Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 110 reacties
Bron: Damage-web, submitter: 62643

Hacker MaddoxX is erin geslaagd binnen te dringen bij Valve. Hij bemachtigde er niet alleen aardig wat bestanden van Cyber Café en de website zelf, maar wist zichzelf ook toegang te verschaffen tot de database met accountgegevens.

In een poging het nieuws binnenshuis te houden werd een post op de Valve-forums over de hack verwijderd, waarbij de plaatser van de post een bericht kreeg dat het enkel om Cyber Cafe-gegevens zou gaan. Inmiddels is echter duidelijk geworden dat ook creditcardnummers bemachtigd zijn, naast financiële gegevens van het bedrijf zelf; zo blijkt dat Valve net geen acht miljoen dollar op de bank heeft. MaddoxX heeft het softwarehuis geen kans gegeven het lek te dichten, maar besloot zijn buit zonder meer online te zetten. Hoewel het bedrijf verweten wordt dat het te laks omgaat met de veiligheid van zijn servers en de gegevens van zijn klanten, siert het de hacker natuurlijk niet dat hij het 'responsible disclosure'-principe aan zijn laars lapt.

Valve-mannetjeDat Valve het lek in eerste instantie probeerde te verbergen en de klanten waarvan gegevens ontvreemd zijn, nog altijd niet ingelicht heeft, strekt echter ook niet tot aanbeveling. Het is overigens niet de eerste keer dat de deuren van het digitale Valve-depot niet goed op slot zijn. Eerder al moest de release van Half-Life 2 uitgesteld worden nadat een fiks deel van de broncode van het programma op straat lag.

Update, 12.05: Er blijkt nogal wat verwarring te zijn over de vermeende hack van MaddoxX. Van diverse kanten wordt gemeld dat het om een hoax zou gaan, omdat Valve nog geen publieke aankondiging heeft gedaan. Juist het feit dat een ontkenning van de hack uitblijft, is volgens anderen weer reden om aan te nemen dat de hacker inderdaad binnengedrongen is in de systemen. Volgens The Inquirer wil MaddoxX Valve chanteren. Hij zou hebben gedreigd om creditcardnummers en accountgegevens publiek te maken als Valve niet snel met een 'goed bod' komt. De computercrimineel zou vooral ontstemd zijn vanwege Valves gebruik van het digitale distributiesysteem Steam.

Moderatie-faq Wijzig weergave

Reacties (110)

Doorlopen mensen, er is weer niks aan de hand bij Valve ;)
Dwijlen met de kraan open, het bedrijft heet notabene Valve, vind je het gek dat er een lek is. :P

Ik vind het trouwens wel een beetje triest van MaddoxX, ten eerste die houding, hij kan Valve tenslotte ook gewoon waarschuwen en desnoods het lek zelf dichten (hij is er uiteraard in gekomen dus de boel kan hij vast wel zelf ook dichtdraaien). En hij loopt maar te vloeken en te tieren, ik verwacht eerlijk gezegd niet zo'n laag niveau van een hacker/cracker/whatever, gezien zijn puberale taalgebruik zou je denken dat het een scriptkiddy is

Berichten van MaddoxX aan Valve op Dailytech:
Believe me, nobody wants to 'stick it to Valve' more than those currently in the cafe program. We're rubbing pennies together trying to make it from month to month, while Valve is making millions off of us ... All I ask is that you make some effort to edit cafe numerical details from any future release.

Please don't release the CC information, for the sake of the centers who are less informed.
If you want me to remove these files you can e-mail me at (address removed) and I prefer you come with something good unless you want me to expose ALL of the customers their information.
Interview van MaddoxX, staat op diverse sites.
<^QuickSilver> Hi, MaddoxX, can I get an interview?
sure
<^QuickSilver> Thanks, so, a huge fuss is being kicked up about the recent ‘hacking’ of Valve, why did you do it?
I always tried to get into their systems to steal stuff from them.. just to prove their security sucks
As you can see they can’t even protect their games from piracy
ofcourse no company can do
but it is way to easy with VALVe lol
makes it fun :)
<^QuickSilver> And that’s what it’s all about, eh?
most of it
<^QuickSilver> Are you actually going to release credit card details?
Prolly.. they ignore me.
And I don’t like it when I get ignored
I gave them several chances
<^QuickSilver> True that, and they’ve basically attempted to cover everything up? Why do you think that is?
Prevent chaos..
<^QuickSilver> So what do you plan to get out of this?
I aint planning shit
they can’t do anything
anything else?
<^QuickSilver> Well, do you want anything from Valve?
Just a message on their site that there has been a hack onto their site.
Informing the users
<^QuickSilver> Okay, I think that’s it
<^QuickSilver> Thanks for your time.
np
Valve lek? Een rubbertje vervangen misschien? :P
"<^QuickSilver> Are you actually going to release credit card details?
Prolly.. they ignore me.
And I don’t like it when I get ignored"

Klinkt als iemand die graag aandacht krijgt en slechts bozer wordt naarmate dit niet gebeurd.
Nog steeds geen officieel statement van Valve ik ik vraag mij nog steeds af of het hier niet om een hoax gaat. De hack zou een week geleden al zijn uitgevoerd als ik het goed begrijp. De financiele gegevens (zie forum) lijken zo uit een jaarverslag te komen.
idd, ook een lekker objectieve bron.. de site van de hacker zelf >.>
Het staat nu op t.net, een wat meer betrouwbare bron. En zo begint de bal te rollen. Dus als het een hoax is kan VAVLe maar 1 ding snel doen voordat het hun echt begint de schaden: een pressrelease uitbrengen dat het een hoax is. Zo lang die er niet is... kan je aannemen dat er iets mis is.
@M1lamb3r: klopt, maar niet elke "nieuws" site gaat zo ver om alles te verifieren. Ze zien t.net en denken dat het dan wel volledig waar zal zijn. En waarom ook niet, je vertrouwd tweakers.net dat ze hun werk goed uitvoeren. Netzoals mensen die al die virus hoax mailtjes doorsturen van mensen die ze kennen.
@elmuerte:

Ook op t.net wordt er amper aan verificatie gedaan van nieuwsberichten, er staat regelmatig een nieuwsbericht op welke niet juist blijkt te zijn.
en de bron van T.net is de site van de hacker zelf..
De mensheid wordt echt met de dag dommer... |:(
Zie ook http://www.imdb.com/title/tt0387808/

Idiocracy, komt redelijk in de buurt van de werkelijkheid :)
het resultaat van deze hack is op vrij veel plaatsen te downloadene incl de broncode van de cafe site.

zeer zeker echt. hoe echt de bedragen zijn .. dunno .. ze lijken uit een echt systeem te komen
Zie o.a.
http://www.shacknews.com/onearticle.x/46619
http://steamreview.org/posts/cafecardsstolen/
http://www.1up.com/do/newsStory?cId=3158852

Met andere woorden: Er is op een 3rd party site ingebroken, een site die Valve gebruikt voor beheer van Cyber Cafe accounts, en dus NIET op het Steam netwerk zelf! Er zijn, volgens Valve, dus ook géén creditcard nummers van Steam klanten gelekt.
Update:

According to The Steam Review, Steam itself was not accessed, but rather a Valve file server. Furthermore, the site explains that only the credit cards of Cyber Cafe subscribers were compromised. "The numbers in danger are all held by cybercafe owners, who have recurring subscriptions to their Steam games and have probably all long been informed," the posting reads. "Consumer data are only stored in enough detail to fight mass fraud, not make purchases, and weren't compromised anyway."

Update 2: "There has been no security breach of Steam," Valve director of marketing Doug Lombardi told 1UP. "The alleged hacker gained access to a third-party site that Valve uses to manage the commercial partners in its Cyber Cafe program. This Cyber Cafe billing system is not connected to Steam. We are working with law enforcement agencies on this matter, and encourage anyone with more information to e-mail us at Catch_A_Thief@valvesoftware.com."
Hoe weet je nu of jou CC gegevens erin staan?
Kun je lijst ergens downloaded misschien?

Als dat het geval is zou ik ze wel eens willen hebben om naar mijn bank te stappen en maatregelen te treffen!
Ik heb ook wel eens wat games gekocht bij Valve en maak me hier wel druk over. Potverdikkie mijn CC misschien wel op straat. Maar even Valve een mailtje sturen en vragen of ik nu maatregelen moet nemen of niet.
Hetzelfde hier. Maar het beste is rustig afwachten en kijken hoe de zaak loopt. Anders ben je alsnog standaard verzekerd tegen dit soort dingen dus gewoon je account goed in de gaten houden lijkt mij.
Alsof je daar antwoord op gaat krijgen.. Valve kan de normale stroom van support e-mails al niet eens aan, laat staan de berg e-mails die ze nu hierover gaan binnenkrijgen..

Ik maak me nooit druk om dit soort dingen.. Ik vertrouw er 100% op dat Valve de zaak juist zal afhandelen, en mij wel eventueel een bericht stuurt als er echt iets aan de hand is.. Ik ben niet zo gevoelig voor paniekzaaierij.. Gewoon rustig afwachten, en pas handelen als er echt iets aan de hand is..
je kan er toech sowiezo heen om hem te laten blokekren? daar heb je toch niet de CC nummers van jezelf (en andere) voor nodig?
Neen, maar met dit soort gegevens bij de bank binnenlopen gaat er wel voor zorgen dat zij ook wat gaan ondernemen...
En als je klacht wil indienen kan het ook wel helpen imo.
En op dit soort momenten voel je je opgelucht dat je je spellen nog ouderwets in de winkel koopt (of via postorderbedrijven onder rembours thuis laat bezorgen). Meteen weer een steunpeunt voor de reden waarom ik mijn spellen niet online koop (bij EA Link/Steam/andere distributiebron) en ZEKER niet met een creditcard. :)

Kon hij niet meteen even de volledige actuele broncode van de Half-Life 2 engine meenemen? Dat zou echt het computerspelnieuws van het jaar zijn. :D

Het is niet netjes dat hij creditcardgegevens op het Internet zet. Echter, dit versterkt wel het bericht dat de systemen van Valve op het moment zo lek zijn als een mandje.
Hoezo, mijn CC is verzekerd door de CC maatschappij, wordt ie misbruikt krijg ik dat geld terug (of hoef helemaal niet te betalen). Ik loop totaal geen risico.
Het kost jou met een beetje geluk niet het geld, maar wel het gedoe.
En wie denk je dat die verzekering betaald? Juist ja, wij als consument, in de vorm van de kaartbijdrage, samen met de bedrijven aan de ontvangende kant van de CC, die transactiekosten moeten betalen, welke ze op de één of andere manier echt wel weer verdisconteren in hun prijzen, die wij als consument weer mogen betalen.

Je krijgt niet ineens de hele klap als ze je kaart tot aan de limiet plunderen, maar betalen doe je dus echt wel voor deze grappen.
Agh ik ben nog jong en ben 1 ding in ieder geval niet van plan: ooit een creditcard te nemen.

Ik ben 16 jaar en heb een even oude vriend op school die beweerde al verschillende dingen op internet met credicards van anderen te kopen. Ik geloofde hem niet, dus ik besloot te controleren: hij geeft me een server van ICQ en je hoeft alleen maar te spammen met: give me a cc...give me a cc.

Binnen een minuut staat er een rijtje met alle info die nodig is (helemaal gratis). Weliswaar moet je snel wezen voordat anderen hem gebruiken, maar ze werken nagenoeg altijd nog. Ik ben niet van plan dit nog te gaan doen, anders post ik dit niet, maar ik verbaas me erover hoe makkelijk het gaat. Het geld licht bijna letterlijk voor het grijpen op straat.
En op dit soort momenten voel je je opgelucht dat je je spellen nog ouderwets in de winkel koopt (of via postorderbedrijven onder rembours thuis laat bezorgen). Meteen weer een steunpeunt voor de reden waarom ik mijn spellen niet online koop (bij EA Link/Steam/andere distributiebron) en ZEKER niet met een creditcard. :)
En wat denk je wat offline winkels doen? Juist, die slaan je creditcard gegevens ook op in een database, die waarschijnlijk ook wel te hacken is... ;)
Jij koopt je computerspellen in de 'offline-winkels' met een creditcard?
Met offline winkels bedoelt hij Brick Stores, winkels die niet op het internet opereren (geen e-commerce maar wel reclame maken (zoals mediamarkt)).
Vraag is alleen, waarom zou je Valve willen hacken ? Zoveel heeft Valve niet meer om handen, we weten dat cheats voor 1.6 nooit gedicht zijn en dat Source hier ook nog steeds onder lijdt.

Je kan ook simpel de online game laten liggen en je verder er niet meer aan storen, vaak het beste. Of het moet net zoals met de cheats gaan, Mygot blijft irriteren. Waarom een klein groepje altijd zo fanatiek is geweest om andere mensen hun speelplezier te ontnemen heb ik nooit begrepen.

Maar goed, ce la vie, begrijp niet wat Maddox wil, en pronken doe je er normaal gesproken niet mee :)
Je wilt Vavle hacken voor o.a. Steam. Ze hebben enorm veel creditcard gegevens. En zelfs de mogelijkheid om Steam accounts over te nemen is al interesant genoeg. Of je wilt backdoors verspreiden via Steam voor een nieuw botnet.
En dan is er natuurlijk het niet commerciele oogpunt van prestiege.
Ik heb het vermoede dat hij alleen wil showen met die zooi. En ja mischien is het een puber, maar ja. Ik bedenk me meestal als de eerste de beste puber valve kan hacken dat de veiligheid echt niks voorstelde.
Maar goed, ik hoop dat voor de klanten van valve de security hole wordt gefixed. Want als dit soort praktijken blijven bestaan zijn niemands credit card gegevens veilig.
Even een andere statement.
Chanteren is een te grote woord.
Dit is, naar wat hij mij vertelde, niet waar en gewoon uit de duim momenteel verzonnen.
Meer het feit dat hij kwaad is op Valve voor het niet reageren heeft dit veroorzaakt.
Chanteren hou je juist de info achter voor het krijgen van bijv. geld e.d..
Dit is niet het geval dus....
"Meer het feit dat hij kwaad is op Valve voor het niet reageren heeft dit veroorzaakt."

Moet ie ook tegen de rechter zeggen als het zover is, kijken hoever hij ermee komt.. :Z

Geeft ook maar weer eens aan hoe zielig dat soort mensen zijn dat ze zo enorm om aandacht verlegen zitten dat ze tot dit soort akties overgaan als ze die aandacht niet krijgen.. Dit is wel degelijk ordinaire chantage.. En waarom? Meneer is "boos" op Steam.. Get a life man! Echt!
Men weet nu in ieder geval dat de beste cracker via jou op te sporen is. Jij bent vast niet zo voorzichtig met posten etc waardoor jou identiteit in no time boven water zal komen.
Schattig profiel: MaddoxX "Teh Pwn3r" ;( Waarom moet zo'n knul de stereotypering omhoog houden...
Want je bent natuurlijk heel tof met CC gegevens publiceren (heb niet gecheckt wat er daadwerkelijk staat)

Wel onverstandig van Valve, toch een updateje minder uitbrengen en ipv daarvan een update op de beveiliging.

Jammer dat ie niet gewoon de nieuwe TF2 / EP2 ergens opgedoken heeft, daar heb je tenminste nog wat aan :Y)
hij heeft CC gegevens expres in laten zitten .. onder het motto .. fu valve, had je maar beter moeten beveiligen.


btw de hacker had maar 1 eis voor geheimhouden: 1 nota op valve.com/steampowered.com "Our security systems have been comprimised". meer hoefde hij niet te zien. maarja...
Ik geloof dat deze opmerking van de hacker wat anders lijkt te suggereren
If you want me to remove these files you can e-mail me at (address removed) and I prefer you come with something good unless you want me to expose ALL of the customers their information.
Lijkt verdacht veel op gewone pure ordinaire chantage.
LOL dat is echt temakkelijke eis..

Maar zo zie je dat valve te groote ego heeft en lak heeft aan gebruikers :r
Het schept bij mij anders eerder het vermoeden, dat het een HOAX betreft.

Zie ook bovenstaand interview, de naam van de 'interviewer' is ook een nickname, terwijl de nickname van die MaddoxX zelfs compleet mist... ;)

Ook bepaalde reacties in dat interview vind ik een beetje onprofessioneel, zoals bijvoorbeeld 'prolly' in plaats van propably. Leuk, die Engelse straattaal, in een interview is dat gewoon not done IMO.
probably bedoel je? }>
Als je aan 1 eis toe geeft, willen ze altijd meer. Ik hou voorlopig mijn creditcard goed in de gaten.
Ik hoop dat die kid zo snel mogelijk voor x jaar de bak in draait. Zo lame om na een hack al die spullen op 'straat' te gooien :/

Edit: Flamebait? Als iemand in het echt in een winkel inbreekt en alle administratie mappen over straat gooit, en ik hoop dat diegene een fatsoenlijke straf krijgt, dan is het wel goed zeker inene?
Pleit Valve niet vrij,
het systeem van CC is eigenlijk zo en zo idioot simpel te frauderen dat een organisatie met alle mogelijke middelen deze gegevens apart moet houden.

Dat die gegevens op een server staan die makkelijk van buiten is te bereiken is niet. Deze gegevens zou je op een intranet moeten houden en op de server met internet verbonden staat daar zou je de gegevens van leden moeten minimaliseren. Een setup die vrij makkelijk te realiseren valt.
Edit: Flamebait? Als iemand in het echt in een winkel inbreekt en alle administratie mappen over straat gooit, en ik hoop dat diegene een fatsoenlijke straf krijgt, dan is het wel goed zeker inene?
als een hacker dat kan een crimineel ook. Ik heb liever dat die hacker dan alle administratie mappen kopieert en publiceert om te tonen dat het hem gelukt is, dan dat het te laat is wanneer een misdadiger er effectief gebruik
wat is nog het verschil tussen een hacker die alle gevonden zaken 'op straat gooit' en een criminele computerinbreker die alle gevonden zaken doorverkoopt.

de eerste verdient er niet aan maar maakt alle informatie toegankelijk voor iedereen. Kan dus erger / minder erg zijn afhankelijk van je perspectief dan een criminele hack.
Meh,
Heb hier een lange discussie gehad op mn werk.
Daaruit is MaddoxX idd tever gegaan met de CC's.
Maar ja, hoe bewijs je mensen zoals op T.net dat het niet om een Hoax gaat >_>
Nu nog roepen ze dat het een Hoax lijkt maar goed.
wellicht omdat de enige informatie die we krijgen van MaddoxX zelf of van mensen in zijn "directe" omgeving is...

van een derde (hetzij valve of iemand anders) bron is nog niets vernomen.. (T.net heeft het van de site van MaddoxX, Dailytech ook reacties van hemzelf en The Inquirer ook alleen van hemzelf..)
Er zijn zelfs bestanden met gevoelige informatie op het internet gekomen van MaddoxX..
Probeer jij dat maar als "hoax" te bestempelen, want het lijkt er nu zeer zeker op van niet ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True