Valve ha declarado a través de GameSpot que fue culpa de un ajuste del código. Este fallo permitía a otros usuarios ver las cuentas de los jugadores, creando confusión hasta el punto de creer que su cuenta había sido hackeada. Este incidente ha sido una situación embarazosa para Valve. En el fallo causado por el ajuste del código no permitía visualizar los datos más comprometidos. Los usuarios de Valve pueden estar tranquilo por sus tarjetas bancarias y PayPal. La declaración del portavoz de Valve ha sido las siguientes:
Comentarios
#11 pues será que mi cuenta es especial, yo si le doy a editar tengo que volver a añadir el número de la tarjeta al completo y no me deja añadir el CCVS (lo tengo que poner cada vez que compro).
#12 Sabes, creo que estoy viendo tu número de cuenta ahora mismo, dime cual es para confirmar. (ya, y alguien caería seguro...)
Relacionada:
Brecha de seguridad en Steam [ENG]
Brecha de seguridad en Steam [ENG]
kotaku.comNo permitía visualizar los datos más comprometidos pero está lleno de comentarios de usuarios afirmando haber visto datos de cuentas bancarias...
#2 ya, porque los usuarios tienen mucha imaginación, si tu vas a tu cuenta steam a la parte de la cuenta bancaria verás algo asi: ************34 (creo que solo se ven los dos 2 últimos dígitos y el código de seguridad de la tarjeta ni siquiera se guarda, lo tienes que poner cada vez que compras).
Yo creo que vas bien es que a la gente le gusta mucho inventar, no pueden ver algo que ni se almacena en Steam
#3 Está bien saberlo, gracias.
#5 de nada
#3 en esa página dabas al botón "añadir formas de pago" y veías los datos completos. Steam miente, sólo hay que ver que dicen que duró menos d una hora.
#3 se guarda el número de seguridad, sí. lo que han realizar cierto número de transacciones, o cierto dinero gastado o cierto tiempo desde la última comprar (realmente no sé cuándo sucede) te lo vuelve a pedir.
se puede comprar un juego con tres o cuatro clicks.
#3: Conviene muchísimo hablar mal de Steam y desprestigiarlo todo lo posible, especialmente en estas fechas de azogue consumista. Ya se sabe que a río revuelto...
Los Origin y Uplay están al acecho.
#3 Bueno, alguno de IGN iba diciendo por twitter que le habían robado todo lo que tenían en su cuenta bancaria.
Pues no sé cómo será en USA, pero aquí pueden hacer más bien poco.
Supongo que sería attentionwhorismo puro y duro.
#2 Las declaraciones oficiales defiende que no fue nada, pero hay que ver los próximos días hasta donde llega el fallo...
#2 el mundo también está lleno de gente que vio a Ricky Martin y a una chica jugando con mermelada.
¡A llorar a Valve!
Por suerte nunca salvo los datos de la tarjeta en Steam. Jode ponerla cada vez, pero es 100% seguro. No he tenido preocupación alguna de que alguien se pusiera a comprar juegos con mi cuenta
Señores circulen, no pasa nada, no nos han hackeado, simplemente es que somos unos incompetentes, ahora los clientes ya nos quedamos mas tranquilos LOL.
#9 Cometer un error es ser incompetente? Un error que además se solucionó rápidamente y que no comprometía las cuentas. Y esas cuentas no estuvieron en peligro debido seguramente a un buen diseño... Sólo se tuvo acceso de lectura (imposible modificar nada).
Que bien.
#36
#30 Claro que está controlado por Valve. Akamai es una empresa de CDN que Valve usa como servicio externo para servir contenido estático y varnish es un software de caché, y el varnish como en todas partes lo gestiona la gente de Valve como cualquier otro servicio (nginx o apache para servicios web, etc). Vamos, que algún sysadmin de Valve la ha cagado configurando las políticas de caché de varnish al "abrir" demasiado la mano (políticas demasiado permisivas).
Esto es lo equivalente a alguien que use linux y "por si acaso" le asigna los máximos permisos (rwx (lectura, escritura y ejecución) a un fichero, cuando normalmente no es necesario. A estos les estaban atacando y a alguien se le ocurrió que era mejor ampliar la política de caché de varnish para ofrecer más contenido cacheado y mitigar el ataque de alguna forma, pero infructuosamente...
#31 No te había leído, por eso he soltado la chapa en #33
#30 El Varnish es un software que imagino que estaría en el propio servidor de Steam, no es una entidad externa.
Por otro lado, que Akamai sea el CDN no significa que el error sea suyo, puesto que lo que el CDN cachea depende de las cabeceras que se generen en el servidor de Steam, y en último término entonces va a depender de la configuración del servidor web. El problema es que le suma tiempo.
Un CDN suele manejar una serie de servidores zonales que efectúan labores de caché, pero es el servidor web (y/o las cabeceras generadas en cada página) quienes le dicen al CDN si debe cachear o no.
El problema con esto (y por eso se alargaría el problema en el tiempo) es que aunque se reconfigure bien el servidor o servidores web de Steam, la copia en el CDN va a ser distinta, y necesitarían invalidarla de alguna manera. Hasta donde he visto suelen darte algún tipo de API para poder hacer esto o incluso algún gestor web, pero imagino que tirarían abajo la tienda "por si acaso" hasta estar seguros de que toda la info de caché estuviera invalidada.
#31 no se no se... Eso suele estar externalizado
Si fue problema de la cache, me quedo más tranquilo.
En la otra noticia en los comentarios se hablaba de que si había habido robos en Paypal. Ya se aclarará.
"Solo".
Puta caché, anda que no me ha jodido noches.
Esto es como lo del Half Life 3, os están trolleando y mintiendo a todos. Yo por suerte, todo pirata, sin Diógenes digital (hola me llamo Alfredo, tengo 37 años, vivo con mis padres y tengo una cuenta de Steam con 700 juegos, mucha pasta gastada en ellos y un PC de 2000€ para sacarle jugo a todos )
y sin meter nros de cuenta ningunos en ningun lado
Activar más caché para evitar un DDoS no es lo habitual, me huele que la cagaron por ahorrar unos dollars en servidores.
Edito para matizar: lo habitual en estos casos es tirar de firewall.
Saludos
Aquí no ha pasado nada, circulen señores.
Pues preferiría que hubiera sido un ataque, la verdad. Si ha sido fallo de ellos directamente me fio muchísimo menos de ellos.
Valve os miente
cuando son otros servicios el el apocalipsis, cuando es steam pelillos a la mar, en fin..aplaudid un servicio como steam que va a ser un monopolio ( casi lo es ya) con un servicio al cliente horrible y cosas como estas que son realmente graves
#38 mas barato y mas rapido? lo de mas barato aun no me ha pasado, al menos con los juegos que he comprado, y lo de mas rapido...pues no se, si en 1 minuto te dan la clave, no entiendo eso de mas rapido...xDD
Pongo en duda la explicacion ya que desde la pagina que se pueden ver los ataques en el mundo desde china les estaban dando caña.
#7 El problema es que fueron a reconfigurar las cachés para frenar un DDoS, y metieron la pata. Les estaban friendo desde distintos sitios, pero un ataque de denegación de servicio solo sirve para eso, para tirarte la página.
La metida de pata viene cuando Valve reacciona. Para suavizar la carga en las máquinas se les ocurre retocar el sistema de cachés, y entonces es cuando viene el amigo que lo configura mal y hace que se cacheen páginas propias de usuarios logados.
Así que si p.ej la caché estaba puesta a un minuto, cuando alguien accedía a su perfil la página se guardaría y durante el siguiente minuto hasta quedar invalidada la caché, esa es la página que se le mostraría a todos los que accedieran a esa URL. Por eso además cuando hacían click en alguna otra zona cacheada de las que llevan autenticación, la gente decía que les mostraba como otro usuario diferente que no era tampoco el anterior.
Me parece una explicación bastante coherente. Otra cosa es si esta metida de zarpa es más grave o no que un hackeo.
#16 bien explicado, pero la cache no esta controlada por valve. Esta grstionada por akamai y varnish
Nosé como la gente compra juegos por Steam si los venden como si fuera version fisica con el manual y todo (60€ como minimo) Y en G2A y similares los tienes por la mitat o menos, lo encuentro muy lógico al no tener caja y toda la pesca. Y advierto que siempre lo he hecho así y nunca he tenido problems. Además el juego nunca será tuyo segun su politica "Al pagar te activan el juego para que puedas jugarlo"
#24 http://huntgames.es/opinion-sobre-las-tiendas-de-claves-g2a-kinguin-fast2play-g2play
Ejem...
#27 no seré yo el que te discuta lo que dice el artículo, de hecho estoy de acuerdo, pero es que el propio artículo que enlazas dice "Esta es la situación a día de hoy, 7 de abril de 2014" algo antiguo ¿no crees?
#28 Pues busca la cadena "HoT+GW2+banned+key" verás como sigue pasando.
#24 Hay veces que los juegos estan más baratos directamente en Steam. Por otro lado, échale un ojo a instant-gaming. Es de los dueños de g2a, pero más barato y más rápido