Security: Zahlreiche Steam-Konten gehackt

Über eine Schwachstelle in der Anmeldefunktion von Steam haben Unbekannte offenbar unter anderem die Konten mehrerer prominenter Twitch-Streamer gehackt. Valve hat die Schwachstelle inzwischen geschlossen und ein Update bereitgestellt. Offenbar konnten die Unbekannten die Funktion zum Zurücksetzen des Passworts aushebeln. Die Schwachstelle wurde in einem Video auf Youtube gezeigt. Es stammt vom Benutzer Elm Hoe, dessen Konto ebenfalls kompromittiert wurde.

In der fehlerhaften Version des Steam-Clients konnte ein Benutzerpasswort auch ohne Eingabe des Sicherheitscodes zurückgesetzt werden, das Steam an die E-Mail-Adresse eines Nutzers schickt. In dem darauf folgenden Dialogfenster reichte ein Klick auf "Weiter" ohne Codeeingabe aus, um an die entsprechende Benutzereinstellung zu gelangen. Die Unbekannten benötigten also lediglich den Benutzernamen eines Steam-Kunden, um sich dessen Konto zu bemächtigen.

Offizielle Mitteilung von Valve steht aus

Laut Kommentaren bei Reddit waren auch Benutzer betroffen, die den zusätzlichen Schutz Steam Guard aktiviert haben. Ob die Zwei-Faktor-Authentifizierung per mobilem Gerät den Hack verhindert, ist bislang unklar. Eine E-Mail von Valve mit dem angeforderten Code ist wohl der einzige Hinweis darauf, dass jemand versucht hat, ein Konto zu kompromittieren.

Bei Reddit wird auch berichtet, dass Valve das Handeln mit Items bei den gehackten Konten gesperrt hat. Damit soll wohl unter anderem verhindert werden, dass gesammelte Items von betroffenen Benutzern verloren gehen. Valve hat noch keine offizielle Mitteilung zu dem Problem veröffentlicht.