Steam – Hack durch Valve bestätigt

Am Anfang der Woche wurden die Steam-Foren vorrübergehend Offline genommen. Der Grund dafür war ein Hack-Angriff. Die Rede war davon, dass „nur“ die Anmeldedaten für das Steam-Forum betroffen seien, die ja grundsätzlich unabhängig vom Steam-Account selbst sind – sofern der User nicht gerade für beide Anmeldungen identische Zugangsdaten verwendet.

Nun gab es eine Stellungnahme von dem Chef Gabe Newell. Dort teilte Valve mit, das neben dem Forum auch die Steam-Datenbank geknackt wurde.

Diese Datenbank enthält Usernamen, Passwörter (als Hash mit Salting), Spielekäufe, E-Mail-Adressen, Rechnungsadressen und verschlüsselte Kreditkarteninformationen. Man habe keine Hinweise darauf, dass die Eindringlinge die verschlüsselten Kreditkartendaten oder persönliche Nutzer-Informationen entwendet haben. Es würde auch keine Hinweise darauf geben, dass Kreditkartennummern oder -Passwörter geknackt wurden. Man würde aber den Fall noch untersuchen.

Alle Foren-User müssten bei der nächsten möglichen Anmeldung ihr Passwort ändern, auch wenn nur „einige“ Foren-Accounts bei Steam gehackt wurden. Eine erzwungene Passwort-Änderung sei bei den normalen Steam-Accounts nicht geplant, da es hier bisher keinen bekannten Kontenmissbrauch gibt. Es sei aber eine gute Idee, das Passwort des Steam-Accounts zu ändern, sofern er gleichlautend mit dem Steam-Foren-Account wäre.

Hier die Stellungnahme :

10 November 2011

Dear Steam Users and Steam Forum Users:

Our Steam forums were defaced on the evening of Sunday, November 6. We began investigating and found that the intrusion goes beyond the Steam forums.

We learned that intruders obtained access to a Steam database in addition to the forums. This database contained information including user names, hashed and salted passwords, game purchases, email addresses, billing addresses and encrypted credit card information. We do not have evidence that encrypted credit card numbers or personally identifying information were taken by the intruders, or that the protection on credit card numbers or passwords was cracked. We are still investigating.

We don’t have evidence of credit card misuse at this time. Nonetheless you should watch your credit card activity and statements closely.

While we only know of a few forum accounts that have been compromised, all forum users will be required to change their passwords the next time they login. If you have used your Steam forum password on other accounts you should change those passwords as well.

We do not know of any compromised Steam accounts, so we are not planning to force a change of Steam account passwords (which are separate from forum passwords). However, it wouldn’t be a bad idea to change that as well, especially if it is the same as your Steam forum account password.

We will reopen the forums as soon as we can.

I am truly sorry this happened, and I apologize for the inconvenience.

Gabe.

Quelle : Pressemitteilung