image

Configuratiefout liet Steam gebruikersgegevens lekken

zaterdag 26 december 2015, 10:40 door Redactie, 5 reacties

Een configuratiefout in het populaire softwaredistributieplatform Steam heeft er gisterenavond voor gezorgd dat de gegevens van gebruikers korte tijd door andere gebruikers waren in te zien. Steam heeft meer dan 125 miljoen gebruikers die via het platform games en software kunnen aanschaffen.

Gebruikers die op hun eigen account waren ingelogd konden gisterenavond opeens de gegevens van andere accounts bekijken, zoals e-mailadres, het bedrag in de Steam Wallet, aankoopgeschiedenis, factuurgegevens en soms ook creditcardgegevens, zo meldt de website Steam Database. Daarbij maakte het niet uit of de accounts van twee-factor authenticatie gebruikmaakten. Na ontdekking van het probleem besloot Valve, ontwikkelaar van Steam, het platform uit de lucht te halen. Na enige tijd was de website weer beschikbaar en waren de problemen verholpen.

In een verklaring tegenover GameSpot stelt Valve dat door een configuratieaanpassing er een cachingprobleem was ontstaan, waardoor sommige gebruikers gedurende iets minder dan een uur pagina's met accountgegevens van andere gebruikers konden bekijken. Daarbij was het volgens Valve niet mogelijk om ongeautoriseerde handelingen uit te voeren, behalve het bekijken van de gecachete pagina's.

Reacties (5)
26-12-2015, 13:02 door Anoniem
Ongelofelijk, ik wist dat zoiets ging gebeuren! Steam wordt dan ook nooit getest door beveiligingsexperten. Ze testen liever skype, whatsapp, facebook messenger, etc. zelfs Origin van EA wordt meegerekend, maar steeds wordt steam buiten gehouden terwijl het 1 van meest gebruikte software is. Ik begrijp er van...
26-12-2015, 14:46 door Anoniem
Door Anoniem: Ongelofelijk, ik wist dat zoiets ging gebeuren! Steam wordt dan ook nooit getest door beveiligingsexperten. .... Ik begrijp er van...
Dus je wist dat ziets ging gebeuren en je hebt er niets aan gedaan? Werk je bij Steam of heb je een glazen bol?
26-12-2015, 17:05 door karma4
Door Anoniem:
Door Anoniem: Ongelofelijk, ik wist dat zoiets ging gebeuren! Steam wordt dan ook nooit getest door beveiligingsexperten. .... Ik begrijp er van...
Dus je wist dat ziets ging gebeuren en je hebt er niets aan gedaan? Werk je bij Steam of heb je een glazen bol?
Voor sommige zaken heb je geen glazen bol en geen interne kennis nodig.
Als hij bedoeld het is zo voorspelbaar dan heeft hij gelijk.

Hoe dacht je te moeten / kunnen proactief reageren?
Beste Steam u heeft uw interne processen niet op orde. Er zijn managers die voor het snelle geld gaan. En dan zouden ze je serieus nemen?
26-12-2015, 20:54 door Anoniem
Mijn honeypot zag eergisteren al een hoop "steam" pogingen op ssh binnenkomen.
27-12-2015, 01:33 door Anoniem
Door Anoniem: Ongelofelijk, ik wist dat zoiets ging gebeuren! Steam wordt dan ook nooit getest door beveiligingsexperten. Ze testen liever skype, whatsapp, facebook messenger, etc. zelfs Origin van EA wordt meegerekend, maar steeds wordt steam buiten gehouden terwijl het 1 van meest gebruikte software is. Ik begrijp er van...
Zou toch graag een bronvermelding willen (liefst twee verschillende).
Daarnaast wordt er wel getest, mede om software zoals GreenLuma te bestrijden.
Meeste 'hacks' zijn overigens zwakke wachtwoorden, waar je als bedrijf alleen maar kan afdwingen sterkere wachtwoorden te gebruiken.
Helaas zijn mensen dom een voeren ze W8woord! in.

De beveiligingsmaatregelen van Steam zijn prima(ontwikkeld), maar door een cachingprobleem is dit gebeurt (configuratie).
Dat zijn twee verschillende lagen.
Je kan redeneren dat caching bij gevoelige informatie niet handig is, maar wij kennen de achtergrond van deze design keuze buurt.
Men heeft persoonlijke informatie kunnen zien maar niet bewerken. Ook was niet het volledige creditcard nummer zichtbaar aangezien dit standaard ook niet het geval is.
Daarnaast was het ook niet mogelijk om aankopen te kunnen doen op andermans account of hun wachtwoord aan te passen.

En ja, het gaat een keer mis, maar de wereld vergaat niet en geen accounts zijn hierdoor buitgemaakt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.