Steam został zhakowany. Valve potwierdza, że informacje o kartach kredytowych mogły zostać wykradzione

Informacja została już niestety potwierdzona przez Valve - Steam, jedna z największych i najbardziej znanych platform dystrybucji cyfrowej została zhakowana. Zaczęło się od forum, które początkowo zostało zdjęte w celach konserwacyjnych, jednak w trakcie trwania prac okazało się, że doszło do włamania na znacznie większą skalę, daleko wykraczającego poza same forum. Przejęte zostały nazwy użytkowników, zahaszowane hasła, lista zakupionych gier, adresy e-mail, adresy rozliczeniowe, zahaszowane dane dotyczące kart kredytowych. Potwierdził to sam Gabe Newell - współzałożyciel i dyrektor Valve.

Nie ma pewności czy wymienione dane zostały skopiowane, ani czy szyfrowanie haseł i informacji o kartach kredytowych zostało złamane, jednak nie pozostaje nic innego jak założyć najgorszy możliwy przebieg wypadków - dla własnego bezpieczeństwa, skoro przebadanie sprawy wykazało, że włamywacze mieli taką możliwość.

Na pochwałę zasługuje postawa Valve, który bez owijania w bawełnę od razu poinformował o włamaniu i zamiast starać się złagodzić sprawę, mówi wprost, że wszystkie wrażliwe dane mogły zostać przejęte. Oczywiście marne to pocieszenie, dla osób, które płaciły w serwisie przy użyciu karty kredytowej, jednak zatajenie lub zwlekanie z podaniem takiej informacji mogło jeszcze sytuację pogorszyć.

Co w takim razie można zrobić, żeby zminimalizować ewentualne straty? Jeśli korzystaliście z forum Steam, konieczne będzie zmienienie hasła na inne. Chociaż nie ma informacji jakoby hasła głównych kont Steam również zostały przejęte, nie zaszkodzi również i to hasło zmienić na nowe. Dotyczy to również wszystkich innych serwisów, do których wykorzystywaliśmy to samo hasło co w Steam.

Należy również uważnie obserwować aktywność na swoim koncie Steam oraz historię operacji karty kredytowej. W razie zaobserwowania jakiś nieprawidłowości, natychmiast zastrzec kartę. W trochę lepszej sytuacji są osoby płacące za pomocą serwisu PayPal.

Tak niestety wygląda zderzenie wirtualnej rzeczywistości w sieci z realnymi pieniędzmi na naszych kontach bankowych - żaden serwis obsługujący płatności kartami kredytowymi nie zapewni 100% bezpieczeństwa i zawsze trzeba się z tym liczyć. Najważniejsze to nie zlekceważyć sprawy, od razu zmienić hasła i bacznie pilnować zawartości konta.

Oto oryginalna treść wiadomości rozesłana do użytkowników Steam przez Newella:

Dear Steam Users and Steam Forum Users,

Our Steam forums were defaced on the evening of Sunday, November 6. We began investigating and found that the intrusion goes beyond the Steam forums.

We learned that intruders obtained access to a Steam database in addition to the forums. This database contained information including user names, hashed and salted passwords, game purchases, email addresses, billing addresses and encrypted credit card information. We do not have evidence that encrypted credit card numbers or personally identifying information were taken by the intruders, or that the protection on credit card numbers or passwords was cracked. We are still investigating.

We don’t have evidence of credit card misuse at this time. Nonetheless you should watch your credit card activity and statements closely.

While we only know of a few forum accounts that have been compromised, all forum users will be required to change their passwords the next time they login. If you have used your Steam forum password on other accounts you should change those passwords as well.

We do not know of any compromised Steam accounts, so we are not planning to force a change of Steam account passwords (which are separate from forum passwords). However, it wouldn’t be a bad idea to change that as well, especially if it is the same as your Steam forum account password.

We will reopen the forums as soon as we can.

I am truly sorry this happened, and I apologize for the inconvenience.

Gabe.

Informację o włamaniu podał do wiadomości publicznej między innymi serwis Ars Technica.