Een gepland avondje gamen na het kerstdiner zit er niet in voor veel PC-gamers. Valve heeft Steam offline gehaald nadat er een groot beveiligingslek ontstond. Door een probleem met caching werden gebruikers random ingelogd op accounts van anderen, waar ze alle privé-informatie als koophistorie, e-mailadressen en mogelijk zelfs creditcardgegevens konden inzien. Ook de taal en de gamecollectie werden overgenomen.
Volgens meldingen op Twitter zijn ook accounts die Steam Guard aan hadden staan getroffen. Guard is de naam voor Valve's two-factor authentication, waarbij erom in te loggen naast de gebruikersnaam en het wachtwoord, ook een code nodig is die per mail of SMS wordt verstuurd.
Beveiligingsexpert Troy Hunt, bekend van de website HaveIBeenPwned.com, denkt dat er een relatie is tussen de ontstane problemen en een DDOS-aanval die een hackersgroep voor vanavond had aangekondigd. "We hebben in het verleden andere gevallen gezien waarbij servers onder hoge belastingen problemen kregen met sessiebeheer, waardoor identiteiten werden verwisseld," zei hij vanavond tegen Forbes. "Het zou enorm toevallig zijn als beide problemen tegelijkertijd optreden en geen enkele relatie met elkaar hebben."
Valve heeft nog niet gereageerd op de situatie, maar Steam blijft vooralsnog offline.
Update, 26-12 0:18: Steam is voor de meeste gebruikers weer te bereiken, enkel de pagina met persoonlijke instellingen werkt volgens meldingen op sociale media soms nog niet. Valve heeft sinds het begin van de problemen nog op geen enkele wijze gereageerd, waardoor het onduidelijk is wat de gevolgen zijn en of de situatie nu onder controle is.
Update, 26-12 0:23: In een eerste reactie claimt een community-moderator namens Valve dat Steam niet is gehackt en er geen creditcard-informatie en telefoonnummers zijn gelekt. Dit lijkt niet te stroken met de ervaringen van gebruikers, die eerder vanavond meldden dergelijke info wel te kunnen zien. Volgens de post zijn alle problemen nu opgelost, maar een uitgebreidere verklaring zal ongetwijfeld volgen. Via officiële wegen is er nog altijd geen reactie van Valve.
Gebruikers kregen het complete profiel van een andere user te zien, mogelijk inclusief betaalgegevens.
