Account-Diebstahl: Gaming-Plattform Steam stopft kritisches Sicherheitsleck

Eine verblüffend einfache Möglichkeit, fremde Steam-Accounts zu hacken, verhindert der Plattform-Betreiber Valve nun mit seinem aktuellen Update. Der Fehler lag in der Passwort-Wiederherstellung.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 38 Beiträge

So hat der Hack funktioniert: Obwohl kein Wiederherstellungscode eingeben wurde, lädt die Seite die Passwort-Neueingabe-Maske.

(Bild: Screenshot)

Von

Die Gaming-Plattform Steam hat mit einem Update des Desktop-Clients eine kritische Sicherheitslücke geschlossen, mit deren Hilfe Angreifer nur per Eingabe des Steam-Namens in den Account kommen konnten. Das Programm aktualisiert sich automatisch beim Start.

Der Exploit ermöglichte es, beim Login kein Passwort anzugeben und über die Wiederherstellung ein neues Kennwort anzulegen. Ein Video zeigt, wie der Angreifer das Feld für den Wiederherstellungscode einfach frei lässt und daraufhin das Passwort trotzdem ändern kann. Die neue Version fordert die gültige Eingabe eines Codes, den Steam per E-Mail versendet.

Speziell Nutzer, die eine Mail bekommen haben, es habe einen Recovery-Versuch gegeben, den sie aber ignorieren könnten, sollten dringend ihr Passwort ändern. Die Mails, die bereits bei diversen Spielern in den USA aufgetaucht sind, stammen häufig aus Russland und werden als Indiz gewertet, dass der Account gehackt worden ist. Valve selbst gibt an, dass der Account weiterhin geschützt gewesen sei, wenn der Steam Guard eingeschaltet war.

Auf die Sicherheitslücke wiesen Steam-Spieler über die Plattform Reddit am gestrigen Sonntag hin. Einige Streamer über die Plattform Twitch bemerkten den Verlust über ihre Steam-Accounts. Kurze Zeit später hatte Steam-Betreiber Valve die Lücke bereits geschlossen. (rsr)