Steam geeft gebruikers per abuis inzicht in andermans data - update

Steam kampt met beveiligingsproblemen die ervoor zorgen dat gebruikers persoonlijke gegevens van anderen te zien krijgen. Veel klanten van de gamedienst hebben aangegeven dat onder andere delen van creditcardgegevens zichtbaar zijn.

Op sociale netwerken zoals Twitter en Reddit zijn meldingen binnengekomen van gebruikers die vergelijkbare ervaringen met Steam hebben. Zij lijken van willekeurige gebruikers de accountgegevens in te kunnen zien, waaronder persoonlijke data zoals betaalgegevens. Volgens The Verge zijn er nog andere dingen die niet helemaal goed gaan, zoals het tonen van de interface in de verkeerde taal en spontaan uitloggen.

De Steam Store is vrijdagavond enige tijd offline geweest, wat er op wijst dat men bezig is geweest de problemen te verhelpen. Het is nu weer mogelijk in te loggen, maar op moment van schrijven is niet bekend of de problemen ook al volledig verholpen zijn.

Het is onduidelijk wat de reden is dat gebruikers andermans gegevens te zien krijgen, maar mogelijk heeft het te maken met cachingproblemen. Ondanks de accountproblemen in de winkel blijven games die bij Steam zijn aangeschaft wel gewoon speelbaar.

Update 9:57 uur: Valve heeft bevestigd dat de problemen zijn opgelost. Het tonen van andermans gebruikersgegevens had volgens het bedrijf inderdaad te maken met caching.

Door RoD

Forum Admin Mobile & FP PowerMod

Feedback • 26-12-2015 00:10
170 • submitter: x86dev

26-12-2015 • 00:10

170

Submitter: x86dev

Lees meer

Valve: 34.000 Steam-gebruikers getroffen door cachingproblemen
Valve: 34.000 Steam-gebruikers getroffen door cachingproblemen Nieuws van 30 december 2015
Hackers nemen grootste reclamepaneel van België tijdelijk over - update
Hackers nemen grootste reclamepaneel van België tijdelijk over - update Nieuws van 28 december 2015
Begindatum Steam Winter Sale 2015 lekt opnieuw uit
Begindatum Steam Winter Sale 2015 lekt opnieuw uit Nieuws van 17 december 2015
Valve zet plannen voor nabije toekomst Steam Controller uiteen
Valve zet plannen voor nabije toekomst Steam Controller uiteen Nieuws van 11 december 2015
Valve detecteert maandelijks 77.000 accountkapingen op Steam
Valve detecteert maandelijks 77.000 accountkapingen op Steam Nieuws van 10 december 2015
Meer producten en artikelen
Netwerk en systeembeheer Steam

Reacties (170)

-Moderatie-faq
170
168
98
0
0
4
Wijzig sortering
Nnoitra 26 december 2015 00:19
Beetje paniekzaaierij deze FP.

Door waarschijnlijk een DDOS aanval zijn er ge-cache'te pagina's aan willekeurige gebruikers getoond.
Op die pagina's stonden de laatste cijfers van credit cards, email adressen en nog wat andere informatie.

Om een pagina in de cache te krijgen, moet die pagina wel eerst bezocht worden.
Heb je de afgelopen uren geen pagina bezocht waar dergelijke gegevens op staat, dan is er dus ook geen cache versie van die pagina en is er dus niets aan de hand.

Een plaatje van wat er aan de hand was, werd hier gepost.
http://i.imgur.com/ApBWhmh.png

[Reactie gewijzigd door Nnoitra op 25 juli 2024 22:09]

aadje93 @Nnoitra26 december 2015 08:14
waarom moeten de delen met individuele gegevens gecached worden, dat is toch een dynamischs stuk van de pagina? Gewoon plain html van de tekst en dat kleine stukje als php uitvoer tonen?
Neko Koneko @aadje9326 december 2015 08:44
Volgens mij maken alle grote sites tegenwoordig gebruik van cache om te zorgen dat de pagina niet telkens opnieuw gegenereerd moet worden. Dat bespaart aan de serverkant weer cpu tijd en daardoor kan de pagina sneller geserveerd worden indien deze vaker achter elkaar bezocht wordt.
Vexxon @Neko Koneko26 december 2015 09:33
Klopt, cachen is belangrijk om de responsetijd te verbeteren, maar gebruikersgegevens cachen zou je mijns inziens nooit moeten doen.
Anoniem: 58485 @Vexxon26 december 2015 10:15
Kijk jij elke dag naar je gebruikersgegevens dan? :P

Cachen is zinvol, het offload vooral CPU & RAM aan de andere kant.
hellfighter87 @Anoniem: 5848526 december 2015 10:21
Juist omdat je niet elke dag kijkt naar je 'wijzig mijn gegevens' / 'betalingsgegevens' pagina's is het nutteloos die specefieke pagina's te cachen

Cachen doe je namelijk alleen voor pagina's die wel druk bezocht worden
Vexxon @hellfighter8726 december 2015 14:35
Precies en cachen heeft vooral zin bij die data die het meest bevraagd worden en dus voor alle gebruikers opgevraagd kunnen worden. Gebruikersgegevens vallen dan bij voorbaat af, want je wil niet dat profielen voor iedereen inzichtelijk zijn. Al weet ik niet of dat hier ook aan de hand is
Fermion @Vexxon27 december 2015 13:04
Klopt, als een dienstverlener moet je geen gebruiker gegevens cachen.
landcross @aadje9326 december 2015 09:54
Dat was dus ook het probleem, dat er te veel gecached werd. ;)
Nnoitra @aadje9326 december 2015 11:28
Het waarom is vooralsnog niet bekend, misschien wel nooit.

Het zou zomaar kunnen dat die pagina's normaal gesproken nooit in de cache terecht komen maar dat de massale DDOS aanval de systemen dermate in de war heeft geschopt dat het wel gebeurde. Of dat het een settings is die actief wordt bij een hele hoge load.
Ik denk niet dat Valve/Steam de ware reden gaat mededelen.

Wat ook de oorzaak is; het is niet goed te praten en ze zullen is moeten doen om dit soort situaties in de toekomst te voorkomen.

--- edit --
En toen zag ik hieronder staan dat het inderdaad een condig fout was.
* Nnoitra gaat toch maar ff dat 2e bakje koffie drinken :+

[Reactie gewijzigd door Nnoitra op 25 juli 2024 22:09]

Brigante @Nnoitra26 december 2015 00:26
Ik probeer nochtans al twee uur mijn accountgegevens te bekijken. Dit lukt me nog steeds niet. Krijg steeds de melding probeer later opnieuw. Twee uur geleden stond heel mijn Steam plots in het Russisch, nadien in het Duits en zag ik de gegevens van mensen uit die landen. Toch net iets meer aan de hand dan 'paniekzaaierij' lijkt me.
EnigmaNL @Brigante26 december 2015 00:28
Steam even opnieuw opstarten en het werkt weer. Anders in je browser even je cache en cookies wissen.
Brigante @EnigmaNL26 december 2015 00:32
Ok, doe ik, heb ik voordien reeds meerdere malen geprobeerd, maar toen kon ik niet meer inloggen. Heb ccleaner gebruikt, pc herstart, etc...
Ik probeer het nogmaals
EnigmaNL @Brigante26 december 2015 00:33
Vreemd, bij mij werkte het meteen weer na een herstart van Steam. Wellicht dat Steam nog niet helemaal normaal werkt. Zal morgenochtend vast wel opgelost zijn.
Brigante @EnigmaNL26 december 2015 00:37
Nu diende ik mijn e-mail-adres terug te verifiëren en kon ik op de steam-applicatie terug inloggen. Via de browser inloggen op Steam lukt nog steeds niet. Ik zal maar stoppen met proberen dan ;).
Nnoitra @Brigante26 december 2015 00:31
Dat jij pagina's in andere talen zag, is dus het caching probleem.
Die mensen hebben hun account pagina, in hun taal, bezocht en dat is in de cache terecht gekomen.

Als jij de afgelopen uren niet op je account pagina bent geweest, wat dus ook geadviseerd werd, dan is er voor jou vooralsnog niets aan de hand.
koudepinda @Nnoitra26 december 2015 16:02
Geadviseerd door wie?? Steam heeft me niet op de hoogte gebracht alvorens deze ellende zich aan diende, pas nadat ik zelf op onderzoek uitging kwam ik erachter dat er een hackers groep had aangekondigd steam te gaan aanvallen.

Dat ik dit op zo'n beetje elke buitenlandse tech site moet vernemen vind ik treurig, daar was deze kennis er al een aantal dagen terwijl we hier in het duister tasten.

Steam doet het trouwens af als een configuratie fout door een verandering eerder die dag, wat twijfelachtig is want op het moment van de crash was er zeer veel data verkeer te zien op deze kaart http://www.digitalattackm...ist=0&time=16795&view=map

[Reactie gewijzigd door koudepinda op 25 juli 2024 22:09]

Blokker_1999
@Nnoitra26 december 2015 09:20
Ik snap ook niet hoe een DDOS kan zorgen voor het afleveren van een foutieve pagina of hoe je daarbij komt. Het is veel aannemelijker dat iemand met kerstmis (sommige mensen werken gewoon op die dag) een fout in de config van de caching server heeft gezet.

--edit--
Steam heeft aan gamespot enkele uren terug bevestigd dat het inderdaad om een configuratiefout zou zijn gegaan en deze heeft niet meer dan een uur bestaan: http://www.gamespot.com/a...ers-account/1100-6433371/

[Reactie gewijzigd door Blokker_1999 op 25 juli 2024 22:09]

Rainbow @Blokker_199926 december 2015 10:48
Ik snap ook niet hoe een DDOS kan zorgen voor het afleveren van een foutieve pagina of hoe je daarbij komt.
Engineers gaan niet voor de lol met de kerst klooien met configuratiebestanden die te maken hebben met caching, ook bij Valve zullen ze wel een Christmas freeze hebben met betrekking tot deployments, configuratie changes, etc.

Wat mij waarschijnlijk lijkt is dat ze als antwoord op de DDOS (die wel degelijk heeft plaatsgevonden) meer caching servers neer hebben gezet, of de caching agressiever wilde maken, om zo de daadwerkelijke back-end servers minder load te bezorgen. Maar omdat ze snel moesten handelen zijn ze het vergeten goed te testen, en hebben ze zo een brakke configuratie deployed.

Dit is uiteraard slechts speculatie, maar het lijkt me aannemelijker dan dat ze regulier onderhoud plegen tijdens de Kerst.
Anoniem: 420148 @Rainbow26 december 2015 14:48
Steam ziet juist honderd keer zoveel verkeer tijdens kerst met al die sales. Ik wed dat er nog genoeg man aan het werk is daar tijdens de feestdagen. Wellicht was de configuratie-aanpassing om de load beter te verdelen.
R4gnax
@Blokker_199926 december 2015 10:06
niet meer dan een uur
Helaas is het wel zo dat met een foutieve cache configuratie, andere caching proxies die niet meer onder Valve's besturing liggen, ook die pagina's mogen gaan cachen. En als daar een beetje lange expiration time op zit, wil dat zeggen dat veel mensen die pagina's tot in lengte van maanden kunnen blijven zien.


Dus als Valve dit probleem probeert te bagatelliseren door te claimen dat het maar heel eventjes gespeeld heeft, dan hebben ze het goed mis.
happyguppy @Nnoitra26 december 2015 00:46
Voor jouw informatie; mijn bank (een van de grootse van Nederland) vond nadat ik contact met ze opnam en vertelde welke gegevens er precies(!) mogelijk zichtbaar zichtbaar zijn geweest de situatie te risicovol en hebben mijn creditcard geblokkeerd.

Ik zou als je vandaag ingelogged bent geweest op steam EN je creditcard gegevens hebt gekoppeld dus maar de voorzorg nemen.

Hiernaast bleek zojuist (ik kon weer inloggen) dat mijn voorheen gekoppelde creditcard informatie verwijdert is. Ik heb dit zelf niet gedaan; en ik heb de goede hoop dat steam zo verstandig is geweest bij gebruikers die mogelijk beinvloed zijn door dit cache probleem de creditcard informatie te verwijderen (het resultaat is een veiligheidsprobleem; maar de post door Tweakers hierboven suggereert dat het van origine een veiligheidsprobleem is, wat niet klopt). Als dit niet zo is dan betekent dit dat iemand anders mijn profiel heeft gezien en zo aardig is geweest mijn kaart te verwijderen.

Al met al erg zorgelijk; ik vertrouw steam mijn gegevens vanaf nu niet meer toe, en ik hoop dat we snel iets meer informatie vanuit Valve krijgen.
Nnoitra @happyguppy26 december 2015 00:53
Als je niet op een steam pagina bent geweest waar dergelijke informatie staat, is er ook geen caching pagina van jouw informatie.

Als je een caching pagina van iemand anders voor je neus kreeg, dan was je niet in staat om daar iets mee te doen , laat staan credit card info aanpassen of verwijderen.

Dat hij bij jouw ontkoppeld is, zou zomaar te makken kunnen hebben met credit card blokkade die je bank geregeld heeft..

En die bank dekt zichzelf natuurlijk ook zo snel mogelijk in door de boel te blokkeren; voorkomen is beter dan genezen ;)

[Reactie gewijzigd door Nnoitra op 25 juli 2024 22:09]

happyguppy @Nnoitra26 december 2015 00:57
Ik ben vandaag eerder dus wel op die pagina geweest, vandaar dat ik het zekere voor het onzekere heb genomen. Als je al deze gegevens combineert met elkaar, en daarnaast iemand zijn adres hebt (welke je wellicht kunt googlen obv username / locatie) dan kan je bijv. de creditcard maatschappij bellen en daarmee het volledige nummer achterhalen. Hiermee kan je dan in sommige landen aankopen doen zonder CCV. Het is dus niet zo simpel als "ah ze konden maar 2 cijfers van m'n creditcard zien"; er is potentieel veel meta informatie over personen buitgemaakt welke door kwaadwillenden gecombineerd en misbruikt kan worden.

Assumption is the mother of all fuckups :)

[Reactie gewijzigd door happyguppy op 25 juli 2024 22:09]

Nnoitra @happyguppy26 december 2015 01:01
Ik zou niet bij een bank willen zitten die op basis van een naam en adres het volledige creditcard nummer doorgeven :+
happyguppy @Nnoitra26 december 2015 01:06
Zolang je redelijkerwijs kan vertellen dat jij bent wie je zegt dat je bent zullen ze je dit soort gegevens wel geven. Ik zou eerlijk gezegd niet bij een partij willen zitten die dit niet doet; als je in het buitenland zit en de kaartgegevens nodig hebt maar bijv de kaart vergeten bent lijkt het me nogal praktisch.

Ik zeg niet dat dit enkel op basis van naam en adres gebeurt; maar op basis van de gegevens die potentieel uitgelekt zijn kan een hoop informatie gehaald worden die wellicht hier wel toe kunnen lijden.

Better safe then sorry denk ik dan :)
delroystar @happyguppy26 december 2015 01:21
Geloof me een bank gaat echt niet over de telefoon credit card gegevens vertellen aan wie of voor welke reden dan ook.
Zezura @delroystar26 december 2015 02:51
Nee inderdaad.. Zelfs om de kleinste dingen controleren ze je ID en handtekening, en of dit correct op je pas staat.. Ik had mijn pas niet getekend en moest hem daar per direct alsnog tekenen.
Blokker_1999
@Zezura26 december 2015 09:26
Die vind ik nog altijd absurd. Als hij niet getekend werd bij afhaling kan jij nog altijd de pas gestolen hebben. Ben zo ooit ook eens iemand tegengekomen die wilde betalen in de wonkel met een CC die niet getekend was, moest dat ter plaatse doen. Dan denk je echt: wat is daar het nut van? Als hij gestolen s maakt het ook niet meer uit.
Zezura @Blokker_199926 december 2015 13:06
controleerde wel eerst mijn identiteit (dat ik ook echt een pashouder was).
aval0ne @delroystar26 december 2015 07:48
Zijn we echt zo naief? https://medium.com/@N/how...e-24eb09e026dd#.ryzlsox68
delroystar @aval0ne26 december 2015 13:09
Wat heeft dat met een bank die over de telefoon credit card gegevens geeft te maken?
Gimmick @happyguppy26 december 2015 07:48
Zolang je redelijkerwijs kan vertellen dat jij bent wie je zegt dat je bent zullen ze je dit soort gegevens wel geven. Ik zou eerlijk gezegd niet bij een partij willen zitten die dit niet doet; als je in het buitenland zit en de kaartgegevens nodig hebt maar bijv de kaart vergeten bent lijkt het me nogal praktisch.

Ik zeg niet dat dit enkel op basis van naam en adres gebeurt; maar op basis van de gegevens die potentieel uitgelekt zijn kan een hoop informatie gehaald worden die wellicht hier wel toe kunnen lijden.

Better safe then sorry denk ik dan :)
De bank zal je verwijzen naar je creditcard ( pas ), en/of de formulieren van de aanvraag.
Nooit zullen ze de nummers doorgeven, als je de gegevens 'kwijt' bent, om welke reden dan ook, zullen ze hoogstens een nieuwe kaart bezorgen.
aval0ne @Nnoitra26 december 2015 07:50
Ik zou niet bij een bank willen zitten die op basis van een naam en adres het volledige creditcard nummer doorgeven :+
Ik zou niet bij een gaming dienst willen zitten die gecachte paginas met privacygevoelige informatie laat zien. :+

[Reactie gewijzigd door aval0ne op 25 juli 2024 22:09]

Anoniem: 1074 @happyguppy26 december 2015 00:53
Alleen de laatste 2 cijfers waren zichtbaar, daar kan niemand wat mee.
Beetje raar dat een bank je CC blokkeerd om die 2 cijfers.

[Reactie gewijzigd door Anoniem: 1074 op 25 juli 2024 22:09]

Gimmick @Anoniem: 107426 december 2015 07:45
Alleen de laatste 2 cijfers waren zichtbaar, daar kan niemand wat mee.
Beetje raar dat een bank je CC blokkeerd om die 2 cijfers.
Als jij de bank belt, met de woorden "ik denk dat mijn gegevens openbaar liggen via een website" dan is dat al genoeg.
De bank neemt niet de beslissing, die heb jij dan al genomen door te bellen.
De medewerker stelt een paar vragen, en aangezien jij als beller al contact opneemt omdat je het niet vertrouwd, is de enige oplossing op dat moment blokkeren.
( zeker op een feestdag ... je mag al blij zijn dat het een bankmedewerker is, ipv een callcenter )
CEx @Gimmick26 december 2015 10:19
De bank neemt de beslissing.
Het is immers haar verantwoordelijkheid, jij hebt voldaan aan je zorg/meldplicht.
Iedere Euro die hierbij verloren zou gaan komt niet voor jouw rekening.
Dat je is juist prettig aan een CC.
Blokker_1999
@Anoniem: 107426 december 2015 09:27
Daar kan je mee gaan social engineeren.
Anoniem: 1074 @Blokker_199926 december 2015 09:55
Niet met 2 nummers van je CC.
happyguppy @Anoniem: 107426 december 2015 12:05
Deze post verwoord mijn standpunt wellicht wat beter: http://www.neogaf.com/for...p?t=1162196#post190445460

Ook al kunnen direct niets met de gegevens die zijn buitgemaakt; indirect heeft deze informatie wel veel waarde voor mensen met foute bedoelingen - waarmee ze uiteindelijk wel toegang kunnen krijgen bij andere diensten waar je gebruikt van maakt. Het voorbeeld wat ik noemde is wellicht onrealistisch (ook al vind ik het wat naief om assumpties te maken in de trend van "ze geven je deze gegevens over de telefoon toch niet"); maar de gegevens die potentieel zijn buitgemaakt kunnen zeker misbruikt worden door kwaadwillenden.
Gropah @Nnoitra26 december 2015 00:36
Mijn tip is dan ook : ga niet naar je account gegevens toe om spullen weg te halen, want je maakt jezelf dan alleen maar kwetsbaar voor dit probleem
Vexxon @Gropah26 december 2015 09:31
Op zich een goeie tip, maar veel mensen hebben dat waarschijnlijk al gedaan vanwege de steam sales.
Gropah @Vexxon26 december 2015 11:20
Het gaat hier expliciet om de accountgegevens pagina. Daar kon ik zelf alleen op als ik verhuisd ben of nieuwe betaalmethode toe wil voegen. En dat doe ik (en waarschijnlijk met mij veel andere) echt lang niet elke sale
RobinJ1995 @Nnoitra26 december 2015 11:17
Jij lijkt het te hebben over browser caching. Heengaat hier over caching door de server zelf.
Nnoitra @RobinJ199526 december 2015 14:10
Nope, ik heb het over server caching.

Ook daarvoor moet een pagina eerst een keer aangeroepen zijn voordat ie in de cache komt te staan.

Zolang een pagina niet door een gebruiker aangroepen / geopend wordt, zal deze ook niet in welke vorm van caching dan ook komen te staan.
RobinJ1995 @Nnoitra28 december 2015 01:00
Ja, maar het lijkt mij dat het er om gaat dat gewone gebruikers gecachete pagina's te zien kregen die bedoeld waren voor moderators :) Dus dan moet die pagina wel bezocht worden, maar niet door de gebruiker zelf.
Nnoitra @RobinJ199528 december 2015 02:19
Nope.
Het gaat er om dat je de account pagina's, met privacy gevoelige info, van andere gebruikers voor je neus kon krijgen.
Het wel of niet moderator zijn heeft er niets mee te maken. Sterker nog, een mod zou ook die info niet mogen zien!

Als jij of ik of pietje zo rond die tijd persoonlijke gegevens (adres, email, credit card) gewijzigd zouden hebben, dan hebben wij die pagina bezocht en zou die pagina, met onze info, in de server cache terecht zijn gekomen.
Dan had iemand anders, die naar zijn account pagina was gegaan, die cache pagina met onze data voor zijn neus kunnen krijgen

Normaal gesproken horen dergelijke pagina's niet in de cache te komen, want; persoonlijke info. Alleen gebeurde dat nu wel. En dat is een fuck-up van Valce/Steam.
SuperDre @Nnoitra26 december 2015 17:11
Huh? Dus jij beweert als je bv steam niet gebruikt had de laatste paar uur voor het probleem dat er dan niets aan de hand was? Nou ik kan je vertellen dat DAT bullshit is, was namelijk gister bij mijn pa, en die was meer dan 6 weken geleden voor het laatst op steam geweest, en bij hem deed deze problemen ook voor..
Nnoitra @SuperDre26 december 2015 20:11
*zucht*..
Dat is niet het probleem welke ik bedoelde.

Niets aan de hand in de zin van dat jouw privacy gevoelige informatie niet in de cache staat.
Dat je vader ook pagina's van anderen te zien kreeg was niet zozeer een probleem voor hem, maar meer voor de getroffenen.
Rob @Nnoitra26 december 2015 00:31
paniekzaaierij is het niet. als je gegevens op welke manier dan ook bij andere gebruikers te zien is, dan is er iets goed mis...
Nnoitra @Rob26 december 2015 00:32
Dat zijn ze dus niet, tenzij; zie bovenstaande reactie.
Blokker_1999
@Nnoitra26 december 2015 09:23
Het is geen paniekzaaierij. Wanneer ik gegevens heb zoals naam, geboortedatum, laatste cijfers en vervaldatum van een CC kan ik je een leuke mail sturen waar menig persoon zo inloopt omdat alle gegevens kloppen.
Nnoitra @Blokker_199926 december 2015 11:24
Het is paniekzaaierij omdat slechts een klein deel van de gebuikers getroffen is, en dat staat niet in de post
.
Daarbij wordt nergens een waarschuwing geplaatst mbt tot het niet bezoeken van je steam account data pagina of dat je vooral niet je settings in steam aan moet passen.

Door deze paniekzaaierij hebben veel mensen dat waarschijnlijk meteen gedaan waardoor hun pagina's ook in de cache terecht zijn gekomen, waardoor ze mogelijk ook getroffen zijn.

Betere informatie verstrekking zou naar mijn mening helpen om zowel de paniek als het aantal getroffen users enigszins te beperken
jesse111 @Nnoitra26 december 2015 13:10
Een klein deel van de gebruikers? Iedereen die iets aanklikte in de community, market of een andere pagina in steam was getroffen door deze fout.
Ikzelf heb ook een pagina van iemand anders gezien, de kans dat iemand mijn account heeft gezien is ook redelijk groot.

Het stoort mij dat Valve zo stil is en geen informatie of een update geeft, behalve dan die belachelijke statement op een random website die niet eens van hun is.
Nnoitra @jesse11126 december 2015 14:07
Ja, een klein deel van de gebruikers.
Iemand kan per ongeluk andermans profiel of andere pagina gezien hebben, big deal. Daar staat over het algemeen weinig gevoelige info.

De ernstige gevallen zijn de pagina's waar persoonlijke informatie, zoals creditcard nummer en email adressen, te zien was.
En dat betreft slechts een klein deel van de gebruikers.
Rob @Nnoitra26 december 2015 00:36
een caching probleem die rarw dingen doet is nooit goed.

op het forum lees ik van meerdere mensen dat ze gegevens hebben gezien van anderen. als dat komt door caching, kan snel gebeuren, dan is dat heel verkeerd.
Nnoitra @Rob26 december 2015 00:40
Ik zeg ook niet dat het goed is, maar het beperkt wel heel erg de schade.
Als jij geen pagina met credit card / email / etc etc hebt bezocht, dan is er geen caching pagina beschikbaar en is er dus niets aan de hand.

Beter dit dan dat de info van iedereen in te zien zou zijn. ;)
Rob @Nnoitra26 december 2015 00:43
ik heb niet eens een account :) maar ben van mening dat een f* up als deze niet bij Steam mag plaatsvinden.
Rockvee2 @Nnoitra26 december 2015 10:44
Maar het zijn jou gegevens die op de pagina staan die nu publieklijk op het internet stonden .Dit is niet de eerste fout bij Valve/Steam . Steam Guard heeft dus ook geen nut. Ik verwacht volgende week antwoord op mijn mail voor Steam. Dit vind ik schandalig.
EnigmaNL 26 december 2015 00:15
Steam was volgens een Steam community moderator niet gehackt en creditcard informatie en telefoonnummers zijn ook niet gelekt. Sticky op het forum.
DieEneGozer @EnigmaNL26 december 2015 00:24
Best wel logisch dat ze zeggen dat ze niet gehackt zijn... Anders zou dit grapje miljoenen gaan kosten.
!mark @EnigmaNL26 december 2015 00:43
In hoeverre kan een Vrijwillige community Moderator daar inzicht in geven?

Hier kan een Moderator voor zo ver ik weet ook zeker niet zien of de site gehackt is of dat er technisch wat misgaat. Dat zal toch echt vanuit het admin team moeten komen.


Ik neem die sticky met een korrel zout iig ;)
MatthiasL @!mark26 december 2015 02:00
Ze staan wel gewoon in contact met Valve en gaan heus niet zulke statements maken als ze het niet verdomde zeker weten ;)
Gimmick @MatthiasL26 december 2015 07:40
Ze staan wel gewoon in contact met Valve en gaan heus niet zulke statements maken als ze het niet verdomde zeker weten ;)
Ik heb op dverse fora statements gezien die soms nog ernstiger waren, en vervolgens totaal uit de hand liepen.
en na een paar dagen verdween het bericht, om nooit meer terug te komen ....

( misschien is het forum wel gehackt ? - of wordt dat als 'reden' gebracht zodra het 'echt' bekend is )
Nnoitra @EnigmaNL26 december 2015 01:06
Please note this is not an official statement, it's a statement from me. I was just going by the information available to me at the time, which included me landing on a seemingly other users account page where I could see censored information.

The account page (as everyone can see) censors the information and only displays the last 2 digits, which is something I assume to be a legal requirement as every web store does it (or a so called, recommended security practice - or similar)

http://steamcommunity.com...3908/#c458604254431824979
aadje93 @EnigmaNL26 december 2015 08:17
doet me hier aan denken :+
John Doos 26 december 2015 00:13
Mijn maten en ik schrokken ons kapot :+

Advies is om niet uit te loggen van mobiele apps, en uiteraard goed je Paypal/CC en email in de gaten te houden.

EDIT:
Weet niet hoe legitiem deze bron is, maar deze bericht handige info.
https://twitter.com/SteamDB?ref_src=twsrc%5Etfw

[Reactie gewijzigd door John Doos op 25 juli 2024 22:09]

The Zep Man
@John Doos26 december 2015 00:15
Advies is om niet uit te loggen van mobiele apps, en uiteraard goed je Paypal/CC en email in de gaten te houden.
Volgens mij is voor misbruik van PayPal nog steeds het PayPal wachtwoord, dat Steam niet heeft.
elmuerte @The Zep Man26 december 2015 02:19
Ik kan in Steam via Paypal games kopen zonder een wachtword in te voeren. En ik weet niet hoe ik dit kan uitzetten, want dit bevalt me absoluut niet.
Nnoitra @elmuerte26 december 2015 14:24
Hoef je ook niet bij Paypal zelf nog een wachtwoord in te voeren?

Ik moet dat wel.
Op de Paypal site --> myaccount/settings/ heb je ergens onderin staan "vooraf goedgekeurde betalingen".
Als Steam daar tussen staat, heb je dat naar alle waarschijnlijkheid zelf al eens aangezet
Maar daar kun je het ook weer uitzetten! :)
Dan ga je vanuit Steam netjes naar je Paypal account toe waar je vervolgens eerst in moet loggen.
elmuerte @Nnoitra26 december 2015 21:50
Dat was het, bedankt. Ik kan me niet herinneren dat ik dat ooit expliciet aangezet heb.
SuperDre @elmuerte26 december 2015 17:02
Waarschijnlijk heb je gewoon op het betreffende device 'ingelog blijven' bij paypal aan staan..
WhatsappHack
@SuperDre27 december 2015 02:59
Nah je hebt bij PayPal "geauthoriseerde betalingen", dan mag de toko die je toestemming geeft afschrijven wat ze maar willen wanneer ze maar willen zonder dat jij ooit ook maar een PayPal schermpje krijgt. Soort van toestemming tot automatisch incasso. (Niet te verwarren met recurring monthly payments!)

Dit wordt erg slecht vermeld en is vaak heel onduidelijk. Je kan het eraan merken als je inlogt op PayPal voor betalen, op OK drukt zonder een betaling te zien en je geredirect wordt terug naar de site waar je dan je order kan bevestigen... Dan is er dus een payment profile aangemaakt. Heel irritante functie en je moet goed lezen wil je 't door hebben.

Wat in dezen dan wel een voordeel is, is dat die betalingen enkel te doen zijn op jouw Steam account. Dus het is niet zo dat de hacker allerlei shit voor zichzelf kan kopen. Het is hoogstens vervelend en moeten er wat betalingen teruggedraaid worden, maar het is niet zo dat de hackers je geld kunnen jatten.

[Reactie gewijzigd door WhatsappHack op 25 juli 2024 22:09]

The_Worst @elmuerte26 december 2015 04:01
https://store.steampowered.com/account/

Bovenste rij kan je geassocieerde betalingsmogelijkheden verwijderen.
TunefulDJ_Mike @The Zep Man26 december 2015 00:39
Ja alleen waren users die jouw account in konden zien mogelijk instaat aankopen te doen binnen jouw steam account met gelinkte paypal. Daar heb je dan geen wachtwoord voor nodig.
Anoniem: 1074 @TunefulDJ_Mike26 december 2015 01:30
Dat zou alleen werken als je daadwerkelijk als die persoon ingelogd was, niet als je een gecachede pagina ziet.
aadje93 @Anoniem: 107426 december 2015 08:16
hmm, als de pagina een unieke identifier bevat door een cookie die geplaatst is (van de cache versie) is het dan niet mogelijk dat er inderdaad mensen "als anderen" dingen konden doen?
R4gnax
@aadje9326 december 2015 09:52
hmm, als de pagina een unieke identifier bevat door een cookie die geplaatst is (van de cache versie) is het dan niet mogelijk dat er inderdaad mensen "als anderen" dingen konden doen?
Als er een gecachte pagina met bijv. een Set-Cookie header terug gegeven zou worden waardoor jij de session cookie zou overnemen van die gecachte gebruiker, dan wel ja.

Gelukkig zou dat alleen moeten gebeuren tijdens inloggen en niet tijdens gewoon door de store heen navigeren.
TunefulDJ_Mike @Anoniem: 107426 december 2015 11:23
Nu moet ik wel eerlijk zeggen dat ik tijdens die storing een aantal producten aan mijn whislist heb toegevoegd die ik mooi niet terug zie. Dus of ze zijn helemaal niet toegevoegd ( wat ik best kan begrijpen) of iemand anders heeft ineens random stuff op zijn whislist staan
Heer Bommel 26 december 2015 01:22
Vooraf: ik heb helemaal niks met Steam, nog nooit gebruikt, weet eigenlijk niet eens goed wat het is. Maar toch met belangstelling dit draadje gevolgd. Wat me vooral opvalt, is dat er een paar mensen zijn, die elke argument van anderen om iets niet te doen/voorzichtig te zijn/de zaak in de gaten te houden meteen menen te moeten weerleggen met antwoorden als: "Maar je kon niet het hele CC-nummer zien, dus niks aan de hand." of "Het is maar een cache-pagina." of "Wat een paniek om niks."

Tenzij je bij Steam werkt, en precies weet wat er aan de hand is, lijken me dit nogal gewaagde uitspraken. We hebben de laatste jaren wel onwaarschijnlijker zaken zien gebeuren op Internet. Ik zou zeggen: wacht eerst maar 'ns een paar dagen af, totdat Steam de zaak weer op orde heeft (of niet), en ga niet als woordvoerder van Steam fungeren.
CEx @Heer Bommel26 december 2015 10:26
En zo worden er veel enge dingen geroepen, die ook totaal overdreven zijn.

Je CC transacties eenmaal per maand controleren is voldoende om de verantwoordelijkheid bij fraude bij de CC maatschappij te leggen.

Steam is ook verplicht dit lek te melden bij de maatschappijen om (grotere) sancties tegen Steam te voorkomen.
Zezura @Heer Bommel26 december 2015 02:59
Ik neem aan dat met huidige info die bekent is wel duidelijk is dat hier van een mug een olifant wordt gemaakt.

Ik bedoel pagina's in andere talen en user cached pagina's is het niet zo spannend je kan er ook vrij weinig mee. Het is meestal ook info die algemeen op internet te vinden is.

En de payment info is niet veel mee te doen. Je ziet een email adres of laatste creditcard cijfers.
Echt niet spannend.
Die zijn echt zo terug te vinden.. E-mails die naar personen verstuurd worden, als je een product gekocht hebt bevat hetzelfde. En dat is ook onbeveiligd.
R4gnax
@Zezura26 december 2015 11:09
Ik neem aan dat met huidige info die bekent is wel duidelijk is dat hier van een mug een olifant wordt gemaakt.

Ik bedoel pagina's in andere talen en user cached pagina's is het niet zo spannend je kan er ook vrij weinig mee. Het is meestal ook info die algemeen op internet te vinden is.
Als mensen een credit card betalingsmethode opgeslagen hadden staan, dan was via die weg de informatie voor factuuradres uit te lezen: alle NAW gegevens. Via de aankoophistorie waren bij aankopen met credit card daarnaast niet de laatste 2, maar de laatstse 4 digits van het kaartnummer zichtbaar.

De Steam account naam, je echte naam, je echte adres en de laatste 4 digits van het creditcardnummer is alles wat iemand nodig heeft om een account recovery procedure te starten bij Valve's support afdeling en zo iemands account afhandig te maken. En er zijn legio andere bedrijven waar dit net zo is.

Begin dus alsjeblieft niet met die onzin dat het allemaal wel mee valt en dat er met gegevens niets begonnen kan worden.
Zezura @R4gnax26 december 2015 13:08
deze gegevens zijn toch gewoon toegankelijk voor iedereen, veel bedrijven hebben vortaan een policy waarbij je een sms code krijgt, en zo ook bij steam. daarbij krijg jijzelf ook een email als er iets veranderd. bij blizzard bijvoorbeeld moet je je ID kopie opsturen om weer toegang te krijgen tot je account.
SuperDre @Heer Bommel26 december 2015 17:20
Juist, maar dat moet je dus ook doen met de berichten van de paniekzaaiers...
xDiglett 26 december 2015 00:25
"Our research indicates that it was not possible to do any actions on behalf of other users."
Crazy4ever 26 december 2015 00:32
Voor de mensen die graag geinformeerd willen worden, let hier op!

https://www.reddit.com/r/...ng_with_steam_be_careful/
Splinter Cell 26 december 2015 00:38
Ook al waren de pagina's misschien "read-only", met een e-mailadres liggen de phishers wel op de loer.
justguy 26 december 2015 00:42
ik wacht meer even totdat valve een officiële bevestiging geeft dan ben ik weer zeker van me zaak
jugger naut 26 december 2015 00:42
Op het topic op reddit gelezenb dat er wel degelijk mensen zijn die volledige creditcard informatie te zien hebben gekregen, kwalijke zaak... Ik ben benieuwd naar het bericht van Valve.
https://www.reddit.com/r/...ng_with_steam_be_careful/
Anoniem: 1074 @jugger naut26 december 2015 00:56
Dat liegen ze dan, aangezien Steam verplicht is om niet het volledige CC nummer weer te geven.
R4gnax
@Anoniem: 107426 december 2015 10:07
Dat liegen ze dan, aangezien Steam verplicht is om niet het volledige CC nummer weer te geven.
misschien wordt er de volledige billing information, d.w.z. NAW gegevens, bedoeld?
Want die was (via een omweg) wel volledig in te zien.
Anoniem: 1074 @R4gnax26 december 2015 10:09
Ja ok, maar dat is niet je volledige CC info.
R4gnax
@Anoniem: 107426 december 2015 10:24
Als men 'CC-info' als term gaat gebruiken, dan wordt er vaak de volledige set met billing address, expiratie datum, etc. bedoeld en niet alleen het CC-nummer.

De combinatie van volledige naam; adres; en de laatste cijfers CC zijn al voldoende om bijv. via Steam's eigen support afdeling een account recovery procedure te starten. Ik kan me levendig indenken dat dit bij andere bedrijven waar getroffen gebruikers geregistreerd staan ook zo zal zijn.

Heel gevaarlijk, dus.
useruser 26 december 2015 00:43
Ik zag ook een deel van iemand anders zijn visa nummer. Telefoon nummer en email waren zichtbaar. Purchase history was inzichtelijk.

Slechte zaak dit...
SuperDre @useruser26 december 2015 17:13
Nou telefoonnummer zag ik toch ook echt alleen de laatste 2 cijfers...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq