Valve schließt kritische Sicherheitslücke auf Steam
Das Passwort eines Accounts ließ sich ganz einfach ändern.
Zwischen dem 21. und 25. Juli gab es auf Steam eine kritische Sicherheitslücke. Den Bug hat man mittlerweile behoben.
Normalerweise stellt man es sich ja schon ein wenig schwieriger vor, auf einen Account zuzugreifen, aber aufgrund dieses Bugs war es in besagtem Zeitraum sogar ziemlich einfach, wie Kotaku berichtet.
Über den Passwort-vergessen-Bereich konnte der Bug ausgenutzt werden. Ein Angreifer benötigte dazu lediglich einen Accountnamen. Normalerweise wird ein Recovery Code an die hinterlegte E-Mail-Adresse geschickt, in diesem Fall war es jedoch möglich, einfach das Eingabefeld für den Code leer zu lassen, fortzufahren und das Passwort ändern zu können. Ihr seht: Es war eine ziemlich große Sicherheitslücke, von der einige Spieler betroffen waren.
Nach Angaben des Unternehmens erfuhr man selbst erst am 25. Juli von dem Bug und hat ihn schnellstmöglich behoben.
Die Passwörter von Accounts mit „verdächtigen Passwortänderungen [oder anderen verdächtigen Aktivitäten] in diesem Zeitraum" wurden zurückgesetzt, ebenso informiert man Betroffene per E-Mail.
Das eigentliche Passwort war laut Valve währenddessen nicht zu sehen. Und selbst wenn jemand das Passwort eines Accounts ändern konnte, habe ein aktiver Steam Guard weitere unautorisierte Zugriffe verhindert. Zumindest sofern Steam Guard denn aktiviert war, worauf manche Spieler offensichtlich verzichten.
Nächste News: Red Ash: Kickstarter-Kampagne gestartet, PS4-Version als Stretch Goal