Valve on päivittänyt sivuilleen tiedotteen jonka mukaan Steam-pelipalvelun tietokanta on hakkeroitu, ja Valve on väliaikaisesti sulkenut Steam-foorumit.
Alunperin Steam-foorumit hakkeroitiin viime sunnuntaina, jonka jälkeen Valve on tutkinut hyökkäystä tarkemmin ja huomannut hakkereiden päässeen käsiksi foorumin lisäksi Steamin tietokantaan.
Tietokannassa säilytetään käyttäjänimiä, suojattuja salasanoja, peliostoksia, sähköpostiosoitteita, laskutusosoitteita ja salatut luottokorttitiedot.
Valven mukaan hakkerit eivät olisi kopioineet luottokorttitietoja tai muita yksityistietoja, eikä niiden salausta ole murrettu, mutta Valve kertoo yhä tutkivansa asiaa.
Vaikka luottokorttitietojen vuodosta ei ole varmuutta, Valve kehottaa asiakkaitaan joka tapauksessa pitämään silmällä omia luottokorttitapahtumia.
Foorumien hakkeroinnin yhteydessä joitain käyttäjätilejä vallattiin, joten Valve on varotoimena pakottanut salasanojen uusimisen kun käyttäjä kirjautuu foorumeille. Itse Steam-tilien valtaamista ei ole vielä ilmeisesti tapahtunut, mutta Valve kehottaa käyttäjiä vaihtamaan myös sen salasanan varsinkin jos se sattuu olemaan sama kuin foorumitunnuksen salasana.
Alla Valven Gabe Newellin Steam-foorumeille lähettämä viesti:
Dear Steam Users and Steam Forum Users:
Our Steam forums were defaced on the evening of Sunday, November 6. We began investigating and found that the intrusion goes beyond the Steam forums.
We learned that intruders obtained access to a Steam database in addition to the forums. This database contained information including user names, hashed and salted passwords, game purchases, email addresses, billing addresses and encrypted credit card information. We do not have evidence that encrypted credit card numbers or personally identifying information were taken by the intruders, or that the protection on credit card numbers or passwords was cracked. We are still investigating.
We don't have evidence of credit card misuse at this time. Nonetheless you should watch your credit card activity and statements closely.
While we only know of a few forum accounts that have been compromised, all forum users will be required to change their passwords the next time they login. If you have used your Steam forum password on other accounts you should change those passwords as well.
We do not know of any compromised Steam accounts, so we are not planning to force a change of Steam account passwords (which are separate from forum passwords). However, it wouldn't be a bad idea to change that as well, especially if it is the same as your Steam forum account password.
We will reopen the forums as soon as we can.
I am truly sorry this happened, and I apologize for the inconvenience.
Gabe.
Alunperin Steam-foorumit hakkeroitiin viime sunnuntaina, jonka jälkeen Valve on tutkinut hyökkäystä tarkemmin ja huomannut hakkereiden päässeen käsiksi foorumin lisäksi Steamin tietokantaan.
Tietokannassa säilytetään käyttäjänimiä, suojattuja salasanoja, peliostoksia, sähköpostiosoitteita, laskutusosoitteita ja salatut luottokorttitiedot.
Valven mukaan hakkerit eivät olisi kopioineet luottokorttitietoja tai muita yksityistietoja, eikä niiden salausta ole murrettu, mutta Valve kertoo yhä tutkivansa asiaa.
Vaikka luottokorttitietojen vuodosta ei ole varmuutta, Valve kehottaa asiakkaitaan joka tapauksessa pitämään silmällä omia luottokorttitapahtumia.
Foorumien hakkeroinnin yhteydessä joitain käyttäjätilejä vallattiin, joten Valve on varotoimena pakottanut salasanojen uusimisen kun käyttäjä kirjautuu foorumeille. Itse Steam-tilien valtaamista ei ole vielä ilmeisesti tapahtunut, mutta Valve kehottaa käyttäjiä vaihtamaan myös sen salasanan varsinkin jos se sattuu olemaan sama kuin foorumitunnuksen salasana.
Alla Valven Gabe Newellin Steam-foorumeille lähettämä viesti:
Dear Steam Users and Steam Forum Users:
Our Steam forums were defaced on the evening of Sunday, November 6. We began investigating and found that the intrusion goes beyond the Steam forums.
We learned that intruders obtained access to a Steam database in addition to the forums. This database contained information including user names, hashed and salted passwords, game purchases, email addresses, billing addresses and encrypted credit card information. We do not have evidence that encrypted credit card numbers or personally identifying information were taken by the intruders, or that the protection on credit card numbers or passwords was cracked. We are still investigating.
We don't have evidence of credit card misuse at this time. Nonetheless you should watch your credit card activity and statements closely.
While we only know of a few forum accounts that have been compromised, all forum users will be required to change their passwords the next time they login. If you have used your Steam forum password on other accounts you should change those passwords as well.
We do not know of any compromised Steam accounts, so we are not planning to force a change of Steam account passwords (which are separate from forum passwords). However, it wouldn't be a bad idea to change that as well, especially if it is the same as your Steam forum account password.
We will reopen the forums as soon as we can.
I am truly sorry this happened, and I apologize for the inconvenience.
Gabe.
24 kommenttia
Steamissa taitaa olla myös aika vahvat suojaukset tälläistä varten ja tiedot olivat suojattu hyvin (hash & salt)
Vaihtelin silti salanasani. Olihan tuo aikakin ;)
Itse en ole kovin ilahtunut Steamista mutta ainakin se YRITTÄÄ HOITAA tilannetta edes tyydyttävästi.
Lisäksi sonyltä lähti luottokorttitiedot salaamattomina joka on vähän" eri juttu kuin salattujen luottokorttitietojen saaminen. Toiset noista on heti käytettävissä ja toiset ei...
Ongelma on kuitenkin että koko järjestelmä on rakennettu niin että se vaarantaa pelaajien yksityisyyttä ja tietoturvaa. Eli pakotetaan käyttämään järjestelmiä joita ei todellisuudessa edes tarvita. Ei ole mitään syytä miksi peliä pelaavan henkilön pitää arkistoida henkilötietonsa johonkin yksityisen yrityksen rekisteriin.
Jos ostan maitoa kaupasta, niin ei minun tarvitse rekisteröityä Valion tietokantoihin maidon kuluttajaksi.
Esimerkiksi pelin mukana tulee aktivointi koodi, joka syötetään peliin. Ei tässä tarvita mitään henkilötietoja asiaan, ei edes silloin kun koodi viedään yrityksen tietokantaan. Koska yksilöinti kuka käyttää koodia ei ole tarpeen, vain se että useampia samoja koodeja ei ole käytössä on riittävä. Eikä joku aktivointi koodi yksilöi pelaajia mitenkään tai riko tietoturvaa tai yksityisyyttä.
Lumikilla taitaa tosiaan olla jotain Steamia yms. vastaan. Sarjassamme foliohattupäitä? :p
Nojoo, vitsi vitsinä. Ja tajusin pointtisi: Et halua luovuttaa tietojasi, koska sinulle ei anneta todellisia (laillisia) vaihtoehtoja olla tekemättä niin. Ja kuitenkaan kyse ei ole kuin mahdollisuudesta pelata jotain peliä.
Tarpeettomuudesta voi (Steamin kohdalla) olla montaa mieltä, mutta ei siitä enempiä tällä kertaa. Asiat eivät ole niin mustavalkoisia.
Btw. Joka kerta kun vilautat kassalla etukorttiasi, tarkat* tiedot maksutapahtumastasi päätyvät kaupan asiakasrekisteriin.
*maksuaika, summa, ostoksesi
Että semmoista.
Joo, mutta etukorttia ei ole pakko käyttää tai edes hankkia. Steam sen sijaan on pakollinen monessa kaupan hyllyltä ostetussa pelissä. Eli steamin pitäisi tarjota mahdollisuutta anonyymiin tiliin (väärien tietojen syöttäminen ei ole sitä) ja mahdollisuuteen poistaa peli kokonaan streamin tiedoista, jotta homma olisi "oikeilla raiteilla".
Pelitaloille tuo Steam on taloudellisesti kannattava valinta, koska se estää käytettyjen pelien kauppaamisen todella tehokkaasti ja se helpottaa samalla päivitysten jakelua.
Hieman ohi asian, mutta miksi luulet että minä käyttäisin etukortteja tai edes pankkikorttia ostoksiin. Jos kerran kunnioitan yksityisyyttä ja tietoturva asioita, niin se kattaa KAIKKI järjestelmät jotka sitä rikkoo tarpeettomasti.
Ongelma on että ihmiset luottavat liikaa YKSITYISIIN yhtiöihin, eikä ajattele riittävästi että mihin he niitä tietojansa oikein laittavat ja ennen kaikkea mitä voi tapahtua jos niitä tietoja väärin käytetään.
Kuten tässä Steam jutussakin, mihin pelaamisessa tarvitaan kaikkea tuota pelaajan henkilötietoa yrityksen tietokannoissa. Itse en ainakaan tarvitse mitään muuta kuin sen pelin aktivointi koodin, eli DRM tarkistukseen. Eikä peli yhtiön tarvitse tietää mitään muuta.
Heitin tuon etukorttihomman vain, koska niiden käyttö on erittäin yleistä eikä moni tule edes ajatelleeksi asian kääntöpuolta. Kuitenkin yhä useampaa tuntuu huolettavan verkossa olevien yksityisten tietojen mahdollinen väärinkäyttö. Eli mitä yritän tässä sanoa: yksityisisä tietojasi päätyy helposti erilaisiin rekistereihin huomattavasti arkisemmissa tapahtumissa kuin heti alkuun kuvittelisi.
Niin, ja tuosta steam-hommelista vielä. Allekirjoittanut ei ole useampaan vuoteen ostanut pelistä fyysistä kopiota, joten en koe niin suureksi ongelmaksi noita henkilötietojen tallennusta. Pitäähän sitä jollain tapaa pystyä määrittämään "tilivarkauksissa" alkuperäinen omistaja. Sanotaan vaikka näin, että koen tilin hyödyt suuremmaksi kuin haitat.
Fyysisten kopioiden kohdalla ymmärrän, että steam-pakko ei tunnu kovin reilulta. Eikä se sitä olekaan. Olisi kieltämättä hyvä asia, jos peliä pystyisi pelaamaan myös drm-vapaasti. Etenkin yksinpelien kohdalla. Mutta kerropa tämä julkaisijoille...
Minä ainakin sain tiedon 6 päivän jälkeen suoraan sähköpostiin.
Valvella kesti 4 päivää, eikä vielä ole tullut tietoakaan sähköpostiin. Vasta Steamin avattuani sain tiedon tapahtuneesta, enkä käytä steamia aktiivisesti 1$=1EUR muunnoksen takia.
Ja omapahan on häviös jos et käytä ton muutoksen takia. Pelien hinnat silti aika hiton halpoja ja ei tuu verojakaan niin who cares.
Halpoja??
MW3 noin 45E kaupassa (CDON.fi), Steamissa 60E. Jos Ahvenanmaasta tilaa niin tulee jo 35E hintaan. Et voi järjissäsi väittää noita ryöstöhintoja halvaksi ellet koskaan ole mitään muuta kuin Steamia käyttänyt. Steam rahastaa samalla tavalla kuin K- ja S-kaupat - idiooteilla jotka eivät suostu käyttämään vaihtoehtoja.
Steam on kallis paikka jos ostaa pelit heti julkaisun yhteydessä. Kannattaakin siis äänestää lompakollaan ja ostaa pelit alennusmyynneistä, tai jos ei malta odottaa niin tilaa vaikkapa sieltä Ahvenanmaalta.
Toki itsekin Steamia käytän ja tulen käyttämään kuten myös PSN, mutta on se niin koomista. Vahingon ilo on paras ilo :P
Ei kyllä heti aukea tuo riemu.Oli jotain hauskaa jotta ihmisten tiedot kysees? saitko stondarin tästä tai jms?
Olen myös entinen PSN-käyttäjä ja nykyään kaikki Sonyn värkit on boikotissa. Steamin käyttäjä olen ainakin vielä toistaiseksi.
@virheinen
Ei todellakaan tullut missään kuudessa päivässä tietoa Sonylta. Kesti viikkoja ennen kuin myönsivät kunnolla mitä on päässyt tapahtumaan.
Tässä on nyt poikasilla taas ihan turhan jauhannan meininki, totuus on se että sellaista palvelua ei ole jota ei voida murtaa. Eikö sitä vertaa järki kulje ? Jokuhan se on keksinyt nämä nykyisetkin suojaukset, joten ei tarvita kuin astetta fiksumpi kaveri paremmalla osaamisella ja se on siinä. Sony, Valve jne. ovat vain muutama uhreista ja niiden tietoturva on tismalleen samalla tasolla olevaa shaibaa. Loppukädessä tietonne eivät ole missään muualla turvassa kuin omassa päässänne, se on fakta !
*edit:Quiote / kielenkäyttö*
Totta, murtamatonta pankkiholvia ei ole. Mutta murtaminen voidaan tehdä niin vaikeaksi/kalliiksi ettei sitä kannata tehdä. Ja ihan kaikkia salauksia/kryptauksia ei tuosta noin vain murreta. Käsittääkseni nyt saadut tiedot on aika järeästi suojattu, joten ihan äkkiä en huolestuisi.
Muistaakseni joskus aikaisemminkin olet tällä sivustolla nostanut paskamyrskyn ilmoille tuolla hieman 'kärkevällä' ilmaisutavallasi. Eli jos tavoittenasi ei ole leikkiä peikkoa, niin astetta lievemmät sanamuodot voisivat olla paikallaan ;)
Toisekseen korttitietoja ei ole pakko tallentaa omiin tietoihinsa. Varmasti jonkinlainen merkintä jää kun maksaa, jotta voidaan jäljittää kuka osti tarpeen vaatiessa, mutta täydelliset tiedot tuskin ovat missään tallessa. Toki foliohattuna tässä sanotaan, että ON NE TALLESSA JA MONEEN KERTAAN!
Kaikki voidaan murtaa, mutta onko se aina vaivan arvoista?!? Ja ei se tilillä oleva rahakaan aina tallessa ole. Kyllä se sieltäkin voidaan hakkeroida pois. Tai murtomies voi tulla kotiisi ja viedä tyynyn alla olevan kätkösi.
*edit:Quiote / kielenkäyttö*
Ensin MS opetti meidät boottaan ongelmien syntyessä: nyt mummokin osaa bootata digiboxin ja puhelimen kun ne on jumissa, vaikkei MS:n tuotetta ole lähelläkään.
Piratismin kautta annetaan hiljainen hyväksyntä varastamiselle netissä.
Nyt hyväksytään myös, olettaen että alun kysymyksiin vastaus oli: "mitä mä muka voin tehdä, ei kiinnosta..", salasanojen ja muiden henkilökohtaisten tietojen varastaminen.
Onko kohta edessä se, että hyväksytään jos joku varastaa pankkitililtäsi rahaa (no pankkihan sitä tekee jo laillisesti). Ja toisaalta, sehän on hyväksyttykin jo, kunhan se tapahtuu toiselle: "pitikö klikata sitä linkkkiä ja laittaa tunnukset" (muista eläkeläiset jotka ei ymmärrä niin paljon kuin sinä).
Jotenkin ei vain kuullosta kovinkaan hyvältä kehitykseltä. Pitäiskö tähän alkaa vaatiin muutosta?