Alfonso Maruccia

Valve: Steam attaccato e compromesso

Il popolare servizio di digital delivery videoludico per PC cade vittima di una compromissione dai contorni ancora tutti da chiarire: a rischio password e carte di credito, dice Valve

Roma - Steam, il popolare servizio di digital delivery videoludico (prevalentemente) per PC che vanta numerosi tentativi di imitazione, è caduto vittima di un attacco condotto da ignoti. I cyber-criminali hanno fatto centro, compromettendo sia il database dei forum che un altro database contenente informazioni particolarmente sensibili sugli utenti, i loro acquisti sullo store e quant'altro.

Inizialmente Valve Corporation aveva parlato di un tentativo di defacing del solo forum, ma ulteriori indagini hanno evidenziato che la breccia era andata molto oltre: in una email inviata agli utenti, il boss della software house Gabe Newell ha riferito che il secondo database compromesso conteneva dati importanti come i nomi utente, le password cifrate, gli acquisti di videogame, gli indirizzi email, gli indirizzi di fatturazione e i numeri di carte di credito cifrati.

Non abbiamo prove che gli attaccanti abbiamo superato la cifratura che protegge i numeri delle carte di credito, dice Newell, nondimeno è consigliabile che gli utenti tengano sotto stretto controllo i rendiconti delle proprie carte per evitare di cadere vittima di truffe o furti.
Le password di accesso al forum verranno forzatamente modificate al primo accesso, dice il boss di Valve, mentre non sono noti casi di account Steam compromessi e quindi i dati di accesso dello store virtuale non saranno forzatamente azzerati, almeno per il momento.

Newell chiede scusa per l'accaduto e dice di essere "molto dispiaciuto", ma la breccia che ha colpito Steam è di quelle destinate a fare parecchio rumore: la notizia dell'attacco arriva a brevissima distanza dalla distribuzione di una delle release videoludiche più attese dell'anno, e colpisce la testa di ponte del digital delivery a tema videoludico, un colosso da 35 milioni di account che macina denaro e download a ritmi sempre più sostenuti.

Alfonso Maruccia
Notizie collegate
  • AttualitàSteam: tutto esauritoUn'offerta speciale sconquassa la piattaforma. Risen vende più del previsto e il suo distributore esaurisce le chiavi d'attivazione da inviare agli utenti
  • BusinessElectronic Arts apre nuovi storeIl publisher è intenzionato a estendere il proprio controllo sulla distribuzione videoludica online e non solo. A costo di inimicarsi i tradizionali pesi massimi del mercato, soprattutto in rete
20 Commenti alla Notizia Valve: Steam attaccato e compromesso
Ordina
  • Sono dei lamer del piffero, gli hacker vogliono solo la sfida asd
    non+autenticato
  • Sinceramente non capisco questi hacker/ criminali di basso rango che sia.

    Perchè attaccare i videogiocatori così? Ma che vadano ad attaccare le banche porca vacca... Anche a me comunque è arrivata la fatidica mail "ti è arrivata la richiesta di cambiare la password, ignora la mail se non sei stato tu", infatti ho ignorato il tutto.... e per fortuna che esiste postepay e paypal che alla peggio perdo i 15 euro che ci tengo perennemente sopra... veramente se trovo quegli occhialuti sfigati che alla notte invece di andare a donne decriptano password non scrivo cosa farei...
    non+autenticato
  • Anche se alla fine (forse) nessun cliente sarà danneggiato, la fiducia è compromessa e ci vorrà un sacco di tempo e sforzi per ripristinarla. Questo è il vero danno per Sony, Valve e tutti quelli che hanno pensato bene di risparmiare sulla sicurezza dei loro sistemiTriste
    Funz
    11235
  • Ok, come tutti, hanno usano la crittografia, ma bisogna vedere quanto è sicura, senza contare che una ca**o di store procedure o comunque codice lato server che decodifica ci deve essere altrimenti non servirebbe a nulla nemmeno a Valve avere la CC. E se c'è è potenzialmente accessibile dall'intruso.
    I dati delle CC devono stare su un server separato a cui non si ha accesso con query, ma tramite richiesta *singola*.
    Es: "dammi la CC di X, ecco le mie credenziali di accesso, ecco il mio contesto, ecc..."
    In questo modo:
    1) non sarebbe possibile fare select * from cartedicredito, ma solo su un numero limitato di dati.
    2) ogni richiesta verrebbe loggata, attività anomale sarebbero individuate anche da algoritmi automatici, in base a frequenza, credenziali di accesso e contesto...

    BAH...
  • Sono su un'altro computer, ma non posso modificare la pass direttamente dal sito, ma devo perforza installarmi steam.... una mossa non poco intelligente, sopratutto se sei sotto linux....
    Sgabbio
    26178