Valve se konečně vyjádřilo k “vánočnímu problému”

vanocni_chyba_banner

Pokud jste byli na Steamu 25. prosince večer, určitě víte, co se stalo. Něco se sakramentsky podělalo a bylo možné vidět osobní informace náhodných uživatelů. Dnes Valve konečně osvětlilo celou situaci.

PS: I pokud Vaše údaje viděl nikdo jiný, k přihlášení do účtu nebo nákupu jich zneužít nemohl. Doporučuji Vám však změnit heslo na mailu a Steamu.

PPS: Detektivka probíhající se zimními slevami začíná nabírat zajímavé obrátky. Sledujte subreddit zaměřený právě na pátrání po indíciích.

 

Následuje překlad oficiálního sdělení odtud

 

Co se stalo?

25. prosince 2015 vyústila chyba nastavení v to, že někteří uživatelé služby Steam mohli vidět stránky v obchodu služby Steam vygenerované pro jiné uživatele. Mezi časy 20:50 až 22:20 (našeho času, pozn. SC) byl vyžádán přístup na stránky s osobními informacemi pro více než 34 tisíc uživatel, jejichž informace byly zobrazeny nesprávným uživatelům.

Tyto informace se lišily, ale některé zahrnovaly fakturační adresu, poslední čtyřčíslí telefonního čísla, historii nákupů, poslední dvě čísla kreditní karty a/nebo e-mailovou adresu daného uživatele. Tyto informace nezahrnovaly (a nikdy nezahrnují) celé číslo kreditní karty, heslo, nebo další data potřebná pro přihlášení se k cizímu účtu nebo provedení transakce na druhém účtu.

Pokud jste ve zmíněném časovém rozmezí neprocházeli stránky se svými osobními údaji (např. informace o účtu nebo stránku pro dokončení nákupu), nebyly cizím uživatelům žádné z Vašich informací poskytnuty.

Společnost Valve momentálně spolupracuje se svojí partnerskou společností spravující cachování (tedy “mezipaměť” urychlující přístup k datům) na svých webových stránkách a snaží se identifikovat uživatele, kteří byli chybou zasaženi. Ti budou společností Valve následně kontaktováni. Jelikož nebylo na účtu možné nic udělat (a cizí uživatel pouze viděl některá data), nemusí uživatelé provádět žádní další kroky.

 

Jak k tomu došlo?

Večer 25. prosince se stal obchod služby Steam terčem DoS útoku, který zabránil v poskytnutí stránek obchodu svým zákazníkům. Útoky na obchod nebo službu Steam obecně jsou časté a společnost Valve je má nejen díky svým partnerům pod kontrolou a obyčejné uživatele tak vůbec nezasáhnou, avšak během tohoto vánočního útoku zažil obchod služby Steam o 2000 % větší provoz, než jaký je normální během slev.

Z toho důvodu nasadila partnerská společnost spravující cachování specifická pravidla pro přesměrování legitimních uživatel a zmírnění zátěže serverů obchodu služby Steam. Během druhé vlny útoku byla nasazena další pravidla, která však nesprávně ukládala informace pro ověřené uživatele, a jejímž následkem bylo to, že někteří uživatelé viděli stránky, o které si zažádali jiní uživatelé. Mezi ty patřila hlavní stránka obchodu (která se např. zobrazila v jiném jazyce) nebo právě stránka s informacemi o účtu.

Jakmile byla chyba nalezena, byl obchod služby Steam zavřen a byla nasazena nová pravidla cachování. K opětovnému otevření došlo až poté, co jsme zajistili, že všechna pravidla fungují správně a byla nasazena i všemi servery partnerů, takže už nikde nezůstávala stará uložená (a chybná) data.

Jak už jsme řekli, spolupracujeme s naší partnerskou společností, abychom identifikovali uživatele zasažené naší chybou a také se snažíme vylepšit náš proces nasazování nových pravidel cachování. Závěrem bychom se chtěli omluvit všem, jejichž osobní informace byly touto chybou zveřejněny.

1 komentář u „Valve se konečně vyjádřilo k “vánočnímu problému”“

  1. ,,Doporučuji Vám však změnit heslo na mailu a Steamu”
    pokud to někdo viděl ode mě, řeknu mu jen jedno (a teď promiň SC) vyliž si, já mám steam mobile guard :D
    jinak sice pozdě, ale šťastný nový rok všem

Komentáře nejsou povoleny.