog wel af.

Verder heb ik ooit een geheime vraag gereset bij Steam met behulp van een gescande serial number (die krijgt bij het scannen allemaal kleurtjes). Moet je nog wel een fysiek aangeschafte game hebben... en die goed bewaard hebben...
27-07-2015, 12:54 door Anoniem
Helemaal off-topic, maar toch...
Door Fwiffo: zo-wie-zo (alternatieve spelling: sowieso)
Nee, de spelling is niet zo-wie-zo, het is sowieso. Het is een leenwoord uit het Duits:
http://www.etymologiebank.nl/trefwoord/sowieso

En inderdaad, in het Duits is het een samentrekking van so, wie en so:
https://de.wiktionary.org/wiki/sowieso

Maar het Duitse wie is niet hetzelfde als het Nederlandse wie, dat betekent hoe of (zo)als), dus zo-wie-zo is sowieso onzin ;-).
27-07-2015, 13:17 door Mysterio
Door Fwiffo:
Door Mysterio: Ik ben vaker van telefoonnummer gewisseld dan van email adres. Wat zou jouw voorstel dan zijn richting Steam?
Deze? https://eu.battle.net/support/en/article/battlenet-authenticator ;-) Net als bij Blizzard heeft Steam accounts die heel veel geld waard zijn. Dan kan de aanschaf van zo'n token er nog wel af.

Verder heb ik ooit een geheime vraag gereset bij Steam met behulp van een gescande serial number (die krijgt bij het scannen allemaal kleurtjes). Moet je nog wel een fysiek aangeschafte game hebben... en die goed bewaard hebben...
Goeie, maar dat gaat verder dan een 2 factor.

Ik doe niet aan geheime vragen ;)
28-07-2015, 11:34 door Fwiffo
Ik heb me laten overtuigen om Steam Guard aan te zetten op mijn Steam account. Gelukkig werkte mijn wachtwoord nog, dus ik ben niet gehackt dit weekend... Maar ik blijf e-mail (vaak nog opgehaald zonder TLS door veel gebruikers) een erg zwakke factor vinden. Ook als je die met een smart-phone op zou halen. Vaak zit het wachtwoord van je e-mail in je mail programma op je computer zodat je die niet elke keer als je je mail wilt lezen in hoeft te tikken! Is dus makkelijk te stelen door middel van malware of directe toegang tot een computer. Eigenlijk is e-mail heel onveilig wat dat betreft. Maar alles (zoals steam) wordt eraan opgehangen.

Volgens Wikipedia is 2FA iets wat je hebt (je computer/ip adres in het geval van Steam Guard) en iets wat je weet (je steam gebruikersnaam/wachtwoord). Beiden te resetten via e-mail AFAIK.

Het valt mij verder op dat ik hier niets over terug lees op de site van Valve?! Alsof ze het in de doofpot willen stoppen (of misschien is het lek nog niet helemaal gedicht en komt er nog een ronde om wachtwoorden te veranderen). Nou ja, steam guard staat hier nu aan dus dat scheelt al weer ;-) Denk ook dat de support afdeling van Steam het erg druk heeft nu.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.