El servicio de Valve está sufriendo una especie de catástrofe en estos momentos, dando acceso a jugadores de todo el mundo acceso a las cuentas de otras personas. Todavía no están las cosas claras, pero hay filtración de información sensible, entre otros: correo electrónico, historial de compra, licencias...
|
etiquetas: valve , seguridad , steam
It's a problem with their caching-server (varnish), caching pages that should not be cached (such as Account-Details, Cart, etc.). It invalidates after some time and is re-cached when the next user visits the page with their profile. You are not actually logged in (as in, you take over the session of the user), you just see pages rendered for others than yourself. This is why different parts of steam appear as different users.
Which page you see is probably dependent on the edge node (first server you connect to) closest to you, hence why different users see different profiles.
My guess to how this could've happened is that an untested configuration got activated when steam went down earlier, e.g. due to an auto-conf service (puppet, chef) pulling an untested config or some of their live servers being replaced by staging / development servers. It's also possible that they were under heavy load and the engineer on duty reconfigured all their edge nodes to cache more aggressively.
Let's hope they fix this fast, because this is a major data leak. I can see private E-Mail and account names. Let's hope their cache server is not delivering internal pages.
Espero que se quede en un problema menor y sin grandes consecuencias, pero hay gente que ha podido acceder a ciertos datos personales de otros y es solo cuestión de suerte que un usuario malintencionado haya podido acceder a ellos o no ya que el problema es que está mostrando las cuentas de otros usuarios de forma aleatoria, te logueas y te muestra los datos de otro.
No, en serio, estoy acojonado. He borrado rápido hasta el último duro de mi tarjeta prepago y rezo xq mi biblioteca y datos estén a salvo.
El usuario es Xtrem3 y la contraseña es A123456
(Actualización: Valve ha desactivado la tienda de Steam, presumiblemente hasta que solucionen el problema.)
news.softpedia.com/news/steam-servers-go-down-for-christmas-as-skidnp-
Problemas de cacheo provocado por un ataque ddos
Pero vamos, cuenta de más de 10 años, con unos 300 juegos, y había pasado 50 leuros al wallet por si compraba algo estas rebajas...
¿Alguien sabe si hay algún problema con el?
Ashley Madison me jodió la vida y no mandó ni un puto lubricante.
Llego a casa, y lo primero que hago es abrir Steam, logueándome desde luego. Lo cierro al ver que no carga. "Voy a abrir menéame a ver las noticias" me digo, y me encuentro ésto de primera noticia.
www.youtube.com/watch?v=a6iW-8xPw3k
El problema aqui está en que hay algún bug en algún punto (ya sea de la configuración o del própio varnish) que permite ver estas caches.
A ver si algun sysadmin nos puede ampliar la información.
Estoy viendo capturas de inventarios, de gente que tradeaba items de TF2, CS y demás, y de inventarios vaciados... puto Volvo. Y encima hay una horda de manolitos que se están dedicando a poner capturas de la información "errónea" que tienen en su cuenta.
Lo último que he visto en reddit:
About 1-2 hours ago (as of posting this) (21:14 Norwegian time) steam's chaching servers started going rouge Source causing people to see other users' account details. Example 1, Example 2(Courtesy of /u/thisnytro )
At the moment the store is offline (steamstat.us/ ).
The account details page is offline (store.steampowered.com/account/ )
I tried adding funds earlier to check how severe this is, but nothing would load so I believe that transactions have been shut off as well. Not confirmed though.
Steam mobile authenticator codes should not have been compromised. To get new backup codes steam requires you to input a current authenticator code first. Your mobile authenticator codes SHOULD be fine.
What should you do?
SteamDB advices to stay away from steam as a whole. Source
If you're going to unlink your paypal from steam, do it through paypal.com Source
Wait until the bug has been dealt with before you start changing any information.
Keep an eye on your bank account balance.
Keep an eye on your email for the coming weeks.
Don't be a dick by releasing personal information. That can fuck people over big-time.
Por lo visto es un acceso aleatorio a las cuentas de otros usuarios, los cuales pueden ver tu información personal, pero no comprar juegos con tu cuenta. Supongo que en su momento habrá que revisar qué datos personales han podido ser expuestos.
Y por último supongo que lo recomendable es cambiar la contraseña. Ya se que es un coñazo pero...
En el peor caso creo que se puede hacer devolución por Paypal, y con la que se ha liado imagino que si ya los de Steam te dejaban devolver cualquier juego sin problemas, si se hace durante estas horas te devolverán la pasta y te pedirán perdón de regalo.
Lo que me imagino es que también habrá más de un baneo de cuenta para quien se haya pasado de listo.
Y este tipo de metida de pata con la configuración del cacheado no es la primera vez que la veo siendo del gremio pero claro, otra cosa es que lo hagas siendo el puto Steam
- Configuración
- Opciones pago
- Pagos con aprobación
- Steam -> Cancelar
steamcommunity.com/discussions/forum/0/458604254431478327/
Información de cuenta incorrecta
Hemos recibido avisos de que a veces las personas ven la información de cuenta de otras personas en la página de la cuenta. Valve ha tenido conocimiento de esto y está trabajando en una solución.
Algunas preguntas frecuentes:
- No, Steam no está hackeado
- Información de tarjetas de crédito y números de teléfono son, como manda la ley, censurados y no es visible para los usuarios.
Con esto consigues multiplicar por 100, 1000, 10000... la capacidad del mismo servidor para atender usuarios simultáneamente.
Cuando configuras Varnish le dices cuáles son las excepciones, es decir, de qué cosas no puede "hacer una foto" y tiene que generar siempre y de forma individual.
Normalmente, cuando el usuario inicia sesión o cuando solicita una ruta del "carrito" o de su cuenta personal, se trata como excepción y no se cachea. El problema es que Varnish no "sabe" de eso y no tiene mecanismos de protección ante lo que parece que ha pasado, y es que alguien ha cambiado las exepciones por unas erróneas y estamos viendo las cachés de gente que inició sesión.
Dudo muchísimo que los niñatos de Lizzard Squad sean los responsables como apunta #30. Más que nada porque cambiar la config de los servidores de Valve es más probable que sea por error humano de un admin de Valve que no porque un externo haya conseguido penetrar en ellos.
Dicho esto, no tengo ni idea de qué ha pasado realmente, son simplemente conjeturas mías.
Y luego ya ríete si las cachés van coordinadas con un CDN externo.
Creo que el problema es que los payasos estos estaban con el DDoS y algún sysadmin ha querido absorber el ataque mediante políticas de caché más agresivas y la ha cagado.
map.norsecorp.com/
Edit: no me he logueado en Steam de momento y he cancelado la aprovación en el Paypal por si acaso.
Cachís, quería viciarme un poco al Elite Dangerous.
Pienso que darle el "mérito" de lo sucedido a Lizzard Squad es como darle mérito al Cádiz por "eliminar" al Madrid. Ellos sólo fueron a intentar molestar un poco y el rival se disparó él solito en el pie.
i.imgur.com/JFaONtv.png (no me deja subir imágenes a Menéame... cc @admin
La primera configuración que suele hacerse es pedirle que ignore las cookies, pero claro, eso sólo puede hacerse con aquellas páginas o partes de código que son comunes a todos los usuarios. Si no, un usuario podría ver los datos de otro.
Los datos propios de cada usuario no deberían cachearse, o bien habría que modificar el hash de la caché para que se genere una vista diferente para cada usuario.
En resumen, la han liado parda con una cagada típica de novatos.
Y no quiero hacer más leña de árbol caído, pero a veces los sysadmins son mucho más "echaos palante" que los programadores, que ahora usamos TDDs y mariconadas redundantes por el estilo.