Steam Hackeado

No domingo, os fóruns do Steam ficaram fora de serviço devido a vandalismo por parte de um grupo chamado fkn0wned. Os fóruns ficaram algum tempo em manutenção, com uma mensagem de aviso, mas esta acabou sendo apenas parte da história.

Uma mensagem http://forums.steampowered.com/forums/ enviada aos usuários por ninguém menos que Gabe Newell, chefe da Valve alerta que atacantes conseguiram acesso a um banco de dados com informações encriptadas, contendo nomes de usuários, hash's de senhas, histórico de compras, endereços de e-mais, endereços e números de cartão de credito encriptados. O ocorrido é bem menos grave que no caso da Sony, onde todas as informações estavam disponíveis em texto puro, mas ainda assim é uma situação delicada, já que com o poder de processamento das CPUs e GPUs atuais muitos algoritmos de encriptação que antes eram considerados inquebráveis se tornaram vulneráveis a atacantes com poder de processamento suficiente à sua disposição. O mesmo se aplica aos hash's de senhas, já que senhas fáceis ou baseadas em palavras do dicionário podem ser rapidamente descobertas.

A Valve está solicitando que os usuários troquem suas senhas do fórum no próximo login e que observem atentamente os extratos do cartão de crédito em busca de transações suspeitas. A princípio as senhas das contas do Steam não foram comprometidas (elas são separadas das senhas do fórum), mas elas devem ser também trocadas no caso de usuários que usam as mesmas senhas em ambas. Como de praxe, a mensagem termina com um pedido de desculpas pela inconveniente.

Este é mais um caso que mostra como não se deve confiar inteiramente em nenhuma empresa em matéria de segurança, especialmente no que diz respeito a número de cartão de crédito. É melhor usar senhas diferentes em cada serviço e usar intermediários como o paypal em vez de fornecer diretamente o número do cartão. Isso não resolve inteiramente o problema (e se o paypal for também hackeado?) mas pelo menos minimiza o risco.

10 Novembro 2011
Dear Steam Users and Steam Forum Users:

Our Steam forums were defaced on the evening of Sunday, November 6. We began investigating and found that the intrusion goes beyond the Steam forums.

We learned that intruders obtained access to a Steam database in addition to the forums. This database contained information including user names, hashed and salted passwords, game purchases, email addresses, billing addresses and encrypted credit card information. We do not have evidence that encrypted credit card numbers or personally identifying information were taken by the intruders, or that the protection on credit card numbers or passwords was cracked. We are still investigating.

We don’t have evidence of credit card misuse at this time. Nonetheless you should watch your credit card activity and statements closely.

While we only know of a few forum accounts that have been compromised, all forum users will be required to change their passwords the next time they login. If you have used your Steam forum password on other accounts you should change those passwords as well.

We do not know of any compromised Steam accounts, so we are not planning to force a change of Steam account passwords (which are separate from forum passwords). However, it wouldn’t be a bad idea to change that as well, especially if it is the same as your Steam forum account password.

We will reopen the forums as soon as we can.

I am truly sorry this happened, and I apologize for the inconvenience.

Gabe.

Chimaera escreveu:a meu ponto de vista, nao precisa trocar a senha, pois ela é "salgada" (wtf, nao sei um termo em portugues pra "salted" nesse sentido), ou seja, não importa se o cara tem o hash e conseguir um código que gere o mesmo hash, na hora que o servidor recebe, muda.

Passos escreveu:

Chimaera escreveu:a meu ponto de vista, nao precisa trocar a senha, pois ela é "salgada" (wtf, nao sei um termo em portugues pra "salted" nesse sentido), ou seja, não importa se o cara tem o hash e conseguir um código que gere o mesmo hash, na hora que o servidor recebe, muda.

Obviamente ninguém liga para a senha do steam e besteiras do gênero.

Dai só para quem tem o número do cartão na própria steam é para ficar esperto, apesar que to pagando pra ver quebrar criptografia aes de 256.