Gewaltige Sicherheitslücke bei Steam - Kundenkonten gehackt

In den vergangenen Tagen wurden zahlreiche Kundenkonten bei der Spieleplattform Steam gehackt. Selbst wenn Benutzer die missbräuchlichen Zugriffe bemerkten und ihre Passwörter änderten, konnten die Angreifer die Kontrolle über die Konten ebenso schnell zurückgewinnen. Das Einzige, was die Hacker für die Kontenübernahme benötigten, waren die Benutzernamen ihrer Opfer.

Schuld an dem ganzen Dilemma war die Funktion zum Erstellen eines neuen Passworts. Wenn Steam-Kunden ihr Zugangspasswort vergessen haben, können sie sich von der Webseite einen Bestätigungscode zuschicken lassen und dann ein neues Passwort hinterlegen. Für die Anforderung eines solchen Codes wird lediglich der Benutzername benötigt. Gibt man den korrekten Code in das Webformular ein, darf man das Passwort ändern und hat wieder Zugriff auf sein Konto. So weit die Theorie, doch die Praxis sah in einem wichtigen Punkt ganz anders aus.

Das Formular, in dem Kunden den Bestätigungscode eingeben sollen, hat selbigen nämlich gar nicht überprüft. Ein leeres Feld wurde ebenso akzeptiert wie jede beliebige Zeichenfolge. Ein Hacker musste für sein Opfer also lediglich ein neues Passwort anfordern und konnte dann auch ohne den Bestätigungscodes ein eigenes Passwort hinterlegen. Der Kontoinhaber bekam lediglich eine E-Mail mit dem Hinweis, dass er um eine Passwortänderung gebeten habe. Eine Chance zum Abwehren der Kontoübernahme hatten die Kunden nicht. Die Schwachstelle wurde inzwischen behoben.

Nachtrag von Daniel Boll: Wer die Sicherheitsfunktion "Steam Guard" aktiviert hat, war vor negativen Folgen der Lücke geschützt. Steam würde beim Log-in der Angreifer ein neues Gerät erkennen und den Zugang nur über einen Sicherheits-Code ermöglichen, der an die E-Mail-Adresse des echten Kontenbesitzers geschickt würde. Steam-Guard-Nutzer müssen, sofern betroffen, also lediglich ihr Passwort wieder ändern. Eine unmittelbare Gefahr für ihr Konto bestand aber nicht.

Autor: mid
[pg]