Menig PC-gamer die tijdens kerstmis op Steam zat voor de befaamde Winter Sale zal het gemerkt hebben: de servers zijn een tijd offline geweest vanwege een privacylek. Men kreeg in de Steam-applicatie en op de website pagina's te zien die voor andere gebruikers bedoeld waren.
Het grote probleem daarbij is dat je ook de accountpagina kon openen, waar gevoelige informatie staat. Eventueel betrof dat een volledige naam met adresgegevens, de laatste vier cijfers van je gelinkte telefoonnummer, de aankoophistorie, de laatste twee cijfers van je creditcard en het e-mailadres van bijvoorbeeld een PayPal-account.
Lange tijd was het stil vanuit Valve, maar inmiddels heeft het bedrijf een officieel statement gegeven via zijn website. Daarin wordt uitgelegd dat het om een probleem met de caching-regels ging, aangewakkerd door een DDoS-aanval. Normaal gesproken worden dergelijke aanvallen door Valve en zijn partners afgeweerd en merk je er niets van, maar het netwerkverkeer was natuurlijk al flink hoger dankzij de Steam Winter Sale.
Je kon de accountpagina van andere gebruikers voorgeschoteld krijgen
'Aanpassing caching-regels is de oorzaak'
Daartoe heeft men besloten de caching-regels aan te passen, om zo al het verkeer alsnog in goede banen te leiden. Tijdens een tweede aanval werd opnieuw een aanpassing gemaakt, maar toen ging het mis en werden pagina's naar verkeerde gebruikers gestuurd. In totaal gaat het om zo'n 34.000 getroffen gebruikers, die ten tijde van de aanval actief op Steam navigeerden. Als je tijdens die kleine twee uur geen pagina's met persoonlijke gegevens opvroeg, had je natuurlijk niets met de caching servers te maken en zijn je gegevens dus sowieso niet gelekt.
Nadat de fout geïdentificeerd was, heeft Valve de Steam Store direct offline gehaald en nieuwe caching regels ingesteld. De online winkel is vervolgens offline geweest totdat men zeker wist dat alle partners de nieuwe configuratie hadden en oude caching gegevens hadden verwijderd. Men probeert actief contact op te nemen met gebruikers waarvan mogelijk informatie is gelekt.
Nogmaals, men had geen volmacht over de voorgeschotelde account: het was niet mogelijk om aankopen te maken of gegevens te wijzigen. Er zijn ook geen wachtwoorden gelekt en je hoeft verder dus zelf geen actie te ondernemen.
If you did not browse a Steam Store page with your personal information (such as your account page or a checkout page) in this time frame, that information could not have been shown to another user. (...) The content of these requests varied by page, but some pages included a Steam user’s billing address, the last four digits of their Steam Guard phone number, their purchase history, the last two digits of their credit card number, and/or their email address. These cached requests did not include full credit card numbers, user passwords, or enough data to allow logging in as or completing a transaction as another user.
Bron: Valve
