Подробности взлома форумов Steam: получен доступ ко всем пользовательским данным, включая информацию о кредитных картах
Юрий Цуканов,
Уважаемые пользователи Steam и форумов Steam.
Наши форумы Steam были подвергнуты дефейсу вечером в воскресенье 6-го ноября. Мы начали расследование и обнаружили, что вторжение затронуло больше, чем просто форумы.
Мы выяснили, что помимо фoрумов взломщики получили доступ к базе данных Steam. Эта база содержала информацию, включающую имена пользователей, хэшированные и засоленные пароли, данные об игровых покупках, email адреса, биллинговые адреса и зашифрованные данные по кредитным картам. У нас нет полной уверенности, в том, что злоумышленники получили доступ к зашифрованным данным карт или личной информации, или в том, что данные по паролям и картам были расшифрованы. Мы всё ещё проводим расследование.
До сих пор этими данными не воспользовались. Тем не менее, вы должны внимательно следить за движением средств на вашей карте.
И хотя мы выяснили, что был получен доступ только к нескольким учётным записям на форуме, всем его пользователям необходимо будет сменить пароли при следующей авторизации. Если ваш пароль к форумам использовался где-то ещё — смените его везде.
Мы не наблюдаем ни одну взломанную учётную запись в Steam, поэтому не планируем принудительно менять пароли к ним (т.к. они не связанны с паролями на форуме). Однако, будет совсем не лишним сменить их тоже, особенно если они у вас были одинаковые.
При первой же возможности мы откроем форумы.
Я искренне сожалею о случившемся и полагаюсь на ваше понимание.
Гейб.
Добавлено
По словам Гейба для шифрования данных использовался алгоритм шифрования AES с 256-ти битным ключом. И что скорее нарушатся законы физики, чем будет взломан этот метод. Если этот скриншот не подделка, конечно.
бака. дамп базы таки слили, все нормально с заголовком
Слону дробина не помеха. Народ научится ставить галочку "не запоминать данные карты" в профиле и все будет хорошо.
Надо ждать подробностей, может все обошлось.
http://forums.steampowere d.com/forums/
Я через него и платил, пока кому-то не пришла в голову гениальная идея ввести долбаные рубли и выпилить PayPal.
Это все печально.
Когда взламывали ПСН, сидел с покерфейсом, а вот про стим грустно :С
Надеюсь данные не расшифруют.
Вроде теперь на Стиме можно покупать через Яндекс.Бабки? Похоже, пора переходить на такой способ... там светить нечего :)
Это кому же? Тем, кто BM не могут сделать уже незнамо сколько лет? Или знакомым маперам из 3 подъезда, которые в редакторе аж лестницы научились делать на прошлой недели?
Гейб."
Да без проблем, shit happens, всё будет ок.
CVV в стиме сохраняется?
[Mr.o_O], а чо толку то, если его не подбором ломают
Когда взламывали ПСН, сидел с покерфейсом, а вот про стим грустно :С
тащемта, это было ожидаемо. Был бы оригин популярнее - ломали бы его. Это как вирусы под шindoшs. Пишутся под то, чем пользуется большинство. Но странно, что вальве хранили базы рядом. С учетом того, что форумы с базой стима никак не интегрировались и вообще это сторонний движок - следовало унести базы на отдельные машины, как минимум.
палка сейчас все больше открывается для России. Научится принимать рубли — вернут ее, думаю.
[Mr.o_O], а чо толку то, если его не подбором ломают
соленые хэши им навряд ли интересны, поскольку в идеале они не обратимые, да и профита от этих данных маловато. А вот данные карт хоть и зашифрованы, но зашифрованы обратимо. Поскольку у взламывавших наверняка есть свои аккаунты с привязанными данными карт - у них уже есть некоторое число сопоставлений зашифрованной информации и расшифрованной (известной им), и уже можно подбирать ключ шифрования. Ну здесь тоже не все тривиально и смотря каким алгоритмом шифруется
Жадные дети готовы убить котенка, только чтобы посмотреть что у него внутри.
Отберёшь/украдёшь у Valve - получишь кусок говна. "Сделаю маме плохо, насру себе в штаны".
Мне интересна готовность ep3 на данный момент, а то что я получу через 2-3 года мне по барабану.
И вопрос не по теме, как цитировать текст, так как ты цитировал мой?
Плюсую, не часто здесь адеквата встретишь))
КлючОм, StаlceR, ключом... *facepalm*
"который ради своих низменных сиюминутных потребностей готов оставлять после себя трупы"
Ну да... А разве плохих людей кто то отменял?
Ты мне лучше скажи как цитировать текст, это больше волнует меня как то. Спасибо!
------------------------- -------------------------
Да, теперь я могу отправить это сообщение. Спасибо админ, ответ и исправления ошибки были быстрыми.
Склопендра, не отвечай на это сообщения, как я писал выше, мне уже в падлу спорить.
Мдя, компьютерные взломы это всегда плохо (ну или почти всегда), но такое наверно у каждой компании было, есть и будет. Так что переживет как-нибудь это старушка Valve.
Благодарю
Выпендреж со знанием профессиональных слов не сработал
http://clip2net.com/s/1jj HP
Пока Агенство Национальной Безопасности США не даст хотя бы тонкий намёк, что стоит ограничить применение AES для данных определённого грифа секретности, можно не беспокоиться.
Брутфорсить AES с 256-битным ключом - бесполезная задача. У него слишком высокая стойкость и НЕ СУЩЕСТВУЕТ нормальных, действительно работающих, атак на этот шифр. Так что можно не беспокоиться за данные кредитных карт.
А вот если хотя бы какую-то часть ключей к шированным данным украдут, тогда капец :) Вот как-то так.
Коммьюнити ддосят?
потому что надо чтоб наши лохолизаторы заработали на дисках
Кстати, HL-Inside, какой смысл в опции "выдели ошибку мышкой и нажми Ctrl+Enter", если ошибки потом исправляются в редких случаях? Орфоманьяки негодуют
Он есть, "только недоступен в нашем регионе" Наверное, это и есть ответ на твой вопрос.
Ведь если, ты взломал стим, получил всю инфу о пользователе(включая мыло), то взломать почту не составит труда.
ErrOr
и Админ жжет
правило7
Поле имени и почты предназначены для вашего имени и почты. Это не место для проявления вашего великого цинизма или остроумия. Все правила.
- Комментарии модерируются. В процессе модерации мы руководствуемся исключительно собственным чутьем, которое в правилах полностью раскрыть невозможно.
- Падонкаффский язык здесь категорически не приветствуется. Первонахи и прочие пересчётчики - первые кандидаты на бан.
- Оскорбление других комментаторов - последнее что должно приходить вам в голову.
- Вообще оскорбления кого бы то ни было приводят к отстранению от возможности оставлять комментарии.
- Использование ненормативной лексики не запрещается, но сильно не приветствуется - проявите уважение к собеседнику (замена символов в матерных словах не лишает их этого статуса).
- Не отвечайте на провокационные и противоречащие правилам сообщения - иначе ваш пост также будет подлежать уничтожению.
- Поле имени и почты предназначены для вашего имени и почты. Это не место для проявления вашего великого цинизма или остроумия.
- Мы оставляем за собой право как удалять ваши комментарии, так и править их (что впрочем, происходит исключительно редко).
- Односложные комментарии, комментарии состоящие из одного смайлика, написанные транслитом или одними большими буквами - первые кандидаты на удаление.
- В определённых случаях мы можем отключать возможность комментирования какой-то новости для всех посетителей вообще.
- Забанить человека или удалить сообщение - гораздо проще, чем написать его, чистить свои куки и менять прокси. Подумайте над этим.
- Не стоит пытаться обойти систему бана - этим вы только будете удваивать свой срок наказания (за каждую попытку).
- Если вы отправили два одинаковых сообщения - не стоит писать третье типа "ой, я не хотел" или "у вас глючит" - мы сами разберёмся.