zavřít

Uživatelé Steamu viděli během svátků osobní údaje jiných uživatelů

Windows MAC Linux

- Téma autor: Adam Homola Komentáře: 0

Technici Valve za sebou mají dosti neklidné svátky, když 25. prosince ve večerních hodinách našeho času začal Steam mírně řečeno "zlobit". Když jste se po přihlášení chtěli podívat na detaily svého účtu, viděli jste detaily účtu jiného uživatele Steamu včetně emailu, posledních čtyř čísel kreditní karty a dalších informací. Valve situaci vyřešila zhruba do hodiny s tím, že šlo o problém s cachováním stránek, ale přesto celá událost vzbudila logicky velký rozruch.

"Steam už zase funguje bez jakýchkoliv nám známých problémů. Důsledkem změny konfigurace nastal problém s cachováním, v důsledku kterého se některým uživatelům zobrazovaly náhodně stránky vygenerované pro uživatele jiného. Tento problém trval méně než hodinu a mezitím jsme jej vyřešili. Jsme přesvědčeni, že nedošlo k žádným neautorizovaným změnám na účtech, pouze ke zobrazení nacachovaných informací. Ze strany uživatelů není potřeba nic dělat," napsal zástupce Valve krátce po vyřešení problémů řadě webů včetně SteamDB.

Vedle již zmíněných čtyř čísel kreditní karty mohli někteří uživatelé vidět například jméno držitele účtu, jeho adresu, část telefonního čísla, email, historii nákupů nebo hodnotu jeho Steam peněženky. Množství informací záleželo na tom, jak moc měl náhodně zobrazený uživatel svůj účet vyplněný. I když se stránka tvářila jako kompletně funkční, tedy včetně tlačítek pro editaci údajů, nic z výše uvedeného nešlo měnit. Stejně tak se na daný účet nedalo nic pořídit.

Jakékoliv provedené změny se neuložily a děly se pouze na cachované verzi stránky, nikoliv na "živé" stránce daného uživatele. Stejně tak nedošlo k zobrazení či úniku hesel a zatím neexistují ani žádné věrohodné důkazy o zneužití Steam peněženky na nákup her. Zobrazování údajů jiných uživatelů bylo do jisté míry náhodné, byť někteří uživatelé na fórech hlásili rotování několika uživatelů pořád dokola, zatímco jiní dostali po každém kliknutí někoho nového.

Steam Guard i aktivovaný mobilní autentifikátor byly v tomto případě irelevantní. Obě služby by pomohly pouze tehdy, kdy by se vám někdo snažil na účet dostat, nikoliv v případě, kdy vaše osobní údaje zobrazuje cizím lidem přímo sama služba. Zprávy o hackerském útoku či jiném externím vlivu se nepotvrdily, ale Valve je také ani nevyvrátila. Kdo způsobil onu zmíněnou "změnu konfigurace", která vyústila v problém s cachováním stránek, už provozovatel Steamu nijak nespecifikoval.

Zástupce Valve k celé kauze poskytl jen výše uvedené stanovisko po vyřešení problému. Opět se tak potvrdilo, že zákaznická podpora Valve kulhá na obě nohy. Na začátku či během problému nikdo nekomunikoval, na oficiálním Twitteru i Facebooku se objevovaly pouze automatické zprávy o právě probíhajících slevových akcích a nefungoval ani Helpdesk. Na domovské stránce Steamu či v aplikaci nebylo žádné upozornění a nerozesílaly se ani žádné emaily s vysvětlením či omluvou - všechno standardní praktiky pro provozovatele služeb, kde se nakládá s citlivými údaji uživatelů a jejich kreditními kartami.

Podporu tak obstarala za Valve komunita, což logicky vedlo jen k šíření neověřených informací a divokých spekulací. Je možné, že se Valve k celému incidentu ještě po řádné analýze zevrubně vyjádří, byť tomu historie komunikace firmy nenasvědčuje.

Jakkoli závažný je to ale průšvih, je v kontextu známého hacku a téměř měsíčního odstavení PlayStation Network relativně malý. K úniku hesel nedošlo a se čtyřmi posledními čísly vaší kreditní karty si nikdo nic nekoupí.

steamguard

Exponování některých neveřejných osobních údajů je nepříjemné, ale pro lidi citlivé na své osobní údaje jde o další ponaučení: nezadávat hlavní email a vyplňovat co nejméně údajů o své osobě. Nejhorším možným scénářem je v tomto případě zneužití informací pro tzv. sociální inženýrství.

Jméno, email, bydliště, část telefonního čísla a čísla kreditní karty by už mohlo pracovníkům zákaznické podpory některých služeb stačit. Podobných případů se v minulosti stalo nemálo, ale několik jich bylo natolik vysoce medializovaných, že můžeme doufat ve zlepšení a řádné proškolení zákaznické podpory alespoň u velkých firem jako je Amazon, Apple, Google, Facebook a jiných.

Jak už prozradil zástupce Valve, uživatelé Steamu nemusí v návaznosti na incident nic dělat. Účet by měl být v pořádku a netknutý. Přesto můžete příležitosti využít alespoň k revizi zabezpečení vašeho Steamu a služeb na něj navázaných (např. PayPal). Pokud nemáte, bylo by tak jako tak dobré zapnout Steam Guard a používat mobilní autentifikaci. V tomto konkrétním případě by vám sice tyhle nástroje byly k ničemu, ale obecně jde o dobrý způsob, jak svůj účet zabezpečit proti externím pokusům o krádež účtu.

Tagy: kauza

Zdroje: SteamDB

Novinky na CZC.CZ

Související videa

Poslední komentáře

celkem 0

Český herní web, který se soustředí na hry pro PC, PlayStation 4, Xbox One, Xbox 360, PlayStation 3, Nintendo Siwtch, 3DS, DS, PS Vita, Android a iOS. Pro všechny platformy nabízíme recenze, preview, videorecenze i pravidelné novinky. Na Games.cz najdete i pravidelné testy a novinky z oblasti hardwaru, podcasty, rozsáhlou databázi her a speciály k očekávaným hrám ze sérií jako Kingdom Come: Deliverance, Red Dead Redemption, Call of Duty, The Elder Scrolls, Assassin's Creed, Grand Theft Auto, Battlefield, nebo FIFA.