Configuratiefout liet Steam gebruikersgegevens lekken
Een configuratiefout in het populaire softwaredistributieplatform Steam heeft er gisterenavond voor gezorgd dat de gegevens van gebruikers korte tijd door andere gebruikers waren in te zien. Steam heeft meer dan 125 miljoen gebruikers die via het platform games en software kunnen aanschaffen.
Gebruikers die op hun eigen account waren ingelogd konden gisterenavond opeens de gegevens van andere accounts bekijken, zoals e-mailadres, het bedrag in de Steam Wallet, aankoopgeschiedenis, factuurgegevens en soms ook creditcardgegevens, zo meldt de website Steam Database. Daarbij maakte het niet uit of de accounts van twee-factor authenticatie gebruikmaakten. Na ontdekking van het probleem besloot Valve, ontwikkelaar van Steam, het platform uit de lucht te halen. Na enige tijd was de website weer beschikbaar en waren de problemen verholpen.
In een verklaring tegenover GameSpot stelt Valve dat door een configuratieaanpassing er een cachingprobleem was ontstaan, waardoor sommige gebruikers gedurende iets minder dan een uur pagina's met accountgegevens van andere gebruikers konden bekijken. Daarbij was het volgens Valve niet mogelijk om ongeautoriseerde handelingen uit te voeren, behalve het bekijken van de gecachete pagina's.
Als hij bedoeld het is zo voorspelbaar dan heeft hij gelijk.
Hoe dacht je te moeten / kunnen proactief reageren?
Beste Steam u heeft uw interne processen niet op orde. Er zijn managers die voor het snelle geld gaan. En dan zouden ze je serieus nemen?
Daarnaast wordt er wel getest, mede om software zoals GreenLuma te bestrijden.
Meeste 'hacks' zijn overigens zwakke wachtwoorden, waar je als bedrijf alleen maar kan afdwingen sterkere wachtwoorden te gebruiken.
Helaas zijn mensen dom een voeren ze W8woord! in.
De beveiligingsmaatregelen van Steam zijn prima(ontwikkeld), maar door een cachingprobleem is dit gebeurt (configuratie).
Dat zijn twee verschillende lagen.
Je kan redeneren dat caching bij gevoelige informatie niet handig is, maar wij kennen de achtergrond van deze design keuze buurt.
Men heeft persoonlijke informatie kunnen zien maar niet bewerken. Ook was niet het volledige creditcard nummer zichtbaar aangezien dit standaard ook niet het geval is.
Daarnaast was het ook niet mogelijk om aankopen te kunnen doen op andermans account of hun wachtwoord aan te passen.
En ja, het gaat een keer mis, maar de wereld vergaat niet en geen accounts zijn hierdoor buitgemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
