Steam: Valve schließt Sicherheitsleck, doch weitere bleiben offen

Darkmoon76

Autor
Mitglied seit
09.08.2016
Beiträge
384
Reaktionspunkte
85
Jetzt ist Deine Meinung zu Steam: Valve schließt Sicherheitsleck, doch weitere bleiben offen gefragt.


Bitte beachtet: Der Kommentarbereich wird gemäß der Forenregeln moderiert.


lastpost-right.png
Zum Artikel: Steam: Valve schließt Sicherheitsleck, doch weitere bleiben offen
 

1xok

Bekanntes Gesicht
Mitglied seit
05.06.2016
Beiträge
1.411
Reaktionspunkte
455
Funktioniert nur unter Windows. Für den Angriff benötigt der Angreifer aber bereits Zugriff auf den Windows-PC.
 

Batze

Bekanntes Gesicht
Mitglied seit
03.09.2001
Beiträge
16.511
Reaktionspunkte
4.577
Wehe solch gravierende Sicherheitslecks würden sich im Epic Launcher zeigen. Na den Shitstorm, auch hier, will ich sehen. Der Thread hier wäre schon am überlaufen. Aber Steam, na ist ja nicht so schlimm.:-D
 

MichaelG

Bekanntes Gesicht
Mitglied seit
04.06.2001
Beiträge
27.276
Reaktionspunkte
7.179
Epic hat/te deutlich gravierendere Sicherheitsprobleme als Steam (ob diese mittlerweile behoben wurden kann ich nicht sagen). Aber vor einigen Jahren gab es da massivste Probleme. Und zig gehackte Epicaccounts und permanent Meldungen dazu. Hinzu kommen Datenlecks so groß wie der Grand Canyon, dann die Ausspionierung von Daten durch Epic, das Herumstochern in Steamaccounts (Freundeslisten als Beispiel) durch Epic usw. Alles Dinge die mir gar nicht gefallen.

Und es kann z.B. auch nicht sein, daß ein Account trotz 2FA-Absicherung durch Dritte Personen einfach problemlos geknackt werden kann (ohne daß die dazugehörige Emailadresse kompromittiert ist). Daß sich ein Dritter Fremder einfach mit einer bei Epic nicht registrierten/bekannten 2. Emailadresse als der Eigentümer irgendeines Epic-Accounts ausgibt, behauptet die alte Emailadresse würde nicht mehr funktionieren, läßt sich die Wiederherstellungsdaten für einen Account auf seine "neue" Emailadresse schicken und kapert somit den fremden Account indem er das PW ändert und sich mit der neuen Emailadresse beim Epiclauncher einloggt. Genau das lief aber so bei Epic bei meinem damaligen Account so ab (hatte aus irgendwelchen Gründen damals einen Account aber bis auf 1 Spiel nichts weiter relevantes drin und auch keine Bezahldaten dort hinterlegt). Der Witz war auch noch, daß der "Hacker" nicht mal in Deutschland gesessen hatte. Es also nicht ansatzweise einen Grund geben könnte, daß Epic diesem vertrauen könnte, daß es sein Account gewesen sein kann, da es keinerlei Ansätze gab, die eine Vermutung stützen könnten daß es sein Account gewesen sein könnte. Ich hatte den Epic Account auch gefühlt ewig nicht mehr genutzt gehabt. Denn so ist es mir damals geschehen. Daher ist 2FA bei Epic für mich ein totaler Witz gewesen (somit quasi nicht existent). Und es war ein Grund mehr für mich Epic zu meiden. Abgesehen von weiteren mittlerweile hinzugekommenen Gründen wie deren Geschäftsgebahren mit den Exclusivdeals, fehlenden Komfortfeatures etc. pp. Dann werden Preisvorteile die Epic den Publishern gibt durch bessere Konditionen nicht ansatzweise an den Kunden durch günstigere Preise weitergereicht. Wenigstens etwas günstiger könnten die Firmen ihre Spiele ja über Epic dann anbieten wenn sie statt 30% nunmehr nur noch 11% abdrücken müssen und zusätzlich eine Umsatzgarantie erhalten. Aber nöö. Wozu denn auch ? Sicher da liegt die Schuld nicht unbedingt bei Epic. Das ist auch Sache der jeweiligen Firmen. Aber beim Rest hat Epic schon sehr große Anteile am Gesamtproblem.

Ob das mit der Accountübernahme heute noch so laufen kann wie damals habe ich keine Ahnung. Das ist mir auch mittlerweile egal. Aber das war für mich ein Grund warum ich Epic einfach nicht über den Weg traue und daran ändert sich auch nichts. Epic will einfach mit wenig Investitionen, wenig Aufwand in kurzer Zeit einfach viel Kohle machen und Steam mit aller Macht verdrängen. Epic sind Dinge wie Komfort, Kundenfeatures, Sicherheit von Accounts etc. vollkommen egal. Die bekommen nicht mal einen beschissenen Warenkorb auf die Reihe. Es sei denn sie werden durch Dritte bzw. Druck von Außen generell irgendwie gezwungen aktiv zu werden (Datensicherheit z.B. oder Verbot des Datenabgriffs und Verbot von Verwendung von Daten aus dritten Datenbanken ohne Kundenzustimmung). Für Epic zählt nur, daß sie Steam eine verbraten (das ist irgendwie das Hobby und das Lebensziel von Sweeney), sich Produkte exklusiv an Land zu ziehen und Kohle zu machen. Investieren will Epic aber so wenig wie möglich. So wenig wie möglich Aufwand betreiben. Kundenservice wozu ? Den Kunden bindet man durch die Methode der Exklusivdeals wo sie die Kunden mit ködern weil diese das Produkt vorerst nur über Epic bekommen oder dann halt nur auf Konsole. Und Sweeney weiß daß viele Kunden ungeduldig sind und die Ware sofort haben müssen, nicht warten können. Deshalb langen ihm temporäre Exklusivdeals (bis auf wenige Ausnahmen wie Borderlands 12 Monate). Weil der Kunde vergesslich ist und viele Jüngere an der Ware in 12 Monaten gar nicht mehr so interessiert sind.

Wer das noch nicht gerafft hat dem ist einfach nicht zu helfen. Und wer das ganze dann auch noch fleissig durch Käufe bei Epic unterstützt ist das sein Problem. Aber unter dem Strich tut der der Gamergemeinschaft nicht wirklich einen Gefallen. Denn er unterstützt damit falsche Methoden und falsche Geschäftskonzepte. Am Ende leidet der Kunde durch die sinkende Qualität im Kundenservice z.B. und durch die immer größere Marktaufsplittung auf immer mehr Launcher, Vertriebsfirmen die exklusive Waren anbieten etc. pp.
 
Zuletzt bearbeitet:

Rabowke

Klugscheißer
Teammitglied
Mitglied seit
09.12.2003
Beiträge
27.108
Reaktionspunkte
6.231
Epic hat/te deutlich gravierendere Sicherheitsprobleme (ob die behoben wurden kann ich nicht sagen). Angefangen von Datenlecks so groß wie der Grand Canyon. Und es kann z.B. auch nicht sein, daß ein fremder Account trotz 2FA durch Dritte einfach problemlos geknackt werden kann. Daß sich ein Fremder einfach mit einer nicht registrierten 2. Emailadresse als der Eigentümer irgendeines Accounts ausgibt, behauptet die alte Emailadresse würde nicht mehr funktionieren, läßt sich die Wiederherstellungsdaten für einen Account auf seine "neue" Emailadresse schicken und kapert somit den fremden Account indem er das PW ändert und sich mit der neuen Emailadresse einloggt. Genau das lief aber so bei Epic bei meinem damaligen Account (hatte aber nichts relevantes drin und auch keine Bezahldaten hinterlegt). Ob das heute noch genauso so läuft wie damals keine Ahnung. Aber so ist es mir damals geschehen. Daher ist 2FA bei Epic für mich ein totaler Witz gewesen. Und ein Grund mehr für mich Epic zu meiden. Abgesehen von deren Geschäftsgebahren mit den Exclusivdeals, fehlenden Komfortfeatures etc. pp. Dann werden Preisvorteile die Epic den Firmen gibt durch bessere Konditionen nicht ansatzweise an den Kunden durch günstigere Preise weitergereicht. Wenigstens etwas günstiger könnten die Firmen ihre Spiele ja über Epic dann anbieten wenn sie statt 30% nunmehr nur noch 11% abdrücken müssen und zusätzlich eine Umsatzgarantie erhalten. Aber nöö. Wozu denn auch ?
... hmhmmm, wobei dieser Account-Übernahme mit einer Zwei-Faktor-Authentifizierung, die Epic anbietet, nicht funktioniert. Mir fällt da spontan nur ein, dass jemand deine Zugangsdaten hatte und dann den von dir beschriebenen Weg genommen hat. Wobei sich da die Frage stellt wie und wer an deine Zugangsdaten gekommen ist, Fehler #1, und natürlich warum die o.g. Zwei-Faktor-Authentifizierung nicht eingestellt bzw. genutzt wird / wurde, Fehler #2.

Einfach eine E-Mail an den Support schreiben und hoffen dass die 2. E-Mail gesetzt und die 1. E-Mail gelöscht wird, nein, so dämlich sind die bei Epic dann doch nicht. :B ;)

Ich persönlich finde die Sicherheitslücke für Admin-Rechte schon ziemlich krass, wobei sich natürlich die Frage stellt wo und wie man das sinnvoll ausnutzen kann, denn dafür müsste ja Steam auch mit Admin-Rechten installiert werden. Ich kann mir nicht vorstellen, dass ein normaler User Steam ohne Admin-Rechte installieren kann und sich Steam dann trotzdem diese Rechte holt. ;)

Wie dem auch sei ... ein Teil in dieser News fehlt mMn: das Valve die Meldung der Bug-Hunter hat schließen wollen und auch kein Geld für diesen Fehler bezahlen wollte, kann man bei den Kollegen von Golem.de nachlesen: https://www.golem.de/news/hackerone...team-bleibt-vorerst-ungefixt-1908-143110.html
 

MichaelG

Bekanntes Gesicht
Mitglied seit
04.06.2001
Beiträge
27.276
Reaktionspunkte
7.179
... hmhmmm, wobei dieser Account-Übernahme mit einer Zwei-Faktor-Authentifizierung, die Epic anbietet, nicht funktioniert. Mir fällt da spontan nur ein, dass jemand deine Zugangsdaten hatte und dann den von dir beschriebenen Weg genommen hat. Wobei sich da die Frage stellt wie und wer an deine Zugangsdaten gekommen ist, Fehler #1, und natürlich warum die o.g. Zwei-Faktor-Authentifizierung nicht eingestellt bzw. genutzt wird / wurde, Fehler #2.

Einfach eine E-Mail an den Support schreiben und hoffen dass die 2. E-Mail gesetzt und die 1. E-Mail gelöscht wird, nein, so dämlich sind die bei Epic dann doch nicht. :B ;)

Ich persönlich finde die Sicherheitslücke für Admin-Rechte schon ziemlich krass, wobei sich natürlich die Frage stellt wo und wie man das sinnvoll ausnutzen kann, denn dafür müsste ja Steam auch mit Admin-Rechten installiert werden. Ich kann mir nicht vorstellen, dass ein normaler User Steam ohne Admin-Rechte installieren kann und sich Steam dann trotzdem diese Rechte holt. ;)

Wie dem auch sei ... ein Teil in dieser News fehlt mMn: das Valve die Meldung der Bug-Hunter hat schließen wollen und auch kein Geld für diesen Fehler bezahlen wollte, kann man bei den Kollegen von Golem.de nachlesen: https://www.golem.de/news/hackerone...team-bleibt-vorerst-ungefixt-1908-143110.html

Es war aber so. Epic hatte diesem Typen oder der Typin (keine Ahnung) vertraut und die Emailadresse incl. dem Reset einfach auf die neue Email geändert. Das war ja der Knackpunkt. Ob das heute noch so funktionieren würde weiß ich nicht (hoffe es aber nicht). Aber damals war es bei mir so gewesen. Das ganze ist aber schon ne ganze Ecke her. Weit vor den Exklusivdeals von Epic. Und so etwas ist ein absolutes no Go. Wie so etwas überhaupt gehen kann ist mir schleierhaft. Ich hatte es nur mitbekommen gehabt, weil ich mich aus irgendwelchen Gründen bei Epic einloggen wollte und einfach nichts ging. Da war nicht mal meine Emailadresse bekannt beim Paßwortreset.
Daraufhin hatte ich Epic angeschrieben die mir dann lapidar mitgeteilt hatten, ich hätte doch auf eigenen Wunsch meine Emailadresse geändert und es denen mitgeteilt. :eek: Und die 2FA war damals on!! Das war ja der Punkt. Und die Emailadresse war safe! Da hatte kein fremder Zugriff drauf. Das war für mich wie gesagt ein gravierender Punkt in der Liste warum ich Epic nicht über den Weg traue. Der Rest hat sich jetzt durch die Geschichte der letzten Monate ergeben. Wie sich Epic die Exklusivdeals gekrallt hat, wie Epic in fremden Datenbanken (Freundeslisten bei Steam) spioniert hatte usw.

Für mich ist und bleibt Epics Verhalten schlichtweg unterirdisch und ich werde Epic aus genau den erwähnten Gründen weiterhin meiden.
 
Oben Unten