Steam претърпя голям проблем със сигурността на Коледа

Valve потвърди, че Steam е претърпял сериозен проблем със сигурността на Коледа.

PC powerhouse потвърди, че между 19:50 и 21:50 (британско време) на Коледа, известна още като 25 декември, някои потребители могат да видят личните данни на други акаунти.

Всеки, който разглеждаше страници, съдържащи лична информация (като акаунта или страницата за плащане), имаше шанс да бъде представен със същите страници, но за други потребители на Steam.

Това е било проблем само за тези, които се опитват да получат достъп до споменатите страници през периода, но Valve твърди, че това са около 34 000 души.

Изложените подробности включват адреси за фактуриране, хронологии на покупки, имейл адреси и последните няколко цифри на телефонни номера или карти на Steam Guard.

Valve увери потребителите в нова публикация в блога че разкритата информация няма да е достатъчна, за да позволи на другите достъп до техните акаунти.

„В момента Valve работи с нашия партньор за уеб кеширане, за да идентифицира потребители, чиято информация е била доставена за други потребители и ще се свърже със засегнатите, след като бъдат идентифицирани “, обясни компания. „Тъй като не са разрешени неупълномощени действия за акаунти освен преглеждането на кеширана информация за страници, не се изискват допълнителни действия от потребителите.“

Свързани: Най-добрите компютърни игри

Може би обаче се чудите как се е случило всичко това. Е, това не беше бъг. Всъщност Steam беше обект на DoS атака.

„Рано сутринта на Коледа (PST) Steam Store беше обект на DoS атака, която попречи на обслужването на страниците на магазина на потребителите“, добави той. „Атаките срещу Steam Store и Steam като цяло са редовно явление, при което Valve се справя както директно, така и с помощта на компании партньори и обикновено не засяга потребителите на Steam. По време на коледното нападение трафикът към магазина Steam се е увеличил с 2000% над средния трафик по време на продажбата на Steam.

„В отговор на тази конкретна атака бяха внедрени правила за кеширане, управлявани от партньор на уеб кеширане на Steam с цел да сведе до минимум въздействието върху сървърите на Steam Store и да продължи да насочва легитимен потребител трафик. По време на втората вълна на тази атака беше внедрена втора конфигурация за кеширане, която неправилно кешира уеб трафика за удостоверени потребители. Тази конфигурационна грешка доведе до това, че някои потребители виждат отговорите на Steam Store, генерирани за други потребители.

„Неправилните отговори на магазина варираха от това, че потребителите виждат предната страница на магазина, показана на грешен език, до страницата на акаунта на друг потребител.

„След като тази грешка беше идентифицирана, Steam Store беше изключен и беше внедрена нова конфигурация за кеширане. Магазинът Steam остана недостъпен, докато не прегледахме всички конфигурации за кеширане и получихме потвърждение, че най-новите конфигурации бяха внедрени на всички партньорски сървъри и че всички кеширани данни на крайни сървъри бяха прочистен.

„Ще продължим да работим с нашия партньор за уеб кеширане, за да идентифицираме засегнатите потребители и да подобрим процеса, използван за задаване на правила за кеширане напред. Извиняваме се на всички, чиято лична информация е била изложена от тази грешка, и за прекъсване на услугата Steam Store. "