Beveiligingsfout in Steam maakte kapen accounts mogelijk

Door een fout in het accountbeveiligingssysteem van Steam konden gebruikers tot voor kort ieder account overnemen dat ze maar wilden. Het probleem lag bij een grote fout in het password recovery-systeem van Valve.

YouTube-gebruiker Elm Hoe heeft een video gemaakt van hoe de exploit werkt. Bij een password reset mailt Valve een code naar de eigenaar van het account. Die code moet de gebruiker vervolgens invoeren bij Steam. Wanneer een aanvaller echter dat veld leeg laat en gewoon op submit drukt, wordt toch de mogelijkheid gegeven om een nieuw wachtwoord in te stellen alsof de aanvaller daadwerkelijk de e-mailcode heeft ingevoerd. Op die manier kon ieder account dat Steam Guard niet ingeschakeld had, overgenomen worden. Steam Guard is een dienst, waarbij Steam bij elke login om een extra verificatiecode vraagt. Die code stuurt Valve per mail op.

Er kon echter geen permanente schade berokkend worden met de methode; voor nieuwe apparaten geldt dat ze een aantal dagen lang geen trades kunnen verrichten, bijvoorbeeld. Valve heeft inmiddels het beveiligingsprobleem opgelost. Accounts waarop 'verdachte activiteit omtrent wachtwoorden' heeft plaatsgevonden, hebben automatisch een wachtwoord-reset gekregen van het bedrijf. Tegenover Kotaku zegt Valve dat het op 25 juli kennis heeft genomen van de bug en dat het probleem inmiddels is verholpen. Onbekend is hoe lang dit gat in de beveiliging er heeft gezeten.

Reacties (67)

_Timmos 27 juli 2015 11:34

Ik heb ook een reset-mail gekregen, maar ik heb zelf mijn wachtwoord aangepast tussen 21 en 25 juli. Dit is de volledige mail:

Dear Steam User,

On July 25th we learned of a Steam bug that could have impacted the password reset process on your Steam account during the period July 21-July 25. The bug has now been fixed.

To protect users, we are resetting passwords on accounts that changed passwords during that period using the account recovery wizard. You will receive an email with your new password. Once that email is received, it is recommended that you login to your account via the Steam client and set a new password.

Please note that while your password was potentially modified during this period the password itself was not revealed. Also, if you had Steam Guard enabled, your account was protected from unauthorized logins even if your password was modified.

We apologize for any inconvenience.

Addict @_Timmos • 27 juli 2015 12:09

Ik kreeg deze mail ook, had het idee dat het een phisingmail was eigenlijk

.

De email heeft totaal geen opmaak.
Er wordt gesproken over een "bug", iets wat je niet in een massamail zou gebruiken die ook naar noobs gaat.

"You will receive an email with your new password." staat er eerst, en later staat er:
"Once that email is received, it is recommended that you login to your account via the Steam client and set a new password"

Dus eerst sturen hun je een wachtwoord op, en later moet je "een" nieuw wachtwoord instellen.

Afkomstig van: support@valvesoftware.com en niet van @steampowered.com zoals normaal wel het geval is?

Mocht deze mail wel legit zijn (wat ik niet denk) dan is het zeker dodgy in elkaar gezet.

_Timmos @Addict • 27 juli 2015 12:19

Dat de mail achterdocht opwekt ben ik met je eens, ik heb ook de afzender eerst nog eens gedubbelcheckt.

Dat je opnieuw een wachtwoord moet instellen is dan weer noodzakelijk, want ze sturen jouw nieuw wachtwoord in plaintext op. Door het opnieuw in te stellen via Steam, is het via een beveiligde verbinding ingesteld zonder een derde partij (jouw mailbox) wat het veiliger maakt. Alsook vermijd je dat iemand jouw mailbox binnen geraakt en daar nog steeds jouw huidig Steam wachtwoord vindt.

[Reactie gewijzigd door _Timmos op 24 juli 2024 18:09]

bogy @_Timmos • 27 juli 2015 18:04

steampowered.com is van de winkel (alle automatische mail)
valvesoftware.com is rechtstreeks van valve; dus van de ontwikkelaars; door mensen geschreven... het zou dus eerder bizar zijn moest je ineens een geschreven mail krijgen die door steampowered werd geschreven... (door stoom aangedreven = machinaal, ze nemen dat heel letterlijk daarginds)

mails worden zeer vaak zonder html opmaak geschreven; ik schrijf naar mijn klanten ook altijd mail zonder opmaak; al is het maar omdat veel mensen tegenwoordig ook mobiel mail en het er soms heel lelijk gerenderd wordt (de mobiele mailclients gebruiken helaas niet altijd het text-only gedeelte van de mail maar proberen gewoon het html-gedeelte te renderen op die kleine schermpjes)

Mail 101: elke mail met opmaak gaat buiten met de text ook in een volledig platte versie; zonder lettertypes, zonder vet/onderlijnen/kleurtjes/...; je kan dit trouwens controleren door de bron van een mail na te kijken. Dit gebeurt omdat sommige mailclients erop gemaakt zijn om enkel text-gebaseerde mails zonder opmaak te lezen (legacy of the past) en die zouden al dat html geweld dus niet kunnen verwerken. het opgemaakte gedeelte is vaak encoded in MIME

M0N0 @Addict • 27 juli 2015 13:20

De footer op steampowered.com bevat het logo van Valve, en dat logo linkt naar http://www.valvesoftware.com/. Dat domein is dus wel degelijk even legit als steampowered.com. Of de mail daarom legit is, is natuurlijk nog wat anders.

Ook de werkwijze is echter vrij logisch, zoals _Timmos aangeeft: ze sturen je een gegenereerd paswoord, maar vragen je om het nadien zo snel mogelijk te wijzigen omdat het paswoord in plain-text over email verstuurd werd.

Het lijkt dus eerder een gevalletje "spammers misbruiken het feit dat soms zulke mails verstuurd moeten worden, waardoor het dodgy lijkt wanneer zo'n mail effectief verstuurd moet worden".

Luuk1983

27 juli 2015 11:23

Ik denk dat het bij een Steam account, waar mogelijk een heleboel waarde aan software op staat, het gewoon een noodzaak is om SteamGuard aan te zetten. Misschien moet Steam er gewoon standaard naar toe dat dit aan staat en niet optioneel is. Ik heb SteamGuard volgens mij al heel lang aan staan. Ja het is soms irritant dat je moet wachten tot je een code binnen hebt in je mailbox, maar het is wel voor een heel goed doel! Of staat SteamGuard tegenwoordig standaard aan?

[Reactie gewijzigd door Luuk1983 op 24 juli 2024 18:09]

DiedB @Luuk1983 • 27 juli 2015 14:07

SteamGuard is heel leuk, maar codes mailen is heel traag en niet van deze tijd. Vraag me af waarom ze niet gewoon TOTP ondersteunen naast de huidige methode, zodat je apps als Google Authenticator kunt gebruiken. De Steam-app is een regelrechte ramp op Android.

Scraxxy @DiedB • 27 juli 2015 16:44

Wat werkt er niet aan de app? Ze hebben onlangs aardig wat dingen verholpen. De app geeft mij prima werkende codes.

[Reactie gewijzigd door Scraxxy op 24 juli 2024 18:09]

drdelta @DiedB • 27 juli 2015 20:47

De app is vooral langzaam, maar genereert gewoon prima (TOTP) codes, alleen niet via een standaard waarmee je het ook voor (bv) Google Authenticator gebruik kunt maken.

Zezura @DiedB • 27 juli 2015 21:45

Ik hoef anders nooit lang te wachten op mijn code en zo vaak hoef je de code nu ook niet aan te vragen.

retanik @Luuk1983 • 27 juli 2015 11:27

Steam Guard is enabled by default on your Steam account if your email is verified and you have restarted Steam twice since verifying your email.

Het staat dus standaard aan inderdaad, zoal je mag verwachten.
bron steam support site

batjes @retanik • 27 juli 2015 11:58

Maar dan is het niet voor elke login, zoals wel in het topic hier vermeld wordt door Tweakers.

Steam Guard is een dienst, waarbij Steam bij elke login om een extra verificatiecode vraagt. Die code stuurt Valve per mail op.

Je (of ik iig, steam guard enabled since 2012-11-30) krijgt die code alleen als je op een nieuw systeem inlogd. Zodra je het systeem goedkeurd met die code vraagt het er de volgende keer niet weer om.

Mimiix @batjes • 27 juli 2015 13:23

Het gaat inderdaad per systeem niet per login.

Jelv @batjes • 27 juli 2015 13:30

Per Steam installatie, maar als je op een nieuwe browser inlogt op de Steam site moet je eerst de verificatiecode van Steam Guard invullen.

[Reactie gewijzigd door Jelv op 24 juli 2024 18:09]

Ircghost @Luuk1983 • 27 juli 2015 11:32

Ik denk dat het gezien de vaak vele uitgaven van mensen het alleen maar verstandig is als ze Steam Guard forceren. Als je toegang hebt tot Steam (internet) dan heb je ook toegang tot je mail voor een eerste install / inlog op een systeem.

Verwijderd @Luuk1983 • 27 juli 2015 13:51

Er bestaat ook een app van Steam waar je SteamGuard in hebt. Je moet dus gewoon je code van je smartphone invoeren en je kan in je account. Gaat veel vlugger dan wachten op een mail van Steam.

ChAiNsAwII @Luuk1983 • 28 juli 2015 07:41

Ja heb steamguard ook al lang aan staan, als je games en items je lief zijn....

Erycius 27 juli 2015 11:24

Die code stuurt Valve per mail op.

Sinds kort ook per SMS : https://support.steampowe...-WRAH-9030&l=dutch#enable

chickpoint

@Erycius • 27 juli 2015 11:25

Of via de steam app op je telefoon. Sinds kort zit daar ook de steam authenticator in.

De link van jou gaat over de steam authenticator. Dat is een app die je op je telefoon installeert. Er word eenmalig een SMS verzonden om je telefoon te verifiëren. Dus niet als SMS service om de codes via SMS te krijgen ipv email.

Maar het lijkt wel alsof ze bij steam helemaal niet testen, bijvoorbeeld bij elke release van een nieuwe app zit die weer vol met bugs

[Reactie gewijzigd door chickpoint op 24 juli 2024 18:09]

Glodenox

@chickpoint • 27 juli 2015 13:20

Inderdaad, persoonlijk zou ik zelfs geen two-factor authentication bij Steam via SMS willen krijgen. De SMS-service die ze gebruiken is vrij vaak onbeschikbaar/overbelast heb ik al gemerkt. Dan heb ik liever de authenticator app die ik nu heb (beta) die offline codes kan genereren. Maar eigenlijk heb ik bij Steam de bescherming met e-mail voor nieuwe locaties altijd al voldoende gevonden.

Ik vond net de recente versie van de Steam app een verademing. Eindelijk stopt de app met batterij te verbruiken wanneer die niet meer actief is en eindelijk onthoudt de app welke pagina er bij de vorige opstart van de app open stond. Ook heb ik geen onverwachte logins meer meegemaakt en zijn de chatnotificaties beter geworden. De nieuwe layout is nog even wennen, maar het ziet er in mijn ogen gelikter uit.

ManIkWeet @Erycius • 27 juli 2015 12:28

I don't have a phone. Can I still use the mobile authenticator?
Not at this time. Support for standalone authenticators is being considered, but is not available today.

Leuk hoor, ik heb een Windows Phone, die wel gewoon zo'n standaard authenticator heeft! -.-

Glodenox

@ManIkWeet • 27 juli 2015 13:14

Sinds enkele weken is het ook mogelijk om met de Steam app codes te laten genereren om een echte two-factor login te krijgen. Hiervoor moet je wel deel uit maken van de beta groep. Jammer genoeg werkt deze app inderdaad niet op Windows Phone en maken ze geen gebruik van de standaard authenticatie apps. De reden waarom ze hier geen gebruik van maken weet ik niet.

ManIkWeet @Glodenox • 27 juli 2015 14:36

Misschien met Windows 10, we kunnen hopen...

Waarom ze geen standaard authenticator app gebruiken? Waarschijnlijk omdat ze een eigen (zwakkere) implementatie maken...

pedaalemmer|IA 27 juli 2015 11:18

Daar heeft iemand zitten slapen met het testen van de functionaliteit ten aanzien van de security.

ShadowBumble @pedaalemmer|IA • 27 juli 2015 11:22

Eens alhoewel er wel expliciet staat dat je Steam Guard ( Wat de code controleerd dus ) uit moet hebben staan, de fout zit hem er dus in dat er om een code gevraagd word maar dit geen verplicht veld is.

Dat schept onduidelijkheid steam zou eigenlijk helemaal geen code dienen te vragen als Steam Guard uitstaat, maar doet dat blijkbaar wel.

NL_Windhoos @ShadowBumble • 27 juli 2015 11:46

Dit is een code die ingevoerd dient te worden als authenticatiestap tijdens password recovery, niet voor het inloggen. Normaal wordt er een mail gestuurd met de code die je moet invoeren om een nieuw wachtwoord in te stellen, dit veld kon je alleen dus leeglaten en kan het password aangepast worden.

Indien Steam Guard geactiveerd stond kon men vervolgens nog niet inloggen, omdat deze om een code vraagt die niet leeggelaten kon worden.

bramkn @pedaalemmer|IA • 27 juli 2015 11:20

Inderdaad ja, gelukkig is het nu opgelost.

CyberDonky @pedaalemmer|IA • 27 juli 2015 11:22

Niet iemand, maar dat gehele testteam lag ook te slapen. [sarcasme] OTAP proces is goed uitgevoerd. [/sarcasme]

timonb @CyberDonky • 27 juli 2015 11:25

Ik durf te wedden dat dit testscenario echt wel is toegevoegd aan de regressietesten :-)

Verwijderd @timonb • 27 juli 2015 12:59

Welke regressietesten?

Reteip @pedaalemmer|IA • 27 juli 2015 12:03

Ghehe, ik vermoed zo dat de ontwikkelaar een soort van key.Contains functie heeft gebruikt ipv. key.Equals om de input en de verwachte key te vergelijken. Mooie basis fout.

Sir Guinhill 27 juli 2015 11:29

Persoonlijk zou ik het prettig vinden als Valve met Steam Guard ondersteuning voor U2F ( Universal Second Factor ) inplementeert.
Ik heb een usb sleutel voor 2 factor auth. die dit ondersteund, dat scheelt weer op emailtjes wachten.

Voor Steam Guard werd eerder dit jaar geëxperimenteerd met een mobile app die dit genereerd. Maar om nu weer een Auth. app te installeren, terwijl ik die van Google al met veel succes gebruik zag ik niet zitten.

Toch werkt de email one use key wel goed, zolang je email inbox niet gehackt is.

Verwijderd @Sir Guinhill • 27 juli 2015 12:38

2FA op je inbox configureren, dan is dat risico geminimaliseerd.

raro007 27 juli 2015 11:21

Steam guard staat standaard aan toch?
want ik kan me niet herinneren dat ik die had geactiveerd, toen ik op een nieuwe pc in Steam logde.

YoghurtO_o 27 juli 2015 12:49

Geen wonder dat ik de laatste tijd 2 e-mails van Steam heb ontvangen over het feit dat iemand mijn account probeerde te kapen vanuit Kroatië. Ik heb vooralsnog de account even geblokkeerd, ik kan toch niet gamen nu ik aan het reizen ben en daarnaast heb ik ook geen gekochte games op steam staan. Wel raar dat ze er zo laat pas achter zijn gekomen, volgens mij begonnen de aanvallen al een week geleden ofzo.

lordgandalf 27 juli 2015 14:54

Dit is echt de eerste keer dat ik hoor dat er een probleem in de steam client zelf zit.
Gelukkig heb ik zowel steamguard als de authenticator van steam aanstaan want ik heb genoeg stuff op mijn steam acc staan dat ik niet wil weten wat men daar mee doet als ze mijn acc hacken

MadEgg 28 juli 2015 10:37

Toch jammer dat je door incapabiliteit van andere gebruikers en developers bij Valve zowat gedwongen wordt om irritante features als SteamGuard aan te zetten. Ik heb SteamGuard bewust uitgezet en heb een zeer veilig, praktisch onkraakbaar wachtwoord. Wachtwoorden kwijtraken is gewoon dom, dan moet je je zaakjes beter op orde hebben. Een password reset zou er dus uberhaupt niet in moeten zitten; als het dan echt een keer nodig is moet je dan maar via een pay-per-call nummer aanvragen oid. En dan wordt zo'n functie ook nog dermate bedroevend geimplementeerd dat je gewoon het veld voor de verficiatie-code leeg kunt laten

Wat ik tegen SteamGuard heb, of 2FA in het algemeen? Je wordt altijd op de meest onpraktische momenten gevraagd om extra authenticatie die je mogelijk niet bij de hand hebt. Zoals een telefoon, een authenticator of toegang tot je mailbox. Als ik wil gamen dan wil ik gamen, en daar wil ik niet meer dan mijn wachtwoord voor nodig hebben.

2FA heeft alleen iets te zoeken financiële bankzaken, en voor alle overige cruft zou het volledig optioneel moeten zijn.

Robbedem 27 juli 2015 11:27

Het probleem dat ik heb, is dat als je van een andere locatie op Steam wilt inloggen, Steam Guard een code naar je mailadres stuurt, maar datzelfde mailadres werkt niet omdat je van een andere locatie inlogt!
Ik kan dus niet op Steam, noch hotmail in het buitenland. (tenzij ik mijn GSM nummer zou afstaan aan MS of Steam, maar dat mogen ze van mij niet hebben ;-) )

BRAINLESS01 @Robbedem • 27 juli 2015 11:37

Dat klinkt meer als een probleem met jouw email provider (hotmail?). Ik kan gewoon overal in de wereld email ontvangen, dus ook als Steam besluit dat ik een nieuwe code nodig heb.

LOTG @Robbedem • 27 juli 2015 11:59

Je kunt ook de Microsoft authenticator op je telefoon zetten, en die gebruiken om two factor authenticatie uit te voeren.

Verder wil je wel dat men je identiteit controleert, maar niet dat ze de mogelijkheid hebben om dat te doen?

Robbedem @LOTG • 27 juli 2015 12:07

1, Ik heb geen smartphone en 2, Als die two factor authenticatie zo vervelend is om te gebruiken wil ik die liever kunnen uitzetten.
Dan zou ik liever een soort bankkaart hebben voor two factor authenticatie, dat vind ik goed werken.

Yggdrasil

@Robbedem • 28 juli 2015 17:17

Zoiets als een Yubikey of een U2F (Universal 2nd Factor) key werkt uitstekend, maar vereist een USB-slot. Dat heb je niet overal beschikbaar. Uiteindelijk loop je met elke methode toch tegen beperkingen aan.

Glodenox

@LOTG • 27 juli 2015 13:23

Jammer genoeg ondersteunt Valve de standaard voor authenticators (nog) niet. Binnenkort zal je codes kunnen laten genereren door de Steam app (ook offline), maar verder gaat het momenteel nog niet. Bij Valve hebben ze voor zover ik weet nog niet gereageerd op deze opmerking die veel mensen gemaakt hebben tijdens de bèta-testen.

SuperDre @Robbedem • 27 juli 2015 13:42

Maar hotmail heeft standaar helemaal geen two-factor authentication aan staan, dus die zou je overal moeten kunnen benaderen via een webbrowser.. En als je het wel aan hebt staan zou je er voor kunnen kiezen om het uit te zetten als je naar het buitenland gaat en weer aan als je terug komt.
Ik vraag me sowieso al af hoe jij two-factor authentication kunt gebruiken op hotmail als je niet je GSM nummer wilt afstaan, en zoals ik al zei, klopt er sowieso iets niet als jij niet in het buitenland bij je hotmail account kunt (het is immers een webbased emailclient)..

hackerhater @SuperDre • 27 juli 2015 14:50

Wellicht zit ie in China?

Robbedem @hackerhater • 27 juli 2015 15:54

Het was in Zwitserland. Ik zal idd eens in de settings moeten rondneuzen als ik nog eens naar het buitenland vertrek.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (67)

Sorteer op:

Weergave: