Configuratiefout liet Steam gebruikersgegevens lekken
Een configuratiefout in het populaire softwaredistributieplatform Steam heeft er gisterenavond voor gezorgd dat de gegevens van gebruikers korte tijd door andere gebruikers waren in te zien. Steam heeft meer dan 125 miljoen gebruikers die via het platform games en software kunnen aanschaffen.
Gebruikers die op hun eigen account waren ingelogd konden gisterenavond opeens de gegevens van andere accounts bekijken, zoals e-mailadres, het bedrag in de Steam Wallet, aankoopgeschiedenis, factuurgegevens en soms ook creditcardgegevens, zo meldt de website Steam Database. Daarbij maakte het niet uit of de accounts van twee-factor authenticatie gebruikmaakten. Na ontdekking van het probleem besloot Valve, ontwikkelaar van Steam, het platform uit de lucht te halen. Na enige tijd was de website weer beschikbaar en waren de problemen verholpen.
In een verklaring tegenover GameSpot stelt Valve dat door een configuratieaanpassing er een cachingprobleem was ontstaan, waardoor sommige gebruikers gedurende iets minder dan een uur pagina's met accountgegevens van andere gebruikers konden bekijken. Daarbij was het volgens Valve niet mogelijk om ongeautoriseerde handelingen uit te voeren, behalve het bekijken van de gecachete pagina's.
Als hij bedoeld het is zo voorspelbaar dan heeft hij gelijk.
Hoe dacht je te moeten / kunnen proactief reageren?
Beste Steam u heeft uw interne processen niet op orde. Er zijn managers die voor het snelle geld gaan. En dan zouden ze je serieus nemen?
Daarnaast wordt er wel getest, mede om software zoals GreenLuma te bestrijden.
Meeste 'hacks' zijn overigens zwakke wachtwoorden, waar je als bedrijf alleen maar kan afdwingen sterkere wachtwoorden te gebruiken.
Helaas zijn mensen dom een voeren ze W8woord! in.
De beveiligingsmaatregelen van Steam zijn prima(ontwikkeld), maar door een cachingprobleem is dit gebeurt (configuratie).
Dat zijn twee verschillende lagen.
Je kan redeneren dat caching bij gevoelige informatie niet handig is, maar wij kennen de achtergrond van deze design keuze buurt.
Men heeft persoonlijke informatie kunnen zien maar niet bewerken. Ook was niet het volledige creditcard nummer zichtbaar aangezien dit standaard ook niet het geval is.
Daarnaast was het ook niet mogelijk om aankopen te kunnen doen op andermans account of hun wachtwoord aan te passen.
En ja, het gaat een keer mis, maar de wereld vergaat niet en geen accounts zijn hierdoor buitgemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.