Steam schließt kuriose Sicherheitslücke

Die Computerspiele-Vertriebsplattform Steam hat eine Lücke geschlossen, die auf verblüffend einfache Weise die Übernahme von Nutzerkonten erlaubte. Ein Angreifer musste lediglich den Kontonamen kennen, um über die Passwortwiederherstellung das bisherige Passwort zu ändern. Zu den Opfern zählten insbesondere prominente Gamer, die über die Live-Video-Plattform Twitch streamen.

Die von Stream-Betreiber Valve als „Bug“ bezeichnete Sicherheitslücke trat während der letzten Woche auf. Sie wurde am Wochenende geschlossen, nachdem sich Kunden über gestohlene Konten beschwerten. Der Fehler beruhte auf nachgerade peinlicher Nachlässigkeit und brachte Valve reichlich Spott bei Hacker News ein.

Auf Twitch zeigte ein Spieler, dass der Kontodiebstahl kaum mehr als ein Kinderspiel war. Beim Verfahren der Passwortwiederherstellung sieht Valve eigentlich die Eingabe eines Codes vor, der dem Kontoinhaber per E-Mail übersandt wird. Tatsächlich aber konnte das Passwort auch ohne diesen Code geändert werden. Es genügte, das dafür gedachte Eingabefeld leer zu lassen – und das gewünschte neue Passwort wurde angenommen.

Angreifer haben schon länger ein ausgeprägtes Interesse an der Übernahme von Steam-Konten, da virtuelle Güter aus den Videospielen auch gegen Bares gehandelt werden. Die Opfer sind außerdem in Gefahr, all ihre gekauften Spiele zu verlieren, wenn der falsche Kontoinhaber gegen die Steam-Regeln verstößt und damit eine möglicherweise dauerhafte Sperrung auslöst.

Valve räumte gegenüber Kotaku ein, dass der Fehler „zwischen dem 21. und 25 Juli einen Teil der Steam-Konten“ betraf. „Um die Nutzer zu schützen, setzen wir die Passwörter von Konten zurück, bei denen verdächtige Passwortänderungen vorkamen oder die anderweitig betroffen sein könnten.“ Den betroffenen Nutzer will Valve eine E-Mail mit einem neuen Passwort schicken. Nach Empfang der Nachricht sollen sie sich mit dem Steam-Client bei ihrem Konto anmelden und ein neues Passwort festlegen.

Das Passwort selbst sei nicht enthüllt worden, auch wenn es geändert werden konnte, spielt Valve das von ihm verursachte Problem herunter. In seiner Stellungnahme verweist es außerdem auf die zusätzliche Sicherheitsstufe Steam Guard, die trotz der Sicherheitslücke eine Kontoübernahme hätte verhindern können.