Steam: Schwere Lücke machte Kapern von Konten zum Kinderspiel

Eine schwerwiegende Sicherheitslücke hat am Wochenende für einiges Chaos auf Steam gesorgt. Dabei konnte man eine Zeit lang über einen simplen Passwort-Reset das Konto anderer Spieler kapern. Der "Bug", so Valve, ist für den Steam-Betreiber überaus ... mehr... Steam, Valve, Valve Steam, passwort Steam, Valve, Valve Steam, passwort Steam, Valve, Valve Steam, passwort

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Valve sollte den Steam Guard mal verpflichtend für alle einführen, dann wären solche Probleme auch aus der Welt. Gerade wenn man einen größeren Account mit einigen 100 Spielen hat, ist eine 2FA eigtl. ein Muss.
 
@mh0001: Den Drang Leute bevormunden zu wollen, ist eine echt beängstigende Erscheinung.
 
@Thermostat: mag sein aber dann heulen sie rum wenn was weg ist, besonders wenn es so ein banaler bug ist. wenn es 2fa gibt nutze ich es auch und gerade in steam nutze ich ihn.
 
@Odi waN: Ja, dann müssen sie heulen, das ist deren Problem. Valve hat mehr als genug auf den guard aufmerksam gemacht. Wer ihn nicht nutzt, ist selber schuld.
 
@Thermostat: Was spricht denn gegen Steam Guard? Hast du einen guten Grund? Das hat nichts mit Bevormundung zu tun sondern Vernunft. Warum sollte dieses sinnvolle Sicherheitsfeature nur Optional sein? Es ist ja nicht so, dass du da deine Nummer und Wohnadresse angeben musst.
 
@Peter Griffin: Nichts spricht dagegen, nur warum den Leuten was aufzwingen?
 
@Thermostat: Warum sollte man beim Anmelden ins eigene E-Mail Account ein Passwort eingeben? Einfach E-Mail eintippen und Enter drücken. Warum macht man es nicht optional? Warum was den Leuten aufzwingen? ;) Sorry aber NEIN! Manchmal muss man Menschen zu ihrem Glück bzw zu ihrer Datensicherheit zwingen :)
 
@Thermostat: so seh ich das auch. wieso sollen sich die Leute den Mund fusselig reden. allerdings hätte eine zwangseinführung wieder zur "Minderung der Spielerfahrung" führen "können", da manche Geister ja am liebsten ohne PW arbeiten würden, weil sie das schon als pure Bevormundung ansehen.
 
@Thermostat: Dann einfach die Leute die rumheulen ignorieren oder gar drüber freuen, dass die so doof waren. Aber trotz allem bleibt es deren Entscheidung.

Für mich zum Beispiel ist die 2 Wege auth einfach nur nervig. Ich erkenne den Vorteil in Bezug auf die Sicherheit, aber es nervt vorne und hinten. Vor allem da es jedes mal zu viel Zeit frisst.
Deswegen nutze ich sie bei Steam nicht. Es gibt aber andere Dienste, da nutze ich sie, da ich dort absolut kein Risiko eingehen kann und direkt alles weg ist. Bei Steam hat man gute Chancen, seinen Acc wieder zu bekommen und, ich persönlich zumindest, habe dort keine Games, wo man was kaputt machen könnte.

So sollte jeder selber entscheiden. Und zudem ist der Guard standardmäßig auch bei jedem erst mal aktiviert. Man muss ihn also gezielt und bewusst ausschalten und es gibt soweit ich mich erinnere sogar ne Warnmeldung.

Übrigens, wäre es Pflicht, würde ich Steam gar nicht mehr nutzen. Bin eh kein Fan davon, mein Game an so nen System zu binden und es dann nicht mehr verkaufen zu können, wenn ich es nicht mehr spielen will. Aber das ist eh nen anderes Thema.
 
@Scaver: du weißt schon wie Steam-Guard funktioniert? Da ist nichts mit JEDESMAL neu eingeben,.sondern NUR wenn du dich von einem NEUEN GERÄT einwählst.
Bei mir passiert das zum Beispiel niemals, weil meine Geräte längst authentifiziert sind...
 
@Scaver: es ist schon lustig zu sehen wie manche die dümmsten Entscheidungen damit begründen das sie nach der Windows Neuinstallation einmalig sich "neu freischalten" müssen ... lächerlich. Der Aufwand besteht in Email öffnen Zahl abkopieren fertig - das geht problemlos in 20sek über die Bühne aber ich sehe schon das ist zuviel Aufwand wenn das nach jeder Neuinstallation einmalig fällig wird -.- Aber wie andere schon anmerkten, für viele wäre es am besten wenn sie gar kein Passwort bräuchten, aber genau die sind es die dann am lautesten herumheulen wenn der Account weg ist.
 
@Thermostat: Ja. Irgendwann wird die die Zeit kommen, in der fast alle Online-Dienste-Anbieter ein Passwort vorschreiben, da man ansonsten diese Dienste nicht mehr benutzen können wird. Oh wai...

Meinetwegen keine Bevormundung. Aber ich würde jedem Nutzer den Support verweigern, wenn er die gebotenen Sicherheitsfunktionen nicht nutzt, und sein Account gekapert wird. Aber in dem Fall kann ich mir gut vorstellen, wie Leute wie du in den Foren abgehen und gleich mal hunderte Petitionen anlegen.
 
@Niccolo Machiavelli: Wohl gesprochen. Zumindest die Kulanz sollte man einschränken.
 
@Thermostat: Bei sowas kann man prinzipiell gar nicht von Bevormundung oder Aufzwingen sprechen, da der ganze Dienst ein freiwillig nutzbares Angebot ist, wo der Anbieter logischerweise das Hausrecht hat.
Bevormundung wäre z.B., wenn man jeden Bürger zwingen würde, sich einen Steam-Account anzulegen.
Bei den Konditionen, unter denen ein freiwilliges nutzbares Angebot läuft, kann der Anbieter festlegen was er will, es wird niemals eine Bevormundung sein, denn der Nutzer kann sich immer ganz dagegen entscheiden.
Wenn du bei jemandem zu Gast bist, und er bittet dich, nicht mit Straßenschuhen im Wohnzimmer rumzulaufen, beklagst du dich dann auch bei ihm wegen seines Drangs, seine Gäste zu bevormunden?
 
@mh0001: Der Steam Guard hätte bei Passwort-Zurücksetzen auch nichts gebracht. Er ist nur ein Schutz beim Einloggen in neuen Computern.
 
@Matti-Koopa: ach.. und der "hacker" sitzt also nicht an einem anderen Computer?
 
@Conos: mit den richtigen Geschwistern nicht unbedingt ;-)
 
@kleingeldhorter: naja die kann man aber übers Knie legen und das Taschengeld die nächsten Jahre abziehen :D
 
@kleingeldhorter: ...nutzt man dann nicht eh die Steam Familienbibliothek, für die SteamGuard voraussetung ist? Wozu sollte man was unter Geschwistern hacken, was man eh teilen kann?

Oder bist so ein "ich hab COD und du nicht" Geschwisterlein?
 
@Conos: die Stiefschwester kannst du auch mal übers Knie legen...
 
@Matti-Koopa: Eben darum. Dann hätte sich derjenige mit dem geänderten Passwort nicht einloggen können, weil der Steam Guard - Code nach wie vor nur zu MIR gekommen wäre.
 
@mh0001: Der SteamGuard hat da gar nicht angeschlagen, also dazu verpflichten ist absoluter Schwachsinn.
 
@Gelegenheitssurfer: bei der Passwortänderung vielleicht nicht, aber beim Login garantiert. Egal ob das PW neu ist oder nicht.
 
@Draco2007: Und du merkst selber, dass Login und Passwort-Reset 2 vollkommen verschiedene Vorgänge sind. Weswegen man sie nicht so einfach gleichsetzen kann.
 
@Gelegenheitssurfer: Ok, wenn der böse Hacker es schafft dein Passwort zu ändern, sich dann aber NICHT einloggen kann, weil der Steam-Guard das verhindert, dann ist dein Steam-Account inwiefern gekapert?

Ach gar nicht? Komisch, dann hat der Steam-Guard ja doch geholfen deinen Account zu schützen. Und das obwohl es zwei vollkommen verschiedene Vorgänge sind...
 
@Draco2007: Mein Fehler, Steam-Authenticator mit Steam-Guard zusammen geworfen. Du hattest Recht.
 
@Gelegenheitssurfer: Es geht nicht darum, den Passwort-Reset zu verhindern, sondern nur darum, dass sich dann in so einem Fall kein anderer einloggen kann. Der kann noch so oft das PW zurücksetzen, solange der den Guard-Code nicht in die Finger bekommt, nützt ihm das gar nicht.
Ob ich selber dann erstmal auch nicht mehr in den Acc komme ist mir sowas von egal in der Situation, Hauptsache es macht sich kein anderer dran zu schaffen. Ich habe Steam-Guthaben, hinterlegte Zahlungsdaten und zig Spiele, bei denen ich nicht drauf scharf bin, dass ich da am Ende nen VAC-Ban habe nur weil einer meint sich austoben zu müssen. Von daher wär mir alles, was den Account dann temporär unbrauchbar macht, recht.
 
@mh0001: Ich sage nicht das Steam-Guard eine schlechte Erfindung ist, ich finde es nur Unmöglich die Steam-User zur Nutzung zu verpflichten. Durch die Zertifizierung mit einem Sicherheitscode per Email den du bei der Anmeldung auf einem neuen Gerät eingeben musst, wäre dein Account trotzdem noch geschützt.
 
@Gelegenheitssurfer: Genau das was du beschreibst mit Sicherheitscode per E-Mail (1x pro neuem PC) ist doch aber der Steamguard... :)
Das mit der App, die einen Code auf dem Handy erzeugt, läuft in Steam nicht unter der Bezeichnung Steamguard, sondern Steam Mobile Authenticator. Man kann zwischen beiden wählen. Und da finde ich nach wie vor, dass Steamguard verpflichtend sein sollte. Man muss sich die Mühe mit dem Code ja echt nur ein einziges Mal pro PC machen...
 
@mh0001: Mein Fehler, Steam-Authenticator mit Steam-Guard zusammen geworfen und verwechselt.
 
@mh0001: Valve sollte den Steam Guard endlich für Windows Phone anbieten, vorher braucht man über einen Zwang oder ähnliches gar nicht nachdenken.
 
@orioon: Hm? Der läuft doch plattformunabhängig per Mail. Unabhängig davon hätte ich auch endlich mal eine echte Steam-App für WP.
 
@mh0001: Danke, ich dachte wirklich es wäre nur über die Smartphone App möglich. Gleich mal aktivieren :)
 
@mh0001: Der Steam Guard hätte da absolut nichts bewirkt. Es kann sich dann NIEMAND mehr anmelden. Das Problem ist recht einfach: Der Fehler lag bei Steam. Wenn die Sicherheitfunkltion/en fehlerhaft sind, nützen sie nichts!
 
@Jens002: Genau das war aber mein Gedanke. Bevor sich jemand Fremdes mit einem geänderten Passwort in meinen Account einloggen kann, lieber erstmal gar keiner. Ich kann drauf verzichten, dass jemand mein Steam-Guthaben ausgibt, mit den hinterlegten Zahlungsdaten einkaufen geht oder sich austobt und meinem Account nen VAC-Ban einbringt.
 
argh, wollte schon immer mal mein ersten acc. irgendwie "retten" (E-Maildienst Tod, PW natürlich irgendwas kryptisches, musste ja sicher sein). auf den nächsten bug nun warten und mal etwas mehr im Zwiebelnetz rumtreiben. Nun ernsthaft, das ist nicht nur peinlich, auch das gerade sowas bei internen Tests durchrutscht, sondern schon fahrlässig. und mich fragen die Leute warum ich niegends, solange es sich vermeiden lässt, irgendwelche zahlungsinformationen speicher.
 
@Motverge: wen du einen nachweis hast, dass du mal ein spiel gekafut hast, irgendeinen eingelösten cdkey oder sowas, dann kann ich dir helfen.
 
@kemo159: Dann sollte er sich lieber an den Steam-Support wenden...
 
@DeepBlue: das wird er schon getan haben.
 
@Motverge: https://twitter.com/sempf/status/514473420277694465
 
Nun, Steam Guard sollte pflicht sein. Wer das nicht aktiviert, handelt fahrlässig.
 
@Peter Griffin: Solange sich jemand selber Schaden zufügt, ist das keine fahrlässigkeit, sondern Dummheit und persönliches Pech. Daraus direkt wieder eine Verpflichtung für jedermann stricken zu wollen, ist dagegen bedenklich. Warum verbieten wir dann nicht direkt auch sowas wie Sport allgemein, weils dabei die höchste Anzahl an Verletzungen gibt? Wär doch Klasse für alle Beitragszahler und Arbeitgeber...
 
Ich glaube wir sind uns alle einig wenn wir davon Ausgehen dass der Bug es niemals in die Finale Version der Software hätten schaffen sollen. Hier aber darauf zu bestehen und zu sagen dass sGuard Pflicht werden sollte ist aber genauso schwachsinnig.
 
Ist SteamGuard nicht schon pflicht? Ich konnte mich noch nie ohne 2-Wege-Authentifzierung anmelden.
 
@Mitsch79: ...kannst du ein-/auschalten. Normal ists aktiv.

Auschalten lohnt meist dann wenn man häufiger mal den PC wechselt oder die wiedererkennung aus irgendeinem Grund nicht funktioniert. Dafür hat man ohne SteamGuard auch wieder Funktionen wie FamilyShare und sowas nicht zur verfügung.
Es zu nutzen hat also auch andere Vorteile, als nur Sicherheitsfragen
 
@Mitsch79: Bei alten Accounts ist es nicht standardmäßig aktiv, da muss man selbst tätig werden. Ansonsten kann man es auch selbst ausschalten.
 
@DeepBlue: Ah ok, dann hab ich es wahrscheinlich vor Ewigkeiten aktiviert und es vergessen. Viel älter als mein Account kann kein Steam-Account sein ^^
Kommentar abgeben Netiquette beachten!

Videos zum Thema

  • Neueste
  • Beliebte
  • Empfehlung

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles