Gewaltige Sicherheitslücke bei Steam

Der Treffpunkt für Computerspieler
[ this is the place to discuss computer games ]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35265
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Gewaltige Sicherheitslücke bei Steam

Beitrag von doelf » 27 Jul 2015, 12:52

In den vergangenen Tagen wurden zahlreiche Kundenkonten bei der Spieleplattform Steam gehackt. Selbst wenn Benutzer die missbräuchlichen Zugriffe bemerkten und ihre Passwörter änderten, konnten die Angreifer die Kontrolle über die Konten ebenso schnell zurückgewinnen. Das einzige, was die Hacker für die Kontenübernahme benötigten, waren die Benutzernamen ihrer Opfer.

Schuld an dem ganzen Dilemma war die Funktion zum Erstellen eines neuen Passworts. Wenn Steam-Kunden ihr Zugangspasswort vergessen haben, können sie sich von der Webseite einen Bestätigungscode zuschicken lassen und dann ein neues Passwort hinterlegen. Für die Anforderung eines solchen Codes wird lediglich der Benutzername benötigt. Gibt man den korrekten Code in das Webformular ein, darf man das Passwort ändern und hat wieder Zugriff auf sein Konto. Soweit die Theorie, doch die Praxis sah in einem wichtigen Punkt ganz anders aus.

Das Formular, in dem Kunden den Bestätigungscode eingeben sollen, hat diesen nämlich gar nicht überprüft. Ein leeres Feld wurde ebenso akzeptiert wie jede beliebige Zeichenfolge. Ein Hacker musste für sein Opfer also lediglich ein neues Passwort anfordern und konnte dann auch ohne den Bestätigungscodes ein eigenes Passwort hinterlegen. Der Kontoinhaber bekam lediglich eine E-Mail mit dem Hinweis, dass er um eine Passwortänderung gebeten habe. Eine Chance zum Abwehren der Kontoübernahme hatten die Kunden nicht. Die Schwachstelle wurde inzwischen behoben.

Quelle:
https://www.youtube.com/watch?v=QPl_BJoBaVA
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten