Valve erklärt Weihnachtsfiasko bei Steam, 34.000 Nutzer betroffen

Valve hat endlich ein Statement — und eine Entschuldigung — zum Fiasko bei Steam während Weihnachten veröffentlicht. Steam-User konnten vor einigen Tagen persönliche Informationen anderer Nutzer der Plattform sehen, rund 34.000 Steam-Nutzer waren davon betroffen. Laut Valve liegt der Ursprung des Problems bei einer DDoS-Attacke (Distributed Denial of Service) sowie einem Caching-Error.

Ein Konfigurationsfehler war Schuld, sagt Valve, wodurch empfindliche, persönliche Informationen zugänglich waren.

“Der Inhalt der Anfragen variierte von Seite zu Seite, einige Seiten enthielten jedoch die Rechnungsadresse von Steam-Nutzern, die letzten vier Zeichen der Steam Guard Telefonnummer, ihre Kaufhistorie, die letzten beiden Nummern ihrer Kreditkartennummer und/oder ihre E-Mail-Adresse”, erklärt Valve in dem Statement. “Diese Anfragen im Cache enthielten keine vollständigen Kreditkartennummern, Passwörter oder genug Informationen, um sich als anderer User einzuloggen oder Transaktionen abzuschließen.”

“Wenn man in diesem Zeitfenster keine Steam Store-Seite mit den eigenen persönlichen Informationen aufgerufen hat (beispielsweise die Account-Seite oder eine Checkout-Seite), dann können diese Informationen keinem anderen User angezeigt worden sein.”

Valve arbeitet eigenen Angaben zufolge mit seinem Web-Caching-Partner zusammen, um die betroffenen Nutzer während des rund 90-minütigen Fensters am 25. Dezember zu identifizieren. Dem Unternehmen zufolge waren keine unautorisierten Handlungen möglich, abgesehen von den gecachten Seiten-Informationen und von den Nutzern seien keine weiteren Handlungen wie die Änderung des Passworts nötig.

Der Steam Store war das Ziel einer DDoS-Attack während Weihnachten, so Valve. Wenngleich solche Angriffe regelmäßig vorkommen und von Valve direkt sowie mit Hilfe von Partnerunternehmen bekämpft werden, stieg der Traffic auf den Steam Store während des Steam Sale um 2.000 Prozent im Vergleich zum normalen Aufkommen.

Als Gegenmaßnahme wurden in Folge der DDoS-Attacke einige Caching-Konfigurationen bei Valves Caching-Partner eingeführt, um die Auswirkungen für die Steam Store-Server möglichst gering zu halten. Als die zweite DDoS-Welle einsetzte, wurden weitere Caching-Konfigurationen genutzt, die fälschlicherweise den Web-Traffic authentifizierter Nutzer in den Cache schrieben. Dadurch sahen einige Steam-User Server-Antworten auf Anfragen, die für andere Nutzer generiert wurden. Als Valve den Fehler bemerkte, wurde der Steam Store geschlossen und geänderte Konfigurationen aufgespielt.