Configuratiefout liet Steam gebruikersgegevens lekken
Een configuratiefout in het populaire softwaredistributieplatform Steam heeft er gisterenavond voor gezorgd dat de gegevens van gebruikers korte tijd door andere gebruikers waren in te zien. Steam heeft meer dan 125 miljoen gebruikers die via het platform games en software kunnen aanschaffen.
Gebruikers die op hun eigen account waren ingelogd konden gisterenavond opeens de gegevens van andere accounts bekijken, zoals e-mailadres, het bedrag in de Steam Wallet, aankoopgeschiedenis, factuurgegevens en soms ook creditcardgegevens, zo meldt de website Steam Database. Daarbij maakte het niet uit of de accounts van twee-factor authenticatie gebruikmaakten. Na ontdekking van het probleem besloot Valve, ontwikkelaar van Steam, het platform uit de lucht te halen. Na enige tijd was de website weer beschikbaar en waren de problemen verholpen.
In een verklaring tegenover GameSpot stelt Valve dat door een configuratieaanpassing er een cachingprobleem was ontstaan, waardoor sommige gebruikers gedurende iets minder dan een uur pagina's met accountgegevens van andere gebruikers konden bekijken. Daarbij was het volgens Valve niet mogelijk om ongeautoriseerde handelingen uit te voeren, behalve het bekijken van de gecachete pagina's.
Als hij bedoeld het is zo voorspelbaar dan heeft hij gelijk.
Hoe dacht je te moeten / kunnen proactief reageren?
Beste Steam u heeft uw interne processen niet op orde. Er zijn managers die voor het snelle geld gaan. En dan zouden ze je serieus nemen?
Daarnaast wordt er wel getest, mede om software zoals GreenLuma te bestrijden.
Meeste 'hacks' zijn overigens zwakke wachtwoorden, waar je als bedrijf alleen maar kan afdwingen sterkere wachtwoorden te gebruiken.
Helaas zijn mensen dom een voeren ze W8woord! in.
De beveiligingsmaatregelen van Steam zijn prima(ontwikkeld), maar door een cachingprobleem is dit gebeurt (configuratie).
Dat zijn twee verschillende lagen.
Je kan redeneren dat caching bij gevoelige informatie niet handig is, maar wij kennen de achtergrond van deze design keuze buurt.
Men heeft persoonlijke informatie kunnen zien maar niet bewerken. Ook was niet het volledige creditcard nummer zichtbaar aangezien dit standaard ook niet het geval is.
Daarnaast was het ook niet mogelijk om aankopen te kunnen doen op andermans account of hun wachtwoord aan te passen.
En ja, het gaat een keer mis, maar de wereld vergaat niet en geen accounts zijn hierdoor buitgemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
