Channels

Navigation

Opnieuw inbraak bij Valve - Update

Door Yoeri Lauwers, donderdag 19 april 2007 10:27
Bron: Damage-web, submitter: Power2All, views: 36.708

Hacker MaddoxX is erin geslaagd binnen te dringen bij Valve. Hij bemachtigde er niet alleen aardig wat bestanden van Cyber Café en de website zelf, maar wist zichzelf ook toegang te verschaffen tot de database met accountgegevens.

In een poging het nieuws binnenshuis te houden werd een post op de Valve-forums over de hack verwijderd, waarbij de plaatser van de post een bericht kreeg dat het enkel om Cyber Cafe-gegevens zou gaan. Inmiddels is echter duidelijk geworden dat ook creditcardnummers bemachtigd zijn, naast financiële gegevens van het bedrijf zelf; zo blijkt dat Valve net geen acht miljoen dollar op de bank heeft. MaddoxX heeft het softwarehuis geen kans gegeven het lek te dichten, maar besloot zijn buit zonder meer online te zetten. Hoewel het bedrijf verweten wordt dat het te laks omgaat met de veiligheid van zijn servers en de gegevens van zijn klanten, siert het de hacker natuurlijk niet dat hij het 'responsible disclosure'-principe aan zijn laars lapt.

Valve-mannetje Dat Valve het lek in eerste instantie probeerde te verbergen en de klanten waarvan gegevens ontvreemd zijn, nog altijd niet ingelicht heeft, strekt echter ook niet tot aanbeveling. Het is overigens niet de eerste keer dat de deuren van het digitale Valve-depot niet goed op slot zijn. Eerder al moest de release van Half-Life 2 uitgesteld worden nadat een fiks deel van de broncode van het programma op straat lag.

Update, 12.05: Er blijkt nogal wat verwarring te zijn over de vermeende hack van MaddoxX. Van diverse kanten wordt gemeld dat het om een hoax zou gaan, omdat Valve nog geen publieke aankondiging heeft gedaan. Juist het feit dat een ontkenning van de hack uitblijft, is volgens anderen weer reden om aan te nemen dat de hacker inderdaad binnengedrongen is in de systemen. Volgens The Inquirer wil MaddoxX Valve chanteren. Hij zou hebben gedreigd om creditcardnummers en accountgegevens publiek te maken als Valve niet snel met een 'goed bod' komt. De computercrimineel zou vooral ontstemd zijn vanwege Valves gebruik van het digitale distributiesysteem Steam.

10:54	Bedrijf slaagt erin hyperlinks op cd te patenteren
09:39	Optische variant DisplayPort in ontwikkeling

Reacties

« 1 2 3 4 »

Door Bor de Wollef, donderdag 19 april 2007 10:30

Nog steeds geen officieel statement van Valve ik ik vraag mij nog steeds af of het hier niet om een hoax gaat. De hack zou een week geleden al zijn uitgevoerd als ik het goed begrijp. De financiele gegevens (zie forum) lijken zo uit een jaarverslag te komen.

Door M1lamb3r, donderdag 19 april 2007 10:35

idd, ook een lekker objectieve bron.. de site van de hacker zelf >.>

Door elmuerte, donderdag 19 april 2007 10:46

Het staat nu op t.net, een wat meer betrouwbare bron. En zo begint de bal te rollen. Dus als het een hoax is kan VAVLe maar 1 ding snel doen voordat het hun echt begint de schaden: een pressrelease uitbrengen dat het een hoax is. Zo lang die er niet is... kan je aannemen dat er iets mis is.

Door M1lamb3r, donderdag 19 april 2007 10:48

en de bron van T.net is de site van de hacker zelf..

Door Ackermans1973, donderdag 19 april 2007 10:54

De mensheid wordt echt met de dag dommer...

Door elmuerte, donderdag 19 april 2007 11:03

@M1lamb3r: klopt, maar niet elke "nieuws" site gaat zo ver om alles te verifieren. Ze zien t.net en denken dat het dan wel volledig waar zal zijn. En waarom ook niet, je vertrouwd tweakers.net dat ze hun werk goed uitvoeren. Netzoals mensen die al die virus hoax mailtjes doorsturen van mensen die ze kennen.

Door imagica, donderdag 19 april 2007 11:20

Zie ook http://www.imdb.com/title/tt0387808/

Idiocracy, komt redelijk in de buurt van de werkelijkheid

Door TRRoads, donderdag 19 april 2007 15:19

@elmuerte:

Ook op t.net wordt er amper aan verificatie gedaan van nieuwsberichten, er staat regelmatig een nieuwsbericht op welke niet juist blijkt te zijn.

Door MMaster23, donderdag 19 april 2007 10:40

het resultaat van deze hack is op vrij veel plaatsen te downloadene incl de broncode van de cafe site.

zeer zeker echt. hoe echt de bedragen zijn .. dunno .. ze lijken uit een echt systeem te komen

Door JumpStart, vrijdag 20 april 2007 15:26

Zie o.a.
http://www.shacknews.com/onearticle.x/46619
http://steamreview.org/posts/cafecardsstolen/
http://www.1up.com/do/newsStory?cId=3158852

Met andere woorden: Er is op een 3rd party site ingebroken, een site die Valve gebruikt voor beheer van Cyber Cafe accounts, en dus NIET op het Steam netwerk zelf! Er zijn, volgens Valve, dus ook géén creditcard nummers van Steam klanten gelekt.

Update:

According to The Steam Review, Steam itself was not accessed, but rather a Valve file server. Furthermore, the site explains that only the credit cards of Cyber Cafe subscribers were compromised. "The numbers in danger are all held by cybercafe owners, who have recurring subscriptions to their Steam games and have probably all long been informed," the posting reads. "Consumer data are only stored in enough detail to fight mass fraud, not make purchases, and weren't compromised anyway."

Update 2: "There has been no security breach of Steam," Valve director of marketing Doug Lombardi told 1UP. "The alleged hacker gained access to a third-party site that Valve uses to manage the commercial partners in its Cyber Cafe program. This Cyber Cafe billing system is not connected to Steam. We are working with law enforcement agencies on this matter, and encourage anyone with more information to e-mail us at Catch_A_Thief@valvesoftware.com."

Door unkown8000, donderdag 19 april 2007 10:30

Leren ze er nou echt niet van?

Door arjankoole, donderdag 19 april 2007 10:55

Leren ze er nou echt niet van?

Nee, en ja.

Security is in beginsel al een complex vraagstuk, en als er allerlei dingen gebouwd worden die toegang moeten hebben tot diepere systemen, loop je steeds meer risico.

Daarnaast merk ik zelf ook vaak, dat als ik uit hoofde van m'n security functie opmerkingen maak, en 'nee' zeg tegen bepaalde implementaties, deze door hogerhand alsnog worden overruled, ook al heeft hogerhand absoluut niet de kijk op zaken die ik heb. (en ik onderbouw het echt zo, dat zelfs de leek het kan begrijpen, geef ook alternatieve wegen aan).

Dus, dit is zoveel een technisch probleem, als een politiek probleem. En corporate politics in de USA zijn best pittig.

Door houseparty, donderdag 19 april 2007 11:34

(en ik onderbouw het echt zo, dat zelfs de leek het kan begrijpen, geef ook alternatieve wegen aan).

Misschien pak je het verkeerd aan.

In mijn (ongetwijfeld beperkte) ervaring werkt het tegenovergestelde beter als je iets erdoor wilt krijgen. Een goed samenhandend statement met wat technische terminolgie die tovenarij lijkt voor de gemiddelde leek en wat woorden in de mix als lek, diefstal, revenue doet echt wonderen.

"Hogerhand" moet goed duidelijk gemaakt worden dat hun meer verstand hebben van het economische aspect, maar dat jij meer verstand hebt van het technische aspect.

Corporate politics zijn overal pittig. Je moet 't zo doen lijken dat ze je moeilijk kunnen negeren.

Door Engineer, donderdag 19 april 2007 10:34

Ik hoop dat die kid zo snel mogelijk voor x jaar de bak in draait. Zo lame om na een hack al die spullen op 'straat' te gooien

Edit: Flamebait? Als iemand in het echt in een winkel inbreekt en alle administratie mappen over straat gooit, en ik hoop dat diegene een fatsoenlijke straf krijgt, dan is het wel goed zeker inene?

Door Sjaaksken, donderdag 19 april 2007 11:47

Edit: Flamebait? Als iemand in het echt in een winkel inbreekt en alle administratie mappen over straat gooit, en ik hoop dat diegene een fatsoenlijke straf krijgt, dan is het wel goed zeker inene?

als een hacker dat kan een crimineel ook. Ik heb liever dat die hacker dan alle administratie mappen kopieert en publiceert om te tonen dat het hem gelukt is, dan dat het te laat is wanneer een misdadiger er effectief gebruik

Door Justice, donderdag 19 april 2007 12:09

wat is nog het verschil tussen een hacker die alle gevonden zaken 'op straat gooit' en een criminele computerinbreker die alle gevonden zaken doorverkoopt.

de eerste verdient er niet aan maar maakt alle informatie toegankelijk voor iedereen. Kan dus erger / minder erg zijn afhankelijk van je perspectief dan een criminele hack.

Door Iblies, donderdag 19 april 2007 13:24

Pleit Valve niet vrij,
het systeem van CC is eigenlijk zo en zo idioot simpel te frauderen dat een organisatie met alle mogelijke middelen deze gegevens apart moet houden.

Dat die gegevens op een server staan die makkelijk van buiten is te bereiken is niet. Deze gegevens zou je op een intranet moeten houden en op de server met internet verbonden staat daar zou je de gegevens van leden moeten minimaliseren. Een setup die vrij makkelijk te realiseren valt.

Door 4VAlien, donderdag 19 april 2007 10:34

Doorlopen mensen, er is weer niks aan de hand bij Valve

Door m0nkey, donderdag 19 april 2007 10:55

Dwijlen met de kraan open, het bedrijft heet notabene Valve, vind je het gek dat er een lek is.

Ik vind het trouwens wel een beetje triest van MaddoxX, ten eerste die houding, hij kan Valve tenslotte ook gewoon waarschuwen en desnoods het lek zelf dichten (hij is er uiteraard in gekomen dus de boel kan hij vast wel zelf ook dichtdraaien). En hij loopt maar te vloeken en te tieren, ik verwacht eerlijk gezegd niet zo'n laag niveau van een hacker/cracker/whatever, gezien zijn puberale taalgebruik zou je denken dat het een scriptkiddy is

Berichten van MaddoxX aan Valve op Dailytech:

Believe me, nobody wants to 'stick it to Valve' more than those currently in the cafe program. We're rubbing pennies together trying to make it from month to month, while Valve is making millions off of us ... All I ask is that you make some effort to edit cafe numerical details from any future release.

Please don't release the CC information, for the sake of the centers who are less informed.

If you want me to remove these files you can e-mail me at (address removed) and I prefer you come with something good unless you want me to expose ALL of the customers their information.

Interview van MaddoxX, staat op diverse sites.

<^QuickSilver> Hi, MaddoxX, can I get an interview?
sure
<^QuickSilver> Thanks, so, a huge fuss is being kicked up about the recent ‘hacking’ of Valve, why did you do it?
I always tried to get into their systems to steal stuff from them.. just to prove their security sucks
As you can see they can’t even protect their games from piracy
ofcourse no company can do
but it is way to easy with VALVe lol
makes it fun
<^QuickSilver> And that’s what it’s all about, eh?
most of it
<^QuickSilver> Are you actually going to release credit card details?
Prolly.. they ignore me.
And I don’t like it when I get ignored
I gave them several chances
<^QuickSilver> True that, and they’ve basically attempted to cover everything up? Why do you think that is?
Prevent chaos..
<^QuickSilver> So what do you plan to get out of this?
I aint planning shit
they can’t do anything
anything else?
<^QuickSilver> Well, do you want anything from Valve?
Just a message on their site that there has been a hack onto their site.
Informing the users
<^QuickSilver> Okay, I think that’s it
<^QuickSilver> Thanks for your time.
np

Door Matthiasje, donderdag 19 april 2007 11:06

Valve lek? Een rubbertje vervangen misschien?

Door athaphian, donderdag 19 april 2007 11:48

"<^QuickSilver> Are you actually going to release credit card details?
Prolly.. they ignore me.
And I don’t like it when I get ignored"

Klinkt als iemand die graag aandacht krijgt en slechts bozer wordt naarmate dit niet gebeurd.

Door Sir_Eleet, donderdag 19 april 2007 12:26

http://evula.org/dragoon/pics/captain.obvious.jpg

Door Reinman, donderdag 19 april 2007 10:35

Ik hoop dat dit de release van Eppisode 2 niet gaat schaden. Ik verheug me daar namelijk erg op

Door GekkePrutser, donderdag 19 april 2007 11:55

Het zou inderdaad wel eens als excuus gebruikt kunnen worden om ep2 voor de zoveelste keer uit te stellen...

Door Vandread, donderdag 19 april 2007 10:36

Schattig profiel: MaddoxX "Teh Pwn3r"

Waarom moet zo'n knul de stereotypering omhoog houden...
Want je bent natuurlijk heel tof met CC gegevens publiceren (heb niet gecheckt wat er daadwerkelijk staat)

Wel onverstandig van Valve, toch een updateje minder uitbrengen en ipv daarvan een update op de beveiliging.

Jammer dat ie niet gewoon de nieuwe TF2 / EP2 ergens opgedoken heeft, daar heb je tenminste nog wat aan

Door MMaster23, donderdag 19 april 2007 10:41

hij heeft CC gegevens expres in laten zitten .. onder het motto .. fu valve, had je maar beter moeten beveiligen.

btw de hacker had maar 1 eis voor geheimhouden: 1 nota op valve.com/steampowered.com "Our security systems have been comprimised". meer hoefde hij niet te zien. maarja...

Door BlackAss, donderdag 19 april 2007 10:44

LOL dat is echt temakkelijke eis..

Maar zo zie je dat valve te groote ego heeft en lak heeft aan gebruikers

Door GJ-tje, donderdag 19 april 2007 12:20

Het schept bij mij anders eerder het vermoeden, dat het een HOAX betreft.

Zie ook bovenstaand interview, de naam van de 'interviewer' is ook een nickname, terwijl de nickname van die MaddoxX zelfs compleet mist...

Ook bepaalde reacties in dat interview vind ik een beetje onprofessioneel, zoals bijvoorbeeld 'prolly' in plaats van propably. Leuk, die Engelse straattaal, in een interview is dat gewoon not done IMO.

Door BeeYeF, vrijdag 20 april 2007 17:06

probably bedoel je?

Door SED, donderdag 19 april 2007 12:54

Ik geloof dat deze opmerking van de hacker wat anders lijkt te suggereren

If you want me to remove these files you can e-mail me at (address removed) and I prefer you come with something good unless you want me to expose ALL of the customers their information.

Lijkt verdacht veel op gewone pure ordinaire chantage.

Door LolitaLapin, donderdag 19 april 2007 13:00

Als je aan 1 eis toe geeft, willen ze altijd meer. Ik hou voorlopig mijn creditcard goed in de gaten.

Door BlackAss, donderdag 19 april 2007 10:43

zo blijkt dat Valve net geen acht miljoen dollar op de bank heeft..

hmm dat is niet echt veel als game's studio!
ik moet zeggen dat valve de laaste tijd verrekt weinig doe aan nieuwe CCS reeks of dergelijke want de games worden tot aan het bot uitgemolken..

Valve is wel erg laks als je dit bericht zo lees..
* stapt direct over naar BF2142.. *nu full time

Door houseparty, donderdag 19 april 2007 11:46

zo blijkt dat Valve net geen acht miljoen dollar op de bank heeft..

hmm dat is niet echt veel als game's studio!

Op de bank hebben != opgebouwd vermogen.
Of denk je dat bijvoorbeeld Microsoft miljarden op een betaal/spaar rekening heeft staan?

Een beetje bedrijf investeert 't overschot aan liquide middelen, zodat er meer rendement over behaald wordt dan dat het staat weg te rotten op een betaalrekening.

Door Natrium, donderdag 19 april 2007 10:44

kon hij nou niet even wat Halflife 1-keys opsporen?

Door BlackAss, donderdag 19 april 2007 10:45

.. nee die je kan ook zelf koopen op www.bol.com ..

Door Maksvr, donderdag 19 april 2007 10:48

Ja want 15 euro betalen voor een spelletje is natuurlijk weer te veel

Door DaaNMageDDoN, donderdag 19 april 2007 10:44

Open Valve