Geklaute Nutzerkonten: Steam schließt kritische Sicherheitslücke

Das Logo der Computerspiele-Plattform Steam

(Foto: Steam / Valve / PR)

• Durch einen Programmierfehler konnten Angreifer jedes beliebige Konto beim Computerspiele-Portal Steam übernehmen. Sie benötigten dafür lediglich den Nutzernamen.
• Vor allem bekannte Profi-Spieler oder Produzenten von Let's-Play-Videos waren gefährdet.
• Die Betreiberfirma Valve hat den Fehler inzwischen behoben, betroffene Accounts wurden bis auf weiteres eingefroren.

Sicherheitslücke bei der größten Computerspiele-Plattform der Welt: Durch einen Programmierfehler konnten Angreifer das Nutzerkonto jedes beliebigen Steam-Kunden kapern. Dafür genügte es, dass die Angreifer den Nutzernamen des Opfers kannten, E-Mail-Adresse oder Passwort waren nicht nötig.

Die Betreiberfirma Valve hat den Fehler bereits behoben und die Sicherheitslücke geschlossen. Wie viele Accounts auf diese Weise tatsächlich geknackt wurden, ist nicht bekannt. Gerfährdet waren vor allem solche Nutzer, deren Steam-Accountnamen öffentlich bekannt sind - also beispielsweise Profi-Spieler oder die Produzenten von Let's-Play-Videos auf Youtube.

Wie wurden die Konten gehackt?

Das Vorgehen war erschreckend einfach: Hat ein Steam-Nutzer sein Passwort vergessen, kann er per E-Mail einen Code anfordern, mit dem er das Passwort zurücksetzen und ein neues vergeben kann. Offenbar war es aber gar nicht nötig, diesen Code überhaupt einzugeben: Wenn man das entsprechende Formularfeld leer ließ, konnte man ebenfalls ein neues Passwort eingeben. "Counterstrike"-Streamer "Elm Hoe" zeigte in einem Video, wie einfach es war, Zugriff auf den Account zu erhalten:

Die SZ-Redaktion hat diesen Artikel mit einem Inhalt von Youtube angereichert

Um Ihre Daten zu schützen, wurde er nicht ohne Ihre Zustimmung geladen.

Inhalt jetzt laden

Ich bin damit einverstanden, dass mir Inhalte von Youtube angezeigt werden. Damit werden personenbezogene Daten an den Betreiber des Portals zur Nutzungsanalyse übermittelt. Mehr Informationen und eine Widerrufsmöglichkeit finden Sie unter sz.de/datenschutz.

Dieser externe Inhalt wurde automatisch geladen, weil Sie dem zugestimmt haben.

Zustimmung widerrufen und Seite neu laden

Warum sollte jemand ein Steam-Konto hacken?

Auf Steam verkaufen nicht nur Hersteller ihre Spiele, auch die Spieler können gegen echtes Geld Spielgegenstände untereinander handeln. Seltene virtuelle Gegenstände beispielsweise aus den Spielen "Counterstrike: Global Offensive" oder "Team Fortress 2" können dreistellige Beträge erzielen. Manche virtuelle Ausrüstungsteile wechselten sogar für mehrere Tausend Euro den Besitzer. Angreifer könnten es also auf solche digitalen Sammlerstücke abgesehen haben.

Aber auch die gekaufte Spielesammlung betroffener Nutzer kann in Gefahr sein, wenn der Angreifer mit dem geklauten Account gegen die bei Steam geltenden Regeln verstößt und beispielsweise andere Nutzer beleidigt oder bedroht. Er könnte auch in den Foren, in denen sich die Nutzer über Spiele unterhalten, auf illegale Internetseiten verlinkt haben. Bei solchen Verstöße sperrt Valve das Konto, in besonders schweren Fällen sogar permanent. Dann wären alle Spiele, die mit diesem Steam-Konto gekauft wurden, nicht mehr nutzbar - von strafrechtlichen Konsequenzen, die dem Nutzer drohen könnten, mal abgesehen.

Was sollten Steam-Nutzer jetzt tun?

Ob Ihr Konto überhaupt betroffen sind, merken Sie, wenn Sie versuchen, sich einzuloggen. Klappt das ohne Probleme, dann waren Sie nicht das Ziel einer Attacke - alle betroffenen Accounts sind von Valve derzeit eingefroren, um das Ausmaß des Schadens festzustellen. Hatten Sie zuvor in Ihrem Steam-Konto bereits die Zwei-Faktoren-Authentifizierung "Steam Guard" aktiviert, waren Sie höchstwahrscheinlich ohnehin gegen den Missbrauch geschützt. Ist Ihr Konto jetzt aber gesperrt, sollten Sie sich umgehend an den Kundendienst von Valve wenden.