16:38
11/11/2011

Valve, producent gier komputerowych, ma kłopoty. W wyniku ataku na forum platformy Steam, intruzi uzyskali dostęp do głównej bazy danych firmy. W bazie znajdowały się nazwy użytkowników, ich hasła pod postacią “solonych” hashy, zaszyfrowane dane dotyczące powiązanych z kontami kart kredytowych, adresy e-mail, historia kupionych gier oraz adresy płatników.

Wyciek ze Steam

Forum Steam zostało zaatakowane 6 listopada — na stronie internetowej atakujący umieścili swój komunikat:

Atak na forum Steam

Atak na forum Steam, fot. Marcin z borealis.net.pl

Analiza włamania ujawniła, że intruzi uzyskali dostęp nie tylko do bazy forum platformy Steam, ale również głównej bazy danych, która zawierała informacje związane z kontami użytkowników; loginy, hashe haseł, ale także zaszyfrowane dane kart kredytowych. Jak na razie, nic nie wskazuje, żeby atakujący “złamali” szyfrowanie i odkodowali numery kart kredytowych i rozpoczęli kradzież.

Jeśli mieliście konto na Steam sugerujemy szybką zmianę hasła i uważne monitorowane historii transakcji na kartach kredytowych, które podpięliście pod swoje konta. Rozsądnie będzie równeż zmienić hasła dostępowe do innych serwisów — jeśli były one takie same, jak do waszego konta na Steam. Przypominamy także, że Steam, podobnie jak Facebook czy Google, umożliwia zabezpieczenie swojego konta poprzez dwuskładnikowe uwierzytelnienie — warto z niego skorzystać.

atak na steam

Atak na steam, fot. Mateusz Oleszycki

Poniżej wiadomość, jaką tuż po północy założyciel Valve, Gabe Newell, rozesłał swoim klientom:

Dear Steam Users and Steam Forum Users:
Our Steam forums were defaced on the evening of Sunday, November 6. We began investigating and found that the intrusion goes beyond the Steam forums.
We learned that intruders obtained access to a Steam database in addition to the forums. This database contained information including user names, hashed and salted passwords, game purchases, email addresses, billing addresses and encrypted credit card information. We do not have evidence that encrypted credit card numbers or personally identifying information were taken by the intruders, or that the protection on credit card numbers or passwords was cracked. We are still investigating.
We don’t have evidence of credit card misuse at this time. Nonetheless you should watch your credit card activity and statements closely.
While we only know of a few forum accounts that have been compromised, all forum users will be required to change their passwords the next time they login. If you have used your Steam forum password on other accounts you should change those passwords as well.
We do not know of any compromised Steam accounts, so we are not planning to force a change of Steam account passwords (which are separate from forum passwords). However, it wouldn’t be a bad idea to change that as well, especially if it is the same as your Steam forum account password.
We will reopen the forums as soon as we can.
I am truly sorry this happened, and I apologize for the inconvenience.
Gabe.

Wszystko wskazuje na to, że do włamania doszło dzięki błędom w vBulletin, na którym działa forum Steam. Krótko mówiąc, regularnie aktualizujcie oprogramowanie, korzystajcie z “wirtualnych” kart kredytowych do płacenia w internecie (lub pośredników w płatnościach, np. PayPal), i używajcie różnych haseł do różnych serwisów.

Przeczytaj także:

44 komentarzy

Dodaj komentarz
  1. Rozne hasla z generatora used, moga mi naskoczyc ;)

    • Mi również.

  2. Transakcje PayPal chyba też są bezpieczne w tym przypadku – prawda?
    Osobiście nie otrzymałem żadnego maila od nich.

    • PayPal powinien być bezpieczny, w końcu jego autoryzacja jest wykonywana przez sam serwer PayPal, a login i hasło nie sa trzymane w bazie Steamworks.

  3. Po przeczytaniu tematu usiłowałem zmienić hasło na steam oczywiście już o tym pomyśleli każda zmiana hasłą kończy się niepowodzeniem.
    http://tinypic.com/r/k83k9/5

    • Też profilaktycznie próbowałem zmienić i mi się udało, ale generalnie sporo błędów wyskakuje w różnych miejscach. Najpierw w ogóle nie chciało mnie zalogować do klienta.

  4. Co ma vBulletin do bazy z płatnościami i platformą steam? Nikt mi chyba nie powie że było jakiekolwiek powiązanie między forum a platformą (nawet takie że ssh tam gdzie jest forum pozwalał na łaczenie się z hostem gdzie jest baza platformy)… Facepalm roku?

    • Najprawdopodobniej, w bazie forum znajdowały się informacje, które umożliwiły dostęp do drugiej bazy.

    • Jeżeli nie mam konta na forum mam się martwić o moje własne na platformie?

    • Przepraszam, nie doczytałem.

  5. Zadnego maila nie otrzymalem chasla tez zmienic niemoge no i na szczescie nigdy nic nie kupywalem poprzez platforme wole kupywac w sklepie gotowka

    • kup sobie slownik

    • Najlepiej ortograficzny z zasadami interpunkcji. Słownik poprawnej polszczyzny też nie byłby złym wyborem..

    • … albo taki w przegladarce, wlaczony …

    • a wy trzej powyzej wypijcie sobie kawe, potem walnijcie sie w leb i przestancie takie komentarze wsypywac, fakt gosc po prostu komentowal, ale czy to daje wam powod do rozwijania flajma ?

  6. Od razu jak się dowiedziałem to zmieniłem hasła tam gdzie miałem takie same. A co do kart kredytowych to chyba nic mi nie grozi(?) Zawsze przed wysłanie przelewu dostaję SMS kod. Nie wiem jak z płatnościami kartą, ale chyba też.
    korzystajcie z “wirtualnych” kart kredytowych
    “wirtualnych” tzn. jakich?

    • Karty “wirtualne” to takie, gdzie zamiast plastiku dostajesz same dane do płatności (numer, data ważności, CVC2). Jest do tego specjalne konto bankowe, na którym przez większość czasu utrzymujesz niskie/zerowe saldo. Tuż przed samym zakupem doładowujesz kartę taką kwotą jaką potrzebujesz. Po zakupie, na karcie znowu jest pustynia. :) Szprytne, nie?

    • np w mbanku ekarta. Doładowujesz takie cudo tuż przed transakcją, rozładowujesz po

  7. Nie dostałem żadnego maila od Steam w tej sprawie, w newsach klienta steama tez nic nie ma na ten temat, jednym słowem bardzo kiepsko z ostrzeganiem klientów, zwłaszcza że to już 5 dni po ataku.

    Jakby tego było mało, przy zakupach zawsze jest domyślnie zaznaczona opcja żeby zapamiętać dane do kolejnych płatności, którą zawsze odznaczam, a dziś wchodząc i zmieniając hasło widzę że mimo wszystko mam zapisany cały adres i numer karty kredytowej :( Najprawdopodobniej jest to moja nieuwaga a nie wadliwe działanie systemu, ale wynika to z faktu iż jest to opcja domyślna…

  8. Gdzie znajduje się opcja uaktywnienia weryfikacji wuskładnikowej w Steam? Jakoś nie mogę znaleźć…

  9. vBulletin jest zalosny – najbardziej dziurawe forum i wszyscy je uzywaja – czemu? Juz lepsze jest IP Board czy darmowe phpBB.

    • Forum nie jest dziurawe ale pluginy i dodatki już tak. Poza tym każda profesjonalna strona woli wydać kasę na płatny skrypt ponieważ łudzi się że ludzie którzy nad nim pracowali przyłożyli się do pracy.

  10. Reset hasła i pytania pomocniczego działa – zmieniłem przed chwilą.

    Proszę potwierdźcie, że i Wam odpięli kartę od Steama – chciałem odpiąć swoją wirtualkę ale nie ma jej już w ustawieniach – żadna karta nie jest powiązana z tym kontem.

    Wirtualka i tak już posłana w niebyt.

    • odpieli, potwierdzam

  11. Hasło jak hasło, ja się zastanawiam co z numerami kart i CVV. Dla posiadaczy kart kredytowych to banał “wyłączyć” kartę z użytkowania w internecie… Niestety posiadam nie-kredytową i muszę turlać się do banku… a te otwarte dopiero w poniedziałek. ;/

  12. Do mnie nie dotarł żaden e-mail ze Steam.

  13. Hmm, w sumie karty podpiętej nie mam, jednak hasła i tak nie daje rady zmienić z programu.

  14. dzięki Wam wszedłem na STEAM pierwszy raz od 314 dni ;p

  15. Nie dostałem żadnego mejla, o ataku dowiedziałem się z Wykopu; zresztą musiałem zrestartować Steam, żeby odczytać wiadomość o ataku, bo przyszła razem z aktualizacją. Mówiąc krócej – dowiedzenie się o ataku z bezpośrednio to jakaś masakra. Całe szczęście, że od jakiegoś czasu miałem zdezaktualizowane dane karty i płaciłem PayPalem. Hasło zmieniłem bez problemu.

  16. Dobrze, że już szyfrują hasła, bo 4 lata temu znalazłem coś takiego:

    Była to strona z edycją profilu, bez SSL’a. Co odpisał Steam? :)
    “At this time, the password is effectively private because a user must log in to the system in order to visit the myprofile.php page and make changes to (or review) the password.”

    • Wycięło mi kod HTML, który wstawiłem: http://wklej.org/hash/c57f95d9776/

    • A to nie było czasem zapamiętywanie haseł w Firefoxie czy innej przeglądarce? Bo one właśnie value do inputu sobie dopisują.

    • to nie było zapamiętywanie, sprawdzałem

  17. Może się okazać, że znowu ktoś zaniedbał kwestię security i np. otworzył załącznik maila obiecującego zdjęcia ładnych dziewczyn lub z jakiegoś prawdziwego albo wymyslonego wydarzenia.

  18. Marcin Maziarz: Dzięki za wytłumaczenie. Fakt, sprytne :) Muszę sobie założyć.
    BTW: przypomnieliście mi o zmianie hasła na jeszcze jednym serwisie :)

  19. Hmmm, nie cierpię wciskanego z grami crapu (i nie kupuję gier z agresywnym drm ani ze steamopodobnymi dodatkami), dobrze im tak steamowcom, niech żyje prywatność :)
    Jeszcze trochę jak państwa się zdigitalizują tak jak e-commerce, to będzie się zdarzało omyłkowe “skasowanie” obywatela i nagle ktoś zniknie dla świata, drzwi od mieszkania mu się nie otworzą, samochód się nie uruchomi a lodówka nie zamówi jedzenia :)

    • Akurat powiązanie gier z kontem ma swoje zalety. Główną jest znikoma liczba cziterów. Ogólnie Steam poza tym, że działa strasznie wolno i codziennie się aktualizuje, jest całkiem fajny:)

    • @deV – jesli do tej pory nie zauwazyles [ pewnie nie, bo nie masz tam konta z tego co piszesz ] Steam jest w pelni “wirtualny” tak wiec jesli sie uprzesz to nie muszisz tam zadnych prawdziwych danych osobowych wpisywac, a korzystac z paypala lub virtualnej karty,
      tak wiec to co piszesz jest totalna bzdura – skad wiem ? bo stosuje
      jesli ktos jest na tyle duzym idiota ze wierzy iz jego dane sa bezpieczne i sam nie potrafi zadbac o swoja prywatnosc, to ja nie mam nic przeciw zeby go skasowali, prawo natury, madrzejsi przetrwaja, glupsi wygina

    • Steam jest w pelni “wirtualny” tak wiec jesli sie uprzesz to nie muszisz tam zadnych prawdziwych danych osobowych wpisywac, a korzystac z paypala lub virtualnej karty Jasne, to chyba czytelnicy tego portalu wiedzą, że internet zapewnia całkowitą anonimowość jeśli nie poda się swojego prawdziwego nazwiska ;) Zostałem tam raz zmuszony założyć konto, niestety login F***YouSteam was already in use :) więc mnie frajda ominęła Mnie po prostu wkurza bo płacę za grę a nie za to by ktoś sobie analizował jak, z kim, kiedy, w co i na czym gram.

  20. Ja mam 1Password i losowe hasła steam i e-mail więc problem chyba mnie nie dotyczy, już zmieniłem hasła (na inne m0Cn€ losowe). Jak widać kolejny raz pomimo dobrze zabezpieczonego własnego komputera (Windows 32b, AppGuard, Sandboxie, KeyScrambler, F-Secure Internet Security, Hitman Pro, Keriver 1- Click Restore Pro) można paść ofiarą cyberprzestępców przez zaniedbania innych :/

  21. ja dam znac, czy kradna konta z nie zamionymi haslami :) Najzwyklej w swiecie nie chce mi sie zmieniac hasla stem, mam tam jedno unikalne haslo, ktorego nie uzylem do niczego innego, do platnosci uzywalem paypala, wiec nie ma sie czego obawiac. Stem jest bardzo wygodna platforma jak dla mnie. W dniu premiery gierki kupuje sobie klucz, aktywuje i juz. Pudelkowe wersje mi nie potrzebne ;) Takze jakby moje konto gdzies zniknęło, dam znac.

  22. zwala. generalnie nie moge sie polaczyc ze steam. wyskakuje ze to moga byc problemy z polaczeniem i ze mam sprawdzic na steamsupport. co do hasel mam wszedzie inne do steam mam inne i do poczty. wiec nie oplaca mi sie zmieniac, a po za tym nie moge sie zalogowac :/

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.