Společnost Valve má v poslední době vážné problémy se zabezpečením platformy Steam, k čemuž mu tedy v řadě případů "pomáhají" sami uživatelé, kteří nezřídka skočí na phishingové pokusy o uloupení jejich hesla. O loňských Vánocích šlo ale o něco jiného.
Platforma Steam se dostala do situace, kdy je každý měsíc napadeno v průměru na 77.000 účtů jejích uživatelů. Zde nám má posloužit třeba
, který umožní využít chytré zařízení pro ověření přístupu k účtu, ovšem ono v podstatě stačí si vybrat silné heslo a pak si dávat pozor. Nicméně vždy se najde někdo, kdo základní zásady bezpečnosti nepoužívá a pak může zjistit, že mu někdo za pár dní vyluxoval účet. Valve se ale také kvůli
dočkalo žalob, přičemž nyní se bude bránit ve Francii. Nejde však pouze o zabezpečení, ale také například o to, že uživatelé se zakázáním účtu přijdou i o peníze, které měli uloženy v peněžence Steamu.
O Vánocích se ale objevil jiný problém, a sice útoky DoS, které způsobily, že uživatelům se
zobrazovaly stránky Steam Store
, jež nebyly učeny pro ně, ale někoho jiného. Vlivem útoku byly servery přetíženy, a uživatelům se tak ukazovaly nacachované stránky, které se pak kvůli chybě mohly zobrazit i na nesprávných počítačích. Kvůli tomu jsme mohli zjistit osobní informace náhodných uživatelů, ovšem ty citlivé jako telefonní číslo na Steam Guard nebo číslo kreditky se ven nedostaly. Stejně tak jsme nemohli s cizím účtem takto disponovat a něco v něm měnit, takže celá záležitost byla veřejnostní vnímána spíše jako podivná než jako vážný bezpečnostní problém.
DoS útok na Steam začal přímo na Štědrý den ráno pacifického času (tedy u nás někdy odpoledne), kdy se dvacetinásobně zvýšil provoz, na což jsou prý u Valve zvyklí. Standardně pak reagují tak, že předkládají nacachované stránky, aby snížili zátěž serverů Steam Store, které zůstanou v provozu a nezhroutí se. Pak ovšem přišla druhá vlna útoku, kdy se zalogovaným uživatelům začaly kvůli chybě objevovat stránky s informacemi o cizích účtech, které byly přitom nahodilé a často v cízím jazyce. Po odhalení problému společnost Valve odstavila Steam Store, aby chybu odstranila.
Valve ještě nakonec zdůrazňuje, že chybně zobrazené stránky neobsahovaly plná čísla kreditních karet, hesla nebo jiná zneužitelná data, i když jisté osobní informace jsme vidět mohli. Za vzniklé potíže se Valve omlouvá.
Zdroj:
