Steam-Datenleck: Valve gibt Entwarnung für 89 Millionen Nutzer
von caschy | 19 Kommentare
Für Aufsehen sorgte gestern eine Meldung über ein mögliches Datenleck bei Steam. Ein Hacker bot angeblich Datensätze von 89 Millionen Steam-Nutzern zum Verkauf an – für schlappe 5.000 Dollar (4.630 Euro). Valve hat nun offiziell Stellung bezogen und gibt weitgehend Entwarnung.
Nach Angaben des Unternehmens handelt es sich bei den geleakten Daten lediglich um alte SMS-Nachrichten mit zeitlich begrenzten Einmal-Codes. Diese waren jeweils nur 15 Minuten gültig und können nicht mehr verwendet werden. Wichtig dabei: Die Telefonnummern lassen sich nicht den entsprechenden Steam-Accounts zuordnen. Passwörter, Zahlungsinformationen oder andere persönliche Daten sind nicht betroffen.
Interessant ist auch die Rolle des Kommunikationsdienstleisters Twilio in dieser Geschichte. Während zunächst Vermutungen über eine mögliche Verbindung kursierten, dementierte sowohl Twilio als auch Valve eine Zusammenarbeit. Twilio bestätigte nach Prüfung der aufgetauchten Daten, dass diese nicht aus ihren Systemen stammen.
Valve betont, dass Nutzer weder ihre Passwörter noch ihre Telefonnummern ändern müssen. Dennoch empfiehlt das Unternehmen die Nutzung des Steam Mobile Authenticators als zusätzliche Sicherheitsmaßnahme. Die genaue Quelle des Leaks wird derzeit noch untersucht.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Ach so, „bloß“ Telefonnummern geleakt, wo „bloß“ jemand um 3 Uhr morgens anbimmelt, um mir ganz seriös was zu verkaufen. Aber Entwarnung, Valve hat ja kein Problem.
War da nicht mal was mit Schadensersatzanspruch. allein weil Daten leaken, ohne die Notwendigkeit eines konkreten Nachweises des Missbrauchs?
Was ist nur aus dem Leseverständnis geworden? 🙁
Das Leseverständnis ist leider in fast allen Bereichen unwichtig geworden.
Es geht nur noch darum, das man sich Aufregt, meckert und alles schlecht redet.
Bitte um Erklärung.
„Wichtig dabei: Die Telefonnummern lassen sich nicht den entsprechenden Steam-Accounts zuordnen“
Telefonnummern wurden geleakt. Selbst eine gültige Telefonnummer ist auf dem Schwarzmarkt viel wert.
Eben, die Nummer gelten als grundsätzlich gültig und werden jetzt mit Spam aller Art bombardiert.
Nein, gültige Telefonnummern sind kaum was wert. Inzwischen ist es nicht mehr schwierig, endlose Listen von möglichen Telefonnummern zu generieren und durch Telefon-Bots vollautomatisch überprüfen und sortieren zu lassen. Erst wenn diese Nummern irgendwie kategorisiert oder Personen zugeordnet werden können, sind diese viel wert.
Das ist doch sofort widerlegt. Datenklau basiert nicht auf charakterlicher Bosheit, sondern auf Geld. Es muss doch jedem klar sein, dass z.B. die Email-Adresse erika.mustermann@example.foo auf dem Schwarzmarkt mehr wert ist als dieser ganze Blödsinn root, news, admin, info, nobody, @example.foo — stellt euch doch einfach mal vor , IHR kauft so eine Nummnern-Liste, weil ihr sie nutzen wollt, und dann stellt ihr fest, die ersten drei Nummern sind Polizei, Zeitansage und Weckdienst?
Natürlich ist eine aktiv genutzte, registrierte, für 2FA genutzte Telefonnummer mit grobem Profil (Gamer, kann sich Freizeitkram leisten, wohnt in EU oder US, jung, männlich) DEUTLICH mehr Geld wert, als wenn man über alle 7stelligen Ziffern iteriert, und die meisten Nummern existieren nicht, antworten nicht, gehören zu einem GPS-Tracker oder einfach Leute, die nicht junge Gamer sind. Das Geschäftsmodell „Kriminalität“ scheut, wie jedes andere Geschäftsmodell auch, Kosten, Aufwände, Ineffizienz und erfolglose Leistungen. Selbst ein Fahrraddieb muss in einen guten Bolzenschneider investieren.
Dass das IT-ler mit ihrer Exaktheits-Denke nicht kapieren… in der Werbung ist es ein Riesenerfolg, wenn man Rückläuferquoten von einem halben Prozent hat. Ich habe früher mal beruflich Supermarkt-Handzettel hergestellt. Die hatten dann bei einer Auflage von 2 Millionen pro Woche ein halbes Prozent Rückläufer. Rechne mal aus: 10.000 Kunden, die ~20€ ausgeben.
Zumal man jetzt weiß, der Inhaber hat einen Steam-Account. Super um gezielt Phishing zu betreiben.
Nur die Rufnummer wird in der Regel nicht mehr auf dem Schwarzmarkt gehandelt. Die sind nichts mehr wert.
Jede Marketing Agentur kann die heute ganz legal bei jedem Data-Broker kaufen. Und die bieten in der Regel legal noch viel mehr Infos an, als in diesem Leak vorhanden waren.
Und ich sehe hier auch nicht Steam in der Schuld. Wenn ich das so lese, denke ich eher das die SMS bei einem Mobilfunk Anbieter abgegriffen worden sind.
> Wenn ich das so lese, denke ich eher das die SMS bei einem Mobilfunk Anbieter abgegriffen worden sind.
Eher bei einem Dienstleister, der für Valve den SMS-Versand übernahm.
Denn wäre es bei einem Mobilfunk-Anbieter, wären es nicht nur SMS von Steam, sondern auch andere.
Na dann schreib mal deine Telefonnummer hier rein, können wir ja nicht irgendeinen echten Account zuordnen *facepalm*
Reich doch mal Klage im zur Zeit rechtsfreihesten Land der Welt ein, aber pass auf das du und dein Anwalt nicht in Guantánamo landet.
„Die Telefonnummern lassen sich nicht den entsprechenden Steam-Accounts zuordnen.“ Also ich finde das auch etwas bedenklich. Ja die Nummern lassen sich nicht zuordnen aber die Nummer sind sichtbar und liegen jetzt für die typischen Spam SMS ala DHL DPD etc. für die Käufer zur Verfügung
Genau das dachte ich mir auch. Die wissen nun, dass hinter der Nummer irgend ein Steam-Account steckt. Da wird ne Phishing-Welle, nach dem Motto „Prüfen Sie ihre Daten, Klicken sie auf den Link“, losgehen.
Warum sollte das wichtig sein? Jede Steam ID / Account ist öffentlich einsehbar. Rufnummern sind bereits öffentlich und legal erwerbbar. Sonst würde legales Tele-Marketing nicht funktionieren.
Mit ein wenig Data-Managment kann man die auch so dann verknüpfen. Dafür braucht man keinen Leak.
Nunja, VALVe hat meines Erachtens nicht ganz Recht: Damit stehen einige Millionen gültige Telefonnummern im Netz zu denen bekannt ist, dass sie zu Steam-Accounts gehören. Also die Meldung mit „Ihr Steam-Account wurde gesperrt, bitte klicken Sie auf den Link „we we we punkt absolutsicheresteampasswortmuske punkt com punkt org punkt slash allesecht“ um Ihren Account zu entsperren.
Und darauf werden Leute reinfallen. Ich sehe ein, wenn Leute angeben, dass VALVe keine direkte Schuld trifft – hier hat ein Dienstleister versagt. Auch hat man Recht, dass keine hoch-sensiblen Account-Daten (Passwörter, Zahlungsinfos) betroffen sind. Dennoch sollte man versuchen, den Dienstleister ausfindig zu machen und dann aus dem System schmeißen.
Ich bin davon nicht betroffen, weil ich in meinem steam Account keine Telefonnummer oder handynummmer hinterlegt habe.
ok
Naja, relativiert sich, wenn dann halt NOCH WER meine Daten durchprobiert – ich bekomme eh schon ständig Anrufe, SMS und Mails, die mich im bekannten Stil um Verifikation oder was auch immer bitten, meist drohend mit einer Frist, man kennt es … gerne auch für Dienste bei denen ich nicht mal Kunde bin oder ein Konto hab. Und meine Mobilnummer gibt es schon so lange, da gehen weitere Spamversuche im Rauschen unter. Traurig aber wahr.