Account-Diebstahl: Steam stopft kritisches Sicherheitsleck

News, hints and help about Software or Hardware related information.
User avatar
[RC]BooZer
Co-Founder
Co-Founder
Addicted
Addicted
Posts: 3728
Joined: Wed Apr 09, 2008
Location: K-Town
Favorite Server: All of them
Been thanked: 1 time
Germany

Networker

Contributor

Membership

=]RC[= BooZer’s avatar
Loading…

02 Aug 2015, 22:41

Eine verblüffend einfache Möglichkeit, fremde Steam-Accounts zu hacken, verhindert der Plattform-Betreiber Valve nun mit seinem aktuellen Update. Der Fehler lag in der Passwort-Wiederherstellung.

Die Gaming-Plattform Steam hat mit einem Update des Desktop-Clients eine kritische Sicherheitslücke geschlossen, mit deren Hilfe Angreifer nur per Eingabe des Steam-Namens in den Account kommen konnten. Das Programm aktualisiert sich automatisch beim Start.

Der Exploit ermöglichte es, beim Login kein Passwort anzugeben und über die Wiederherstellung ein neues Kennwort anzulegen. Ein Video zeigt, wie der Angreifer das Feld für den Wiederherstellungscode einfach frei lässt und daraufhin das Passwort trotzdem ändern kann. Die neue Version fordert die gültige Eingabe eines Codes, den Steam per E-Mail versendet.

<Center>
<object width="640" height="360"><embed src="//www.youtube.com/v/QPl_BJoBaVA?hl=de_DE&version=3&rel=0" type="application/x-shockwave-flash" width="640" height="360" allowscriptaccess="always" allowfullscreen="true"></embed></object>
</Center>
Ein Steam-Nutzer zeigt, wie er ohne Angabe von altem Passwort oder Code das Kennwort ändern konnte. Steam hat die Lücke bereits geschlossen.

Falsche Entwarnung

Speziell Nutzer, die eine Mail bekommen haben, es habe einen Recovery-Versuch gegeben, den sie aber ignorieren könnten, sollten dringend ihr Passwort ändern. Die Mails, die bereits bei diversen Spielern in den USA aufgetaucht sind, stammen häufig aus Russland und werden als Indiz gewertet, dass der Account gehackt worden ist. Valve selbst gibt an, dass der Account weiterhin geschützt gewesen sei, wenn der Steam Guard eingeschaltet war.
Twitch-Streamer gehackt

Auf die Sicherheitslücke wiesen Steam-Spieler über die Plattform Reddit am gestrigen Sonntag hin. Einige Streamer über die Plattform Twitch bemerkten den Verlust über ihre Steam-Accounts. Kurze Zeit später hatte Steam-Betreiber Valve die Lücke bereits geschlossen.

Quelle: rsr, heise.de, 27.07.15
http://www.heise.de/newsticker/meldung/ ... 63321.html


Stay Rough & Clever forever!

Image