Valve entschuldigt sich für die Steam-Probleme an Weihnachten und nennt Details zur Ursache
Ausschlaggebend war eine DDoS-Attacke.
Valve hat sich ausführlicher zum Sicherheitsproblem auf Steam geäußert, das an Weihnachten auftrat und dazu führte, dass Nutzer Einblick in die Accounts anderer Steam-Benutzer hatten.
Am 25. Dezember 2015 trat das dafür verantwortliche Konfigurationsproblem im Zeitraum zwischen 20:50 und 22:20 Uhr deutscher Zeit auf und betraf nach Angaben des Unternehmens insgesamt rund 34.000 Nutzer.
Im Zuge dessen waren Valve zufolge unter Umständen die Rechnungsadresse, die letzten vier Ziffern der Steam-Guard-Telefonnummer, der Einkaufsverlauf, die letzten zwei Ziffern der Kreditkartennummer und/oder die E-Mail-Adresse sichtbar.
Vollständige Kreditkartenummern oder Passwörter waren demnach zu keinem Zeitpunkt sichtbar. Nach Angaben von Valve waren niemals genug Daten verfügbar, um sich als anderer Nutzer einzuloggen oder eine Transaktion auszuführen.
Wenn ihr im genannten Zeitraum die Steam-Storeseite nicht mit euren persönlichen Informationen besucht habt (etwa über die Account- oder die Checkout-Seite), waren eure persönlichen Details niemandem zugänglich.
Valve arbeitet mit seinem Web-Caching-Partner daran, die betroffenen Nutzer zu identifizieren und will mit ihnen Kontakt aufnehmen. Dem Unternehmen zufolge sind keine weiteren Schritte der User nötig.
Der eigentliche Grund für das Problem ist eine DDoS-Attacke auf den Steam Store. Das kommt laut Valve regelmäßig vor und gemeinsam mit Partnern arbeitet man daran, die Auswirkungen zu begrenzen - „normalerweise hat das keinen Einfluss auf die Steam-Nutzer", heißt es.
„Während des Angriffs an Weihnachten stieg der Traffic im Steam Store gegenüber dem Durchschnitt im Steam Sale um 2.000 Prozent."
Als Reaktion auf diesen Angriff seien neue Caching-Regeln von einem Web-Caching-Partner in Kraft getreten, um die Auswirkungen zu minimieren. Während der „zweiten Angriffswelle" kam es dann wiederum zu einem Fehler bei der Caching-Konfiguration, der schließlich dazu führte, das man die Daten anderer Nutzer einsehen konnte.
„Sofort nach der Identifizierung des Fehlers wurde der Steam Store offline genommen und eine neue Caching-Konfiguration angewandt. Der Steam Store blieb offline, bis wir alle Caching-Konfigurationen geprüft und die Bestätigung hatten, dass die neuesten Konfigurationen bei allen Partner-Servern zum Einsatz kamen und das alle gespeicherten Daten im Cache der Edge-Server gelöscht wurden."
„Wir werden weiter mit unserem Web-Caching-Partner an der Identifizierung der betroffenen Nutzer arbeiten und künftig den Prozess der Caching-Regeln verbessern. Wir entschuldigen uns bei allen, deren persönliche Informationen durch diesen Fehler sichtbar waren, und für die Nichterreichbarkeit des Steam Stores."