Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 170 reacties
Submitter: x86dev

Steam kampt met beveiligingsproblemen die ervoor zorgen dat gebruikers persoonlijke gegevens van anderen te zien krijgen. Veel klanten van de gamedienst hebben aangegeven dat onder andere delen van creditcardgegevens zichtbaar zijn.

Op sociale netwerken zoals Twitter en Reddit zijn meldingen binnengekomen van gebruikers die vergelijkbare ervaringen met Steam hebben. Zij lijken van willekeurige gebruikers de accountgegevens in te kunnen zien, waaronder persoonlijke data zoals betaalgegevens. Volgens The Verge zijn er nog andere dingen die niet helemaal goed gaan, zoals het tonen van de interface in de verkeerde taal en spontaan uitloggen.

De Steam Store is vrijdagavond enige tijd offline geweest, wat er op wijst dat men bezig is geweest de problemen te verhelpen. Het is nu weer mogelijk in te loggen, maar op moment van schrijven is niet bekend of de problemen ook al volledig verholpen zijn.

Het is onduidelijk wat de reden is dat gebruikers andermans gegevens te zien krijgen, maar mogelijk heeft het te maken met cachingproblemen. Ondanks de accountproblemen in de winkel blijven games die bij Steam zijn aangeschaft wel gewoon speelbaar.

Update 9:57 uur: Valve heeft bevestigd dat de problemen zijn opgelost. Het tonen van andermans gebruikersgegevens had volgens het bedrijf inderdaad te maken met caching.

Moderatie-faq Wijzig weergave

Reacties (170)

Beetje paniekzaaierij deze FP.

Door waarschijnlijk een DDOS aanval zijn er ge-cache'te pagina's aan willekeurige gebruikers getoond.
Op die pagina's stonden de laatste cijfers van credit cards, email adressen en nog wat andere informatie.

Om een pagina in de cache te krijgen, moet die pagina wel eerst bezocht worden.
Heb je de afgelopen uren geen pagina bezocht waar dergelijke gegevens op staat, dan is er dus ook geen cache versie van die pagina en is er dus niets aan de hand.

Een plaatje van wat er aan de hand was, werd hier gepost.
http://i.imgur.com/ApBWhmh.png

[Reactie gewijzigd door Nnoitra op 26 december 2015 15:05]

waarom moeten de delen met individuele gegevens gecached worden, dat is toch een dynamischs stuk van de pagina? Gewoon plain html van de tekst en dat kleine stukje als php uitvoer tonen?
Volgens mij maken alle grote sites tegenwoordig gebruik van cache om te zorgen dat de pagina niet telkens opnieuw gegenereerd moet worden. Dat bespaart aan de serverkant weer cpu tijd en daardoor kan de pagina sneller geserveerd worden indien deze vaker achter elkaar bezocht wordt.
Klopt, cachen is belangrijk om de responsetijd te verbeteren, maar gebruikersgegevens cachen zou je mijns inziens nooit moeten doen.
Kijk jij elke dag naar je gebruikersgegevens dan? :P

Cachen is zinvol, het offload vooral CPU & RAM aan de andere kant.
Juist omdat je niet elke dag kijkt naar je 'wijzig mijn gegevens' / 'betalingsgegevens' pagina's is het nutteloos die specefieke pagina's te cachen

Cachen doe je namelijk alleen voor pagina's die wel druk bezocht worden
Precies en cachen heeft vooral zin bij die data die het meest bevraagd worden en dus voor alle gebruikers opgevraagd kunnen worden. Gebruikersgegevens vallen dan bij voorbaat af, want je wil niet dat profielen voor iedereen inzichtelijk zijn. Al weet ik niet of dat hier ook aan de hand is
Klopt, als een dienstverlener moet je geen gebruiker gegevens cachen.
Dat was dus ook het probleem, dat er te veel gecached werd. ;)
Het waarom is vooralsnog niet bekend, misschien wel nooit.

Het zou zomaar kunnen dat die pagina's normaal gesproken nooit in de cache terecht komen maar dat de massale DDOS aanval de systemen dermate in de war heeft geschopt dat het wel gebeurde. Of dat het een settings is die actief wordt bij een hele hoge load.
Ik denk niet dat Valve/Steam de ware reden gaat mededelen.

Wat ook de oorzaak is; het is niet goed te praten en ze zullen is moeten doen om dit soort situaties in de toekomst te voorkomen.

--- edit --
En toen zag ik hieronder staan dat het inderdaad een condig fout was.
* Nnoitra gaat toch maar ff dat 2e bakje koffie drinken :+

[Reactie gewijzigd door Nnoitra op 26 december 2015 11:30]

Ik probeer nochtans al twee uur mijn accountgegevens te bekijken. Dit lukt me nog steeds niet. Krijg steeds de melding probeer later opnieuw. Twee uur geleden stond heel mijn Steam plots in het Russisch, nadien in het Duits en zag ik de gegevens van mensen uit die landen. Toch net iets meer aan de hand dan 'paniekzaaierij' lijkt me.
Steam even opnieuw opstarten en het werkt weer. Anders in je browser even je cache en cookies wissen.
Ok, doe ik, heb ik voordien reeds meerdere malen geprobeerd, maar toen kon ik niet meer inloggen. Heb ccleaner gebruikt, pc herstart, etc...
Ik probeer het nogmaals
Vreemd, bij mij werkte het meteen weer na een herstart van Steam. Wellicht dat Steam nog niet helemaal normaal werkt. Zal morgenochtend vast wel opgelost zijn.
Nu diende ik mijn e-mail-adres terug te verifiŽren en kon ik op de steam-applicatie terug inloggen. Via de browser inloggen op Steam lukt nog steeds niet. Ik zal maar stoppen met proberen dan ;).
Dat jij pagina's in andere talen zag, is dus het caching probleem.
Die mensen hebben hun account pagina, in hun taal, bezocht en dat is in de cache terecht gekomen.

Als jij de afgelopen uren niet op je account pagina bent geweest, wat dus ook geadviseerd werd, dan is er voor jou vooralsnog niets aan de hand.
Geadviseerd door wie?? Steam heeft me niet op de hoogte gebracht alvorens deze ellende zich aan diende, pas nadat ik zelf op onderzoek uitging kwam ik erachter dat er een hackers groep had aangekondigd steam te gaan aanvallen.

Dat ik dit op zo'n beetje elke buitenlandse tech site moet vernemen vind ik treurig, daar was deze kennis er al een aantal dagen terwijl we hier in het duister tasten.

Steam doet het trouwens af als een configuratie fout door een verandering eerder die dag, wat twijfelachtig is want op het moment van de crash was er zeer veel data verkeer te zien op deze kaart http://www.digitalattackm...ist=0&time=16795&view=map

[Reactie gewijzigd door koudepinda op 26 december 2015 16:22]

Ik snap ook niet hoe een DDOS kan zorgen voor het afleveren van een foutieve pagina of hoe je daarbij komt. Het is veel aannemelijker dat iemand met kerstmis (sommige mensen werken gewoon op die dag) een fout in de config van de caching server heeft gezet.

--edit--
Steam heeft aan gamespot enkele uren terug bevestigd dat het inderdaad om een configuratiefout zou zijn gegaan en deze heeft niet meer dan een uur bestaan: http://www.gamespot.com/a...ers-account/1100-6433371/

[Reactie gewijzigd door Blokker_1999 op 26 december 2015 10:06]

Ik snap ook niet hoe een DDOS kan zorgen voor het afleveren van een foutieve pagina of hoe je daarbij komt.
Engineers gaan niet voor de lol met de kerst klooien met configuratiebestanden die te maken hebben met caching, ook bij Valve zullen ze wel een Christmas freeze hebben met betrekking tot deployments, configuratie changes, etc.

Wat mij waarschijnlijk lijkt is dat ze als antwoord op de DDOS (die wel degelijk heeft plaatsgevonden) meer caching servers neer hebben gezet, of de caching agressiever wilde maken, om zo de daadwerkelijke back-end servers minder load te bezorgen. Maar omdat ze snel moesten handelen zijn ze het vergeten goed te testen, en hebben ze zo een brakke configuratie deployed.

Dit is uiteraard slechts speculatie, maar het lijkt me aannemelijker dan dat ze regulier onderhoud plegen tijdens de Kerst.
Steam ziet juist honderd keer zoveel verkeer tijdens kerst met al die sales. Ik wed dat er nog genoeg man aan het werk is daar tijdens de feestdagen. Wellicht was de configuratie-aanpassing om de load beter te verdelen.
niet meer dan een uur
Helaas is het wel zo dat met een foutieve cache configuratie, andere caching proxies die niet meer onder Valve's besturing liggen, ook die pagina's mogen gaan cachen. En als daar een beetje lange expiration time op zit, wil dat zeggen dat veel mensen die pagina's tot in lengte van maanden kunnen blijven zien.


Dus als Valve dit probleem probeert te bagatelliseren door te claimen dat het maar heel eventjes gespeeld heeft, dan hebben ze het goed mis.
Voor jouw informatie; mijn bank (een van de grootse van Nederland) vond nadat ik contact met ze opnam en vertelde welke gegevens er precies(!) mogelijk zichtbaar zichtbaar zijn geweest de situatie te risicovol en hebben mijn creditcard geblokkeerd.

Ik zou als je vandaag ingelogged bent geweest op steam EN je creditcard gegevens hebt gekoppeld dus maar de voorzorg nemen.

Hiernaast bleek zojuist (ik kon weer inloggen) dat mijn voorheen gekoppelde creditcard informatie verwijdert is. Ik heb dit zelf niet gedaan; en ik heb de goede hoop dat steam zo verstandig is geweest bij gebruikers die mogelijk beinvloed zijn door dit cache probleem de creditcard informatie te verwijderen (het resultaat is een veiligheidsprobleem; maar de post door Tweakers hierboven suggereert dat het van origine een veiligheidsprobleem is, wat niet klopt). Als dit niet zo is dan betekent dit dat iemand anders mijn profiel heeft gezien en zo aardig is geweest mijn kaart te verwijderen.

Al met al erg zorgelijk; ik vertrouw steam mijn gegevens vanaf nu niet meer toe, en ik hoop dat we snel iets meer informatie vanuit Valve krijgen.
Als je niet op een steam pagina bent geweest waar dergelijke informatie staat, is er ook geen caching pagina van jouw informatie.

Als je een caching pagina van iemand anders voor je neus kreeg, dan was je niet in staat om daar iets mee te doen , laat staan credit card info aanpassen of verwijderen.

Dat hij bij jouw ontkoppeld is, zou zomaar te makken kunnen hebben met credit card blokkade die je bank geregeld heeft..

En die bank dekt zichzelf natuurlijk ook zo snel mogelijk in door de boel te blokkeren; voorkomen is beter dan genezen ;)

[Reactie gewijzigd door Nnoitra op 26 december 2015 00:55]

Ik ben vandaag eerder dus wel op die pagina geweest, vandaar dat ik het zekere voor het onzekere heb genomen. Als je al deze gegevens combineert met elkaar, en daarnaast iemand zijn adres hebt (welke je wellicht kunt googlen obv username / locatie) dan kan je bijv. de creditcard maatschappij bellen en daarmee het volledige nummer achterhalen. Hiermee kan je dan in sommige landen aankopen doen zonder CCV. Het is dus niet zo simpel als "ah ze konden maar 2 cijfers van m'n creditcard zien"; er is potentieel veel meta informatie over personen buitgemaakt welke door kwaadwillenden gecombineerd en misbruikt kan worden.

Assumption is the mother of all fuckups :)

[Reactie gewijzigd door gerbenvandijk op 26 december 2015 00:58]

Ik zou niet bij een bank willen zitten die op basis van een naam en adres het volledige creditcard nummer doorgeven :+
Zolang je redelijkerwijs kan vertellen dat jij bent wie je zegt dat je bent zullen ze je dit soort gegevens wel geven. Ik zou eerlijk gezegd niet bij een partij willen zitten die dit niet doet; als je in het buitenland zit en de kaartgegevens nodig hebt maar bijv de kaart vergeten bent lijkt het me nogal praktisch.

Ik zeg niet dat dit enkel op basis van naam en adres gebeurt; maar op basis van de gegevens die potentieel uitgelekt zijn kan een hoop informatie gehaald worden die wellicht hier wel toe kunnen lijden.

Better safe then sorry denk ik dan :)
Geloof me een bank gaat echt niet over de telefoon credit card gegevens vertellen aan wie of voor welke reden dan ook.
Nee inderdaad.. Zelfs om de kleinste dingen controleren ze je ID en handtekening, en of dit correct op je pas staat.. Ik had mijn pas niet getekend en moest hem daar per direct alsnog tekenen.
Die vind ik nog altijd absurd. Als hij niet getekend werd bij afhaling kan jij nog altijd de pas gestolen hebben. Ben zo ooit ook eens iemand tegengekomen die wilde betalen in de wonkel met een CC die niet getekend was, moest dat ter plaatse doen. Dan denk je echt: wat is daar het nut van? Als hij gestolen s maakt het ook niet meer uit.
controleerde wel eerst mijn identiteit (dat ik ook echt een pashouder was).
Wat heeft dat met een bank die over de telefoon credit card gegevens geeft te maken?
Zolang je redelijkerwijs kan vertellen dat jij bent wie je zegt dat je bent zullen ze je dit soort gegevens wel geven. Ik zou eerlijk gezegd niet bij een partij willen zitten die dit niet doet; als je in het buitenland zit en de kaartgegevens nodig hebt maar bijv de kaart vergeten bent lijkt het me nogal praktisch.

Ik zeg niet dat dit enkel op basis van naam en adres gebeurt; maar op basis van de gegevens die potentieel uitgelekt zijn kan een hoop informatie gehaald worden die wellicht hier wel toe kunnen lijden.

Better safe then sorry denk ik dan :)
De bank zal je verwijzen naar je creditcard ( pas ), en/of de formulieren van de aanvraag.
Nooit zullen ze de nummers doorgeven, als je de gegevens 'kwijt' bent, om welke reden dan ook, zullen ze hoogstens een nieuwe kaart bezorgen.
Ik zou niet bij een bank willen zitten die op basis van een naam en adres het volledige creditcard nummer doorgeven :+
Ik zou niet bij een gaming dienst willen zitten die gecachte paginas met privacygevoelige informatie laat zien. :+

[Reactie gewijzigd door aval0ne op 26 december 2015 07:50]

Alleen de laatste 2 cijfers waren zichtbaar, daar kan niemand wat mee.
Beetje raar dat een bank je CC blokkeerd om die 2 cijfers.

[Reactie gewijzigd door Prometheus op 26 december 2015 00:54]

Alleen de laatste 2 cijfers waren zichtbaar, daar kan niemand wat mee.
Beetje raar dat een bank je CC blokkeerd om die 2 cijfers.
Als jij de bank belt, met de woorden "ik denk dat mijn gegevens openbaar liggen via een website" dan is dat al genoeg.
De bank neemt niet de beslissing, die heb jij dan al genomen door te bellen.
De medewerker stelt een paar vragen, en aangezien jij als beller al contact opneemt omdat je het niet vertrouwd, is de enige oplossing op dat moment blokkeren.
( zeker op een feestdag ... je mag al blij zijn dat het een bankmedewerker is, ipv een callcenter )
De bank neemt de beslissing.
Het is immers haar verantwoordelijkheid, jij hebt voldaan aan je zorg/meldplicht.
Iedere Euro die hierbij verloren zou gaan komt niet voor jouw rekening.
Dat je is juist prettig aan een CC.
Daar kan je mee gaan social engineeren.
Niet met 2 nummers van je CC.
Deze post verwoord mijn standpunt wellicht wat beter: http://www.neogaf.com/for...p?t=1162196#post190445460

Ook al kunnen direct niets met de gegevens die zijn buitgemaakt; indirect heeft deze informatie wel veel waarde voor mensen met foute bedoelingen - waarmee ze uiteindelijk wel toegang kunnen krijgen bij andere diensten waar je gebruikt van maakt. Het voorbeeld wat ik noemde is wellicht onrealistisch (ook al vind ik het wat naief om assumpties te maken in de trend van "ze geven je deze gegevens over de telefoon toch niet"); maar de gegevens die potentieel zijn buitgemaakt kunnen zeker misbruikt worden door kwaadwillenden.
Mijn tip is dan ook : ga niet naar je account gegevens toe om spullen weg te halen, want je maakt jezelf dan alleen maar kwetsbaar voor dit probleem
Op zich een goeie tip, maar veel mensen hebben dat waarschijnlijk al gedaan vanwege de steam sales.
Het gaat hier expliciet om de accountgegevens pagina. Daar kon ik zelf alleen op als ik verhuisd ben of nieuwe betaalmethode toe wil voegen. En dat doe ik (en waarschijnlijk met mij veel andere) echt lang niet elke sale
Jij lijkt het te hebben over browser caching. Heengaat hier over caching door de server zelf.
Nope, ik heb het over server caching.

Ook daarvoor moet een pagina eerst een keer aangeroepen zijn voordat ie in de cache komt te staan.

Zolang een pagina niet door een gebruiker aangroepen / geopend wordt, zal deze ook niet in welke vorm van caching dan ook komen te staan.
Ja, maar het lijkt mij dat het er om gaat dat gewone gebruikers gecachete pagina's te zien kregen die bedoeld waren voor moderators :) Dus dan moet die pagina wel bezocht worden, maar niet door de gebruiker zelf.
Nope.
Het gaat er om dat je de account pagina's, met privacy gevoelige info, van andere gebruikers voor je neus kon krijgen.
Het wel of niet moderator zijn heeft er niets mee te maken. Sterker nog, een mod zou ook die info niet mogen zien!

Als jij of ik of pietje zo rond die tijd persoonlijke gegevens (adres, email, credit card) gewijzigd zouden hebben, dan hebben wij die pagina bezocht en zou die pagina, met onze info, in de server cache terecht zijn gekomen.
Dan had iemand anders, die naar zijn account pagina was gegaan, die cache pagina met onze data voor zijn neus kunnen krijgen

Normaal gesproken horen dergelijke pagina's niet in de cache te komen, want; persoonlijke info. Alleen gebeurde dat nu wel. En dat is een fuck-up van Valce/Steam.
Huh? Dus jij beweert als je bv steam niet gebruikt had de laatste paar uur voor het probleem dat er dan niets aan de hand was? Nou ik kan je vertellen dat DAT bullshit is, was namelijk gister bij mijn pa, en die was meer dan 6 weken geleden voor het laatst op steam geweest, en bij hem deed deze problemen ook voor..
*zucht*..
Dat is niet het probleem welke ik bedoelde.

Niets aan de hand in de zin van dat jouw privacy gevoelige informatie niet in de cache staat.
Dat je vader ook pagina's van anderen te zien kreeg was niet zozeer een probleem voor hem, maar meer voor de getroffenen.
paniekzaaierij is het niet. als je gegevens op welke manier dan ook bij andere gebruikers te zien is, dan is er iets goed mis...
Dat zijn ze dus niet, tenzij; zie bovenstaande reactie.
Het is geen paniekzaaierij. Wanneer ik gegevens heb zoals naam, geboortedatum, laatste cijfers en vervaldatum van een CC kan ik je een leuke mail sturen waar menig persoon zo inloopt omdat alle gegevens kloppen.
Het is paniekzaaierij omdat slechts een klein deel van de gebuikers getroffen is, en dat staat niet in de post
.
Daarbij wordt nergens een waarschuwing geplaatst mbt tot het niet bezoeken van je steam account data pagina of dat je vooral niet je settings in steam aan moet passen.

Door deze paniekzaaierij hebben veel mensen dat waarschijnlijk meteen gedaan waardoor hun pagina's ook in de cache terecht zijn gekomen, waardoor ze mogelijk ook getroffen zijn.

Betere informatie verstrekking zou naar mijn mening helpen om zowel de paniek als het aantal getroffen users enigszins te beperken
Een klein deel van de gebruikers? Iedereen die iets aanklikte in de community, market of een andere pagina in steam was getroffen door deze fout.
Ikzelf heb ook een pagina van iemand anders gezien, de kans dat iemand mijn account heeft gezien is ook redelijk groot.

Het stoort mij dat Valve zo stil is en geen informatie of een update geeft, behalve dan die belachelijke statement op een random website die niet eens van hun is.
Ja, een klein deel van de gebruikers.
Iemand kan per ongeluk andermans profiel of andere pagina gezien hebben, big deal. Daar staat over het algemeen weinig gevoelige info.

De ernstige gevallen zijn de pagina's waar persoonlijke informatie, zoals creditcard nummer en email adressen, te zien was.
En dat betreft slechts een klein deel van de gebruikers.
een caching probleem die rarw dingen doet is nooit goed.

op het forum lees ik van meerdere mensen dat ze gegevens hebben gezien van anderen. als dat komt door caching, kan snel gebeuren, dan is dat heel verkeerd.
Ik zeg ook niet dat het goed is, maar het beperkt wel heel erg de schade.
Als jij geen pagina met credit card / email / etc etc hebt bezocht, dan is er geen caching pagina beschikbaar en is er dus niets aan de hand.

Beter dit dan dat de info van iedereen in te zien zou zijn. ;)
ik heb niet eens een account :) maar ben van mening dat een f* up als deze niet bij Steam mag plaatsvinden.
Maar het zijn jou gegevens die op de pagina staan die nu publieklijk op het internet stonden .Dit is niet de eerste fout bij Valve/Steam . Steam Guard heeft dus ook geen nut. Ik verwacht volgende week antwoord op mijn mail voor Steam. Dit vind ik schandalig.
Steam was volgens een Steam community moderator niet gehackt en creditcard informatie en telefoonnummers zijn ook niet gelekt. Sticky op het forum.
Best wel logisch dat ze zeggen dat ze niet gehackt zijn... Anders zou dit grapje miljoenen gaan kosten.
In hoeverre kan een Vrijwillige community Moderator daar inzicht in geven?

Hier kan een Moderator voor zo ver ik weet ook zeker niet zien of de site gehackt is of dat er technisch wat misgaat. Dat zal toch echt vanuit het admin team moeten komen.


Ik neem die sticky met een korrel zout iig ;)
Ze staan wel gewoon in contact met Valve en gaan heus niet zulke statements maken als ze het niet verdomde zeker weten ;)
Ze staan wel gewoon in contact met Valve en gaan heus niet zulke statements maken als ze het niet verdomde zeker weten ;)
Ik heb op dverse fora statements gezien die soms nog ernstiger waren, en vervolgens totaal uit de hand liepen.
en na een paar dagen verdween het bericht, om nooit meer terug te komen ....

( misschien is het forum wel gehackt ? - of wordt dat als 'reden' gebracht zodra het 'echt' bekend is )
Please note this is not an official statement, it's a statement from me. I was just going by the information available to me at the time, which included me landing on a seemingly other users account page where I could see censored information.

The account page (as everyone can see) censors the information and only displays the last 2 digits, which is something I assume to be a legal requirement as every web store does it (or a so called, recommended security practice - or similar)

http://steamcommunity.com...3908/#c458604254431824979
Mijn maten en ik schrokken ons kapot :+

Advies is om niet uit te loggen van mobiele apps, en uiteraard goed je Paypal/CC en email in de gaten te houden.

EDIT:
Weet niet hoe legitiem deze bron is, maar deze bericht handige info.
https://twitter.com/SteamDB?ref_src=twsrc%5Etfw

[Reactie gewijzigd door Ultimo op 26 december 2015 00:14]

Advies is om niet uit te loggen van mobiele apps, en uiteraard goed je Paypal/CC en email in de gaten te houden.
Volgens mij is voor misbruik van PayPal nog steeds het PayPal wachtwoord, dat Steam niet heeft.
Ik kan in Steam via Paypal games kopen zonder een wachtword in te voeren. En ik weet niet hoe ik dit kan uitzetten, want dit bevalt me absoluut niet.
Hoef je ook niet bij Paypal zelf nog een wachtwoord in te voeren?

Ik moet dat wel.
Op de Paypal site --> myaccount/settings/ heb je ergens onderin staan "vooraf goedgekeurde betalingen".
Als Steam daar tussen staat, heb je dat naar alle waarschijnlijkheid zelf al eens aangezet
Maar daar kun je het ook weer uitzetten! :)
Dan ga je vanuit Steam netjes naar je Paypal account toe waar je vervolgens eerst in moet loggen.
Dat was het, bedankt. Ik kan me niet herinneren dat ik dat ooit expliciet aangezet heb.
Waarschijnlijk heb je gewoon op het betreffende device 'ingelog blijven' bij paypal aan staan..
Nah je hebt bij PayPal "geauthoriseerde betalingen", dan mag de toko die je toestemming geeft afschrijven wat ze maar willen wanneer ze maar willen zonder dat jij ooit ook maar een PayPal schermpje krijgt. Soort van toestemming tot automatisch incasso. (Niet te verwarren met recurring monthly payments!)

Dit wordt erg slecht vermeld en is vaak heel onduidelijk. Je kan het eraan merken als je inlogt op PayPal voor betalen, op OK drukt zonder een betaling te zien en je geredirect wordt terug naar de site waar je dan je order kan bevestigen... Dan is er dus een payment profile aangemaakt. Heel irritante functie en je moet goed lezen wil je 't door hebben.

Wat in dezen dan wel een voordeel is, is dat die betalingen enkel te doen zijn op jouw Steam account. Dus het is niet zo dat de hacker allerlei shit voor zichzelf kan kopen. Het is hoogstens vervelend en moeten er wat betalingen teruggedraaid worden, maar het is niet zo dat de hackers je geld kunnen jatten.

[Reactie gewijzigd door WhatsappHack op 27 december 2015 03:01]

https://store.steampowered.com/account/

Bovenste rij kan je geassocieerde betalingsmogelijkheden verwijderen.
Ja alleen waren users die jouw account in konden zien mogelijk instaat aankopen te doen binnen jouw steam account met gelinkte paypal. Daar heb je dan geen wachtwoord voor nodig.
Dat zou alleen werken als je daadwerkelijk als die persoon ingelogd was, niet als je een gecachede pagina ziet.
hmm, als de pagina een unieke identifier bevat door een cookie die geplaatst is (van de cache versie) is het dan niet mogelijk dat er inderdaad mensen "als anderen" dingen konden doen?
hmm, als de pagina een unieke identifier bevat door een cookie die geplaatst is (van de cache versie) is het dan niet mogelijk dat er inderdaad mensen "als anderen" dingen konden doen?
Als er een gecachte pagina met bijv. een Set-Cookie header terug gegeven zou worden waardoor jij de session cookie zou overnemen van die gecachte gebruiker, dan wel ja.

Gelukkig zou dat alleen moeten gebeuren tijdens inloggen en niet tijdens gewoon door de store heen navigeren.
Nu moet ik wel eerlijk zeggen dat ik tijdens die storing een aantal producten aan mijn whislist heb toegevoegd die ik mooi niet terug zie. Dus of ze zijn helemaal niet toegevoegd ( wat ik best kan begrijpen) of iemand anders heeft ineens random stuff op zijn whislist staan
Vooraf: ik heb helemaal niks met Steam, nog nooit gebruikt, weet eigenlijk niet eens goed wat het is. Maar toch met belangstelling dit draadje gevolgd. Wat me vooral opvalt, is dat er een paar mensen zijn, die elke argument van anderen om iets niet te doen/voorzichtig te zijn/de zaak in de gaten te houden meteen menen te moeten weerleggen met antwoorden als: "Maar je kon niet het hele CC-nummer zien, dus niks aan de hand." of "Het is maar een cache-pagina." of "Wat een paniek om niks."

Tenzij je bij Steam werkt, en precies weet wat er aan de hand is, lijken me dit nogal gewaagde uitspraken. We hebben de laatste jaren wel onwaarschijnlijker zaken zien gebeuren op Internet. Ik zou zeggen: wacht eerst maar 'ns een paar dagen af, totdat Steam de zaak weer op orde heeft (of niet), en ga niet als woordvoerder van Steam fungeren.
En zo worden er veel enge dingen geroepen, die ook totaal overdreven zijn.

Je CC transacties eenmaal per maand controleren is voldoende om de verantwoordelijkheid bij fraude bij de CC maatschappij te leggen.

Steam is ook verplicht dit lek te melden bij de maatschappijen om (grotere) sancties tegen Steam te voorkomen.
Ik neem aan dat met huidige info die bekent is wel duidelijk is dat hier van een mug een olifant wordt gemaakt.

Ik bedoel pagina's in andere talen en user cached pagina's is het niet zo spannend je kan er ook vrij weinig mee. Het is meestal ook info die algemeen op internet te vinden is.

En de payment info is niet veel mee te doen. Je ziet een email adres of laatste creditcard cijfers.
Echt niet spannend.
Die zijn echt zo terug te vinden.. E-mails die naar personen verstuurd worden, als je een product gekocht hebt bevat hetzelfde. En dat is ook onbeveiligd.
Ik neem aan dat met huidige info die bekent is wel duidelijk is dat hier van een mug een olifant wordt gemaakt.

Ik bedoel pagina's in andere talen en user cached pagina's is het niet zo spannend je kan er ook vrij weinig mee. Het is meestal ook info die algemeen op internet te vinden is.
Als mensen een credit card betalingsmethode opgeslagen hadden staan, dan was via die weg de informatie voor factuuradres uit te lezen: alle NAW gegevens. Via de aankoophistorie waren bij aankopen met credit card daarnaast niet de laatste 2, maar de laatstse 4 digits van het kaartnummer zichtbaar.

De Steam account naam, je echte naam, je echte adres en de laatste 4 digits van het creditcardnummer is alles wat iemand nodig heeft om een account recovery procedure te starten bij Valve's support afdeling en zo iemands account afhandig te maken. En er zijn legio andere bedrijven waar dit net zo is.

Begin dus alsjeblieft niet met die onzin dat het allemaal wel mee valt en dat er met gegevens niets begonnen kan worden.
deze gegevens zijn toch gewoon toegankelijk voor iedereen, veel bedrijven hebben vortaan een policy waarbij je een sms code krijgt, en zo ook bij steam. daarbij krijg jijzelf ook een email als er iets veranderd. bij blizzard bijvoorbeeld moet je je ID kopie opsturen om weer toegang te krijgen tot je account.
Juist, maar dat moet je dus ook doen met de berichten van de paniekzaaiers...
"Our research indicates that it was not possible to do any actions on behalf of other users."
Voor de mensen die graag geinformeerd willen worden, let hier op!

https://www.reddit.com/r/...ng_with_steam_be_careful/
Ook al waren de pagina's misschien "read-only", met een e-mailadres liggen de phishers wel op de loer.
ik wacht meer even totdat valve een officiŽle bevestiging geeft dan ben ik weer zeker van me zaak
Op het topic op reddit gelezenb dat er wel degelijk mensen zijn die volledige creditcard informatie te zien hebben gekregen, kwalijke zaak... Ik ben benieuwd naar het bericht van Valve.
https://www.reddit.com/r/...ng_with_steam_be_careful/
Dat liegen ze dan, aangezien Steam verplicht is om niet het volledige CC nummer weer te geven.
Dat liegen ze dan, aangezien Steam verplicht is om niet het volledige CC nummer weer te geven.
misschien wordt er de volledige billing information, d.w.z. NAW gegevens, bedoeld?
Want die was (via een omweg) wel volledig in te zien.
Ja ok, maar dat is niet je volledige CC info.
Als men 'CC-info' als term gaat gebruiken, dan wordt er vaak de volledige set met billing address, expiratie datum, etc. bedoeld en niet alleen het CC-nummer.

De combinatie van volledige naam; adres; en de laatste cijfers CC zijn al voldoende om bijv. via Steam's eigen support afdeling een account recovery procedure te starten. Ik kan me levendig indenken dat dit bij andere bedrijven waar getroffen gebruikers geregistreerd staan ook zo zal zijn.

Heel gevaarlijk, dus.
Ik zag ook een deel van iemand anders zijn visa nummer. Telefoon nummer en email waren zichtbaar. Purchase history was inzichtelijk.

Slechte zaak dit...
Nou telefoonnummer zag ik toch ook echt alleen de laatste 2 cijfers...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True