Szerző: Gálffy Csaba

2011. november 11. 11:13

Feltörték a Steam-et is

Feltételezhetően a teljes felhasználói adatbázist sikerült letölteniük a betörőknek a Valve online videojáték-boltjából, a Steamből - jelentette be a vállalat. A kritikus felhasználói információkat a rendszer csak kódolva tárolta, a bankkártya-adatok elvesztése azonban így is érzékeny veszteség.

A Valve bejelentette, hogy a múlt heti fórum-deface alkalmával a betörők nem csak a weboldalt írták felül, hanem hozzáfértek és feltételezhetően letöltötték a felhasználói adatokat tartalmazó adatbázist is. A Valve szerint a kritikus adatokat (jelszavak, bankkártyaadatok) titkosítva, módosítva (salted) tárolták, így alacsony az esélye annak, hogy ezt az információt a betörők fel tudják használni.

Ugyan egyelőre semmilyen bizonyíték nem utal arra, hogy a teljes adatbázist ellopták volna, a Valve szerint a betörők hozzáférést szereztek az adatokhoz, így joggal lehet feltételezni, hogy azt el is tulajdonították. A Valve továbbra is vizsgálja a kérdést, amennyiben újabb információkra bukkan, értesíteni fogja a felhasználókat. A bejelentés szerint illetéktelen kezekbe kerülhetett a felhasználók azonosítója, a jelszavak (hash+salt), a megvásárolt játékok listája, email-címek, számlázási címek és titkosított bankkártya-adatok. A Valve szerint egyelőre nem érkezett információ a kártyaadatok illetéktelen felhasználásáról - azonban nem zárható ki hogy ez nem történt meg. A cég minden felhasználót a fórumon használt jelszava megváltoztatására kötelez, de ezt ajánlja a bolthoz használt jelszavak esetében is.

A behatolás ténye különösen kellemetlen pillanatban érkezik a Valve számára, miután az Electronic Arts egyre aktívabban szoktatja felhasználóit saját online játékboltjához, az Originhez. A kommunikációs krízis ettől függetlenül nem érinti drámaian a Valve-et, a szolgáltatás működését nem kellett leállítani, mint a Sony Playstation Network esetében, a betörés következményei pedig várhatóan nem a bolton csapódnak le.

Hatékonyabb támadások?

A feltörés azonban újra jól rávilágít arra, hogy az online tárolt adatok biztonsága továbbra is megoldatlannak számít. Ugyan a Steam titkosítva tárolta a különösen érzékeny információkat, a bejelentés szerint a felhasználói nevek illetve a postai címek minden védelem nélkül kerültek a behatolók birtokába. Ugyan ezek az információk közvetlenül nem használhatóak ki, de közvetett, úgynevezett "social engineering" támadásokban hasznosak lehetnek a felhasználók bizalmába férkőzéshez. Feltételezve, hogy a nyilvánosságra került adatszivárgások csak az ilyen incidensek egy részét képezik, elképzelhető, hogy az alvilági adatbázisok már jelentős mennyiségű információt tartalmaznak az internetfelhasználók jelentős részéről. Ez, kombinálva például a nyilvános Facebook-profilokkal illetve egyéb könnyen hozzáférhető információkkal, gyakorlatilag teljes profilt ad a támadók kezébe az egyes célpontokról.

A biztonsági kockázatot fokozza, hogy a felhasználók jelentős része azonos jelszót használ számos szolgáltatáshoz. A Valve saját védelmi rendszere, a márciusban indult Steam Guard például emailes megerősítést kér minden olyan esetben, amikor a felhasználó új számítógépről éri el a Steam boltot. Abban az esetben azonban, ha a támadók visszafejtik a jelszót és a felhasználó mindkét szolgáltatáshoz ugyanazt használja, a védelem értelmetlenné válik.

a címlapról