El servicio de Valve está sufriendo una especie de catástrofe en estos momentos, dando acceso a jugadores de todo el mundo acceso a las cuentas de otras personas. Todavía no están las cosas claras, pero hay filtración de información sensible, entre otros: correo electrónico, historial de compra, licencias...
#3:
Aprovecho este bombazo de STEAM para confesarlo: Voté a IU-UP únicamente porque Alberto Garzón está muy muy muy bueno.
#7:
Probablemente es un fallo con la caché de los servidores web:
It's a problem with their caching-server (varnish), caching pages that should not be cached (such as Account-Details, Cart, etc.). It invalidates after some time and is re-cached when the next user visits the page with their profile. You are not actually logged in (as in, you take over the session of the user), you just see pages rendered for others than yourself. This is why different parts of steam appear as different users.
Which page you see is probably dependent on the edge node (first server you connect to) closest to you, hence why different users see different profiles.
My guess to how this could've happened is that an untested configuration got activated when steam went down earlier, e.g. due to an auto-conf service (puppet, chef) pulling an untested config or some of their live servers being replaced by staging / development servers. It's also possible that they were under heavy load and the engineer on duty reconfigured all their edge nodes to cache more aggressively.
Let's hope they fix this fast, because this is a major data leak. I can see private E-Mail and account names. Let's hope their cache server is not delivering internal pages.
#70:
Una crisis nuclear como la de Chernobil o Fukushima son minucias comparado con esto. Veinte millones de frikis estamos ahora mismo en un sinvivir. Yo me he salido de la cuenta, por la tarde había estado jugando sin problemas, además ayer noche y hoy por la mañana había estando comprando, sobre todo para regalar a amigos. Me voy al rincón de llorar
#77:
#46 Cachés como Varnish son muy útiles cuando tienes contenido que, aunque se genera dinámicamente, va a dar el mismo resultado a muchos usuarios. Lo generas una vez (es lo que consume CPU, recursos de BD, etc) y guardas ese resultado para los N usuarios siguientes.
Con esto consigues multiplicar por 100, 1000, 10000... la capacidad del mismo servidor para atender usuarios simultáneamente.
Cuando configuras Varnish le dices cuáles son las excepciones, es decir, de qué cosas no puede "hacer una foto" y tiene que generar siempre y de forma individual.
Normalmente, cuando el usuario inicia sesión o cuando solicita una ruta del "carrito" o de su cuenta personal, se trata como excepción y no se cachea. El problema es que Varnish no "sabe" de eso y no tiene mecanismos de protección ante lo que parece que ha pasado, y es que alguien ha cambiado las exepciones por unas erróneas y estamos viendo las cachés de gente que inició sesión.
Dudo muchísimo que los niñatos de Lizzard Squad sean los responsables como apunta #30. Más que nada porque cambiar la config de los servidores de Valve es más probable que sea por error humano de un admin de Valve que no porque un externo haya conseguido penetrar en ellos.
Dicho esto, no tengo ni idea de qué ha pasado realmente, son simplemente conjeturas mías.
#60:
#44 No son agujeros, son brechas de seguridad
Información de cuenta incorrecta
Hemos recibido avisos de que a veces las personas ven la información de cuenta de otras personas en la página de la cuenta. Valve ha tenido conocimiento de esto y está trabajando en una solución.
Algunas preguntas frecuentes:
- No, Steam no está hackeado
- Información de tarjetas de crédito y números de teléfono son, como manda la ley, censurados y no es visible para los usuarios.
Imagina que durante toda tu vida luchas por algo pero, tras tu muerte, algún cabrón te define de otra manera y pasas a la posteridad por ejemplificar lo opuesto por lo que luchaste.
Lo de Diógenes de Sínope deja la situación de Tesla como una mala tarde.
#35:
Espero que nos regalen un montón de juegos por esto...
Ashley Madison me jodió la vida y no mandó ni un puto lubricante.
#21:
UPDATE (4:30pm): Valve has shut down the Steam store, presumably until they fix this problem.
(Actualización: Valve ha desactivado la tienda de Steam, presumiblemente hasta que solucionen el problema.)
#4:
#2 SteamDB (que no es un canal de comunicación oficial) dice por Twitter que tocar algo de nuestras cuentas ahora nos pondría aún más en riesgo. Lo mejor es no tocar nada y no entrar a ningún sitio de Steam, según ellos.
#12:
Mecagondiox, tengo una cuenta con más de 600 juegos y espero que esto no signifique que alguien puede haber hecho algo a mi cuenta, es un problema bien gordo, hay gente con miles de euros en juegos y el problema que está teniendo steam ahora es un problema de seguridad enorme.
Espero que se quede en un problema menor y sin grandes consecuencias, pero hay gente que ha podido acceder a ciertos datos personales de otros y es solo cuestión de suerte que un usuario malintencionado haya podido acceder a ellos o no ya que el problema es que está mostrando las cuentas de otros usuarios de forma aleatoria, te logueas y te muestra los datos de otro.
#30:
Parece que los niños rata de lizzard squad, junto con los de phantom, son lo que están detrás. Cuando he visto la noticia en el subreddit de Steam, al llegar a casa, estaba logueado en el cliente (y parecía normal).
Pero vamos, cuenta de más de 10 años, con unos 300 juegos, y había pasado 50 leuros al wallet por si compraba algo estas rebajas...
#65:
Los de Valve dicen que alomojó puede tener que ver con un ataque DDoS que sufrieron, pero me parece más tirar balones fuera ante una negligencia de alguien que ha configurado lo que se cachea metiendo la pata hasta el fondo.
Probablemente es un fallo con la caché de los servidores web:
It's a problem with their caching-server (varnish), caching pages that should not be cached (such as Account-Details, Cart, etc.). It invalidates after some time and is re-cached when the next user visits the page with their profile. You are not actually logged in (as in, you take over the session of the user), you just see pages rendered for others than yourself. This is why different parts of steam appear as different users.
Which page you see is probably dependent on the edge node (first server you connect to) closest to you, hence why different users see different profiles.
My guess to how this could've happened is that an untested configuration got activated when steam went down earlier, e.g. due to an auto-conf service (puppet, chef) pulling an untested config or some of their live servers being replaced by staging / development servers. It's also possible that they were under heavy load and the engineer on duty reconfigured all their edge nodes to cache more aggressively.
Let's hope they fix this fast, because this is a major data leak. I can see private E-Mail and account names. Let's hope their cache server is not delivering internal pages.
#7 Tiene sentido, es una cagada muy gorda, pero eso al menos implica que aquellos que no se han logueado en las últimas horas están seguros, eso al menos disminuye la exposición de los datos y reduce el tamaño del problema, aún así hay datos importantes expuestos como la cuenta de paypal, el correo y múltiples datos personales que tal vez podrían usarse para acceder a una cuenta.
#7 Nunca he entendido la ventaja de usar varnish en lugar de simplemente añadir mas nodos a una base de datos distribuida. Supongo que depende de cuantas veces impacte en la BD cada carga de página y de tu necesidad de mantener la información actualizada en tiempo real.
#34 por lo que he visto yo, usar varnish es una mejora justificada para reducir el consumo de cpu de los servidores. Se nota vamos. Poner más máquinas significa poner más pasta, en servidores, sysadmins, mantenimiento, etc.
El problema aqui está en que hay algún bug en algún punto (ya sea de la configuración o del própio varnish) que permite ver estas caches.
A ver si algun sysadmin nos puede ampliar la información.
#46 Cachés como Varnish son muy útiles cuando tienes contenido que, aunque se genera dinámicamente, va a dar el mismo resultado a muchos usuarios. Lo generas una vez (es lo que consume CPU, recursos de BD, etc) y guardas ese resultado para los N usuarios siguientes.
Con esto consigues multiplicar por 100, 1000, 10000... la capacidad del mismo servidor para atender usuarios simultáneamente.
Cuando configuras Varnish le dices cuáles son las excepciones, es decir, de qué cosas no puede "hacer una foto" y tiene que generar siempre y de forma individual.
Normalmente, cuando el usuario inicia sesión o cuando solicita una ruta del "carrito" o de su cuenta personal, se trata como excepción y no se cachea. El problema es que Varnish no "sabe" de eso y no tiene mecanismos de protección ante lo que parece que ha pasado, y es que alguien ha cambiado las exepciones por unas erróneas y estamos viendo las cachés de gente que inició sesión.
Dudo muchísimo que los niñatos de Lizzard Squad sean los responsables como apunta #30. Más que nada porque cambiar la config de los servidores de Valve es más probable que sea por error humano de un admin de Valve que no porque un externo haya conseguido penetrar en ellos.
Dicho esto, no tengo ni idea de qué ha pasado realmente, son simplemente conjeturas mías.
Creo que el problema es que los payasos estos estaban con el DDoS y algún sysadmin ha querido absorber el ataque mediante políticas de caché más agresivas y la ha cagado.
#77 El problema principal no ha sido el ataque DDoS, pero sí ha habido ataque DDoS (han tirado dos veces los servidores)... solo hay que fijarse en algún visualizador. A ver qué hace el tito Gaben, porque según Volvo no ha pasado nada.
#84 Por eso digo que probablemente alguien en Valve o Akamai habrá querido mitigar el DDoS cambiando las políticas de caché y se ha pasado de frenada.
Pienso que darle el "mérito" de lo sucedido a Lizzard Squad es como darle mérito al Cádiz por "eliminar" al Madrid. Ellos sólo fueron a intentar molestar un poco y el rival se disparó él solito en el pie.
#77 veo que sabes, sabes también el tiempo de cacheo de esa herramienta? Es decir, si no has logueado desde ayer, la pagina seguira cacheada, pero si llvas mas tiempo lo mismo no...
Por ahí pueden salvarse muchos ue entren poco, yo conecté ayer (automaticamente) así que doy por hecho que la mía puede haber salido...
#46 Varnish no cachea páginas que tienen cookies por defecto, o sea que no hace casi nada en aplicaciones que llevan sesión.
La primera configuración que suele hacerse es pedirle que ignore las cookies, pero claro, eso sólo puede hacerse con aquellas páginas o partes de código que son comunes a todos los usuarios. Si no, un usuario podría ver los datos de otro.
Los datos propios de cada usuario no deberían cachearse, o bien habría que modificar el hash de la caché para que se genere una vista diferente para cada usuario.
En resumen, la han liado parda con una cagada típica de novatos.
Y no quiero hacer más leña de árbol caído, pero a veces los sysadmins son mucho más "echaos palante" que los programadores, que ahora usamos TDDs y mariconadas redundantes por el estilo.
Una crisis nuclear como la de Chernobil o Fukushima son minucias comparado con esto. Veinte millones de frikis estamos ahora mismo en un sinvivir. Yo me he salido de la cuenta, por la tarde había estado jugando sin problemas, además ayer noche y hoy por la mañana había estando comprando, sobre todo para regalar a amigos. Me voy al rincón de llorar
Mecagondiox, tengo una cuenta con más de 600 juegos y espero que esto no signifique que alguien puede haber hecho algo a mi cuenta, es un problema bien gordo, hay gente con miles de euros en juegos y el problema que está teniendo steam ahora es un problema de seguridad enorme.
Espero que se quede en un problema menor y sin grandes consecuencias, pero hay gente que ha podido acceder a ciertos datos personales de otros y es solo cuestión de suerte que un usuario malintencionado haya podido acceder a ellos o no ya que el problema es que está mostrando las cuentas de otros usuarios de forma aleatoria, te logueas y te muestra los datos de otro.
#45 No, steam no muestra la contraseña ya que la tiene encriptada, no la puede mostrar, pero si puede mostrar los últimos datos de tu tarjeta de crédito, la cuenta de paypal, parte de tu número de teléfono si tienes steam guard, el correo electrónico...
#69 Algo hay que aportar esos si yo aun ando cabreado con el estudio del stalker la manera en que una ip lucrativa y buena se fue tomar por el culo, cada vez que veo el jodido fallout me cabreo.
#22 Más o menos, no te lo voy a negar, muchos son de humble bundle, la realidad es que no habré jugado ni a 20% de todos los juegos, pero bueno, cada uno tiene su hobby... de consola tengo cerca de un centenar (en estos si que he jugado a la mayoría, aunque admito que tengo una decena que todavía no he usado o que a penas los he usado más de unos minutos)
Imagina que durante toda tu vida luchas por algo pero, tras tu muerte, algún cabrón te define de otra manera y pasas a la posteridad por ejemplificar lo opuesto por lo que luchaste.
Lo de Diógenes de Sínope deja la situación de Tesla como una mala tarde.
#2 SteamDB (que no es un canal de comunicación oficial) dice por Twitter que tocar algo de nuestras cuentas ahora nos pondría aún más en riesgo. Lo mejor es no tocar nada y no entrar a ningún sitio de Steam, según ellos.
Información de cuenta incorrecta
Hemos recibido avisos de que a veces las personas ven la información de cuenta de otras personas en la página de la cuenta. Valve ha tenido conocimiento de esto y está trabajando en una solución.
Algunas preguntas frecuentes:
- No, Steam no está hackeado
- Información de tarjetas de crédito y números de teléfono son, como manda la ley, censurados y no es visible para los usuarios.
#76 Yo puedo añadir que aunque la web no está disponible por este problema con la cache, los servidores de nube sí funcionan pues estaba echando una partida al X3:TC en modo Dead is Dead y se ha guardado perfectamente. (y menos mal )
Parece que los niños rata de lizzard squad, junto con los de phantom, son lo que están detrás. Cuando he visto la noticia en el subreddit de Steam, al llegar a casa, estaba logueado en el cliente (y parecía normal).
Pero vamos, cuenta de más de 10 años, con unos 300 juegos, y había pasado 50 leuros al wallet por si compraba algo estas rebajas...
#30 Los jodidos niños rata que se dedican a joder al personal en navidad, todos los putos años igual, a impedir que la gente pueda jugar en navidad hackeando los servidores de los servicios de juego online... como el grinch pero en niño rata de los cojones.
#36 Hace no mucho se dedicaron a tirar los servidores de NCSoft (principalmente Wildstar y Guild Wars 2) y durante un par de días fue injugable.
Estoy viendo capturas de inventarios, de gente que tradeaba items de TF2, CS y demás, y de inventarios vaciados... puto Volvo. Y encima hay una horda de manolitos que se están dedicando a poner capturas de la información "errónea" que tienen en su cuenta.
Lo último que he visto en reddit:
About 1-2 hours ago (as of posting this) (21:14 Norwegian time) steam's chaching servers started going rouge Source causing people to see other users' account details. Example 1, Example 2(Courtesy of /u/thisnytro )
At the moment the store is offline (https://steamstat.us/ ).
The account details page is offline (https://store.steampowered.com/account/ )
I tried adding funds earlier to check how severe this is, but nothing would load so I believe that transactions have been shut off as well. Not confirmed though.
Steam mobile authenticator codes should not have been compromised. To get new backup codes steam requires you to input a current authenticator code first. Your mobile authenticator codes SHOULD be fine.
What should you do?
SteamDB advices to stay away from steam as a whole. Source
If you're going to unlink your paypal from steam, do it through paypal.com Source
Wait until the bug has been dealt with before you start changing any information.
Keep an eye on your bank account balance.
Keep an eye on your email for the coming weeks.
Don't be a dick by releasing personal information. That can fuck people over big-time.
Los de Valve dicen que alomojó puede tener que ver con un ataque DDoS que sufrieron, pero me parece más tirar balones fuera ante una negligencia de alguien que ha configurado lo que se cachea metiendo la pata hasta el fondo.
#65 Probablemente sea un poco ambas cosas, los niños rata estaban atacando a steam y eso ha hecho que se toquen los servidores de steam para reducir el impacto y al hacer eso un sysadmin la ha cagado hasta el fondo.
#68 Me parece pero que muy coherente tu hipótesis. Ese efecto en el que quieres arreglar un problema muy rápido y como no piensas haces algo con lo que la cagas de verdad.
Y este tipo de metida de pata con la configuración del cacheado no es la primera vez que la veo siendo del gremio pero claro, otra cosa es que lo hagas siendo el puto Steam
#71 Sinceramente, con una organización tan anarquica como la que tiene Valve esto era algo que podía ocurrir, está muy bien el que la gente pueda elegir lo que hace y en que trabaja, está muy bien eso de un ambiente en que todos son iguales... pero por mucho que eso fomente la creatividad causa un montón de problemas, de entrada el servicio al cliente de Valve es deficiente, nadie quiere dedicarse a dar servicio así que nadie lo hace y luego ante una crisis pues puede darse el caso de que alguien que no es un experto se ponga a ayudar y la lie... no digo que sea lo que ha pasado pero es una posibilidad.
#74 Lo peor es que yo he visto cagadas como estas (aunque sin tales consecuencias) en compañías supuestamente superserias donde todo tiene que pasar mil aprobaciones y el visto bueno de seguridad como si fuera un "asuntos internos" hiperestricto, pero donde luego el eslabón final que tiene que tocar la configuración de las cachés la caga y te lo comes.
Y luego ya ríete si las cachés van coordinadas con un CDN externo.
Llego a casa, y lo primero que hago es abrir Steam, logueándome desde luego. Lo cierro al ver que no carga. "Voy a abrir menéame a ver las noticias" me digo, y me encuentro ésto de primera noticia.
#29 más que provocado por un ataque DDOS suena a provocado por las contramedidas que Valve quiso implementar en previsión del DDOS. Es decir, aplicar una configuración "de contingencia", que por despiste o a saber por qué no incluían la regla de "no cachear nada de /account". Valve ha dicho que han cambiado algo en la configuración hoy, asi que igual es por eso.
Corregidme si estoy diciendo una burrada, pero, que yo sepa, en la cache NO VA la sesión ni las cookies, por lo tanto tu puedes ver las páginas de otro usuario por el fallo del Varnish (si funcionase la web, que no es el caso) pero en cuanto se pulse sobre cualquier cosa te va a mandar al login... ¿no?
#50 por lo que he leido en reddit no parece haber problema alguno con las cookies, solo recibías la versión estática de la web hecha para otros usuarios, sin poder tocar nada, pero cada uno solo tiene su cookie. En cuanto intentabas cambiar el username o algo te daba un mensaje de error.
Jode que susto, ya pensaba que me habia robado la cuenta un ruso, pero luego viendo que cambiaba del ruso al sueco sin control, he buscado un poco, y por seguridad desvinculado desde paypal el pago de steam...
Bueno, visto que la tienda está cerrada, vistazo al Paypal para ver si ha pasado algo (que no ha sido así) mientras todavía no lo estaba y ya está.
En el peor caso creo que se puede hacer devolución por Paypal, y con la que se ha liado imagino que si ya los de Steam te dejaban devolver cualquier juego sin problemas, si se hace durante estas horas te devolverán la pasta y te pedirán perdón de regalo.
Lo que me imagino es que también habrá más de un baneo de cuenta para quien se haya pasado de listo.
Yo en unas horas me voy de viaje y estoy acojonado porque todo está en la tarjeta guardada en Steam, por otro lado llevo sin entrar a lo mejor 3 semanas, a ver en que acaba esto.
#27 Steam no muestra los números de la tarjeta solo los dos últimos y es necesario del código de seguridad para pagar, así que con eso no hay problema. A ver que dicen desde steam que hoy es 25 y tienen la tienda chapada ...
La ventaja es que nadie puede hackear una cuenta en particular, sino que te toca la que a varnish le apetece darte. Aún así, ... Cagada que no debería ser complicado de solucionar al menos temporalmente...
#31 En principio entiendo que no pasará nada, lo normal es que Valve asuma todos los problemas que puedan ocurrir, en cualquier caso creo y solo creo que nadie tenía la posibilidad de comprar, podían ver lo que tenías en la steam wallet pero no podían usar ese dinero.
En fin parece un problema gordo. Están muy alarmados en las comunicaciones que esta haciendo Valve... a ver que pasa, steam permite tener linkeada a tu cuenta información de tarjetas de crédito y logins de paypal...
#13 Las tarjetas siempre tapan números, nunca sale la información completa, el problema está con las cuentas Paypal. En Reddit han reportado ya cargos no deseados a la cuenta Paypal.
#48 Nada, no te loguees hasta que Steam confirme que está solucionado.
Por lo visto es un acceso aleatorio a las cuentas de otros usuarios, los cuales pueden ver tu información personal, pero no comprar juegos con tu cuenta. Supongo que en su momento habrá que revisar qué datos personales han podido ser expuestos.
Y por último supongo que lo recomendable es cambiar la contraseña. Ya se que es un coñazo pero...
#57 Recomiendan esperar a que Valve de el visto bueno antes de cambiar nada. Eso si, si tu contraseña de Steam es la misma que la de tu cuenta de correo asociada mejor cambiar la del correo lo antes posible.
Comentarios
Aprovecho este bombazo de STEAM para confesarlo: Voté a IU-UP únicamente porque Alberto Garzón está muy muy muy bueno.
#3 Por ese criterio podrías haber votado a Pdr Snchz
#32 si tiene agujeros en la cara
#44 No son agujeros, son brechas de seguridad
#44 Su cara dice "buenorro" en braille.
#3 Si vamos, esa cara picadita de viruela es secsi secsi.
#37 Pues yo a Edward James Olmos le daba...
#67 Yo también, con un palo.
#3 es Jhon nieve
#3 Tu vida sexual (o ausencia de la misma) no nos interesa.
#3 se le ve el cartón!
#3 Si no meteis la politica española en cualquier noticia R E V E N T A I S
#3
#3 tranquilo, a mi también me pone mucho, te entiendo
Probablemente es un fallo con la caché de los servidores web:
It's a problem with their caching-server (varnish), caching pages that should not be cached (such as Account-Details, Cart, etc.). It invalidates after some time and is re-cached when the next user visits the page with their profile. You are not actually logged in (as in, you take over the session of the user), you just see pages rendered for others than yourself. This is why different parts of steam appear as different users.
Which page you see is probably dependent on the edge node (first server you connect to) closest to you, hence why different users see different profiles.
My guess to how this could've happened is that an untested configuration got activated when steam went down earlier, e.g. due to an auto-conf service (puppet, chef) pulling an untested config or some of their live servers being replaced by staging / development servers. It's also possible that they were under heavy load and the engineer on duty reconfigured all their edge nodes to cache more aggressively.
Let's hope they fix this fast, because this is a major data leak. I can see private E-Mail and account names. Let's hope their cache server is not delivering internal pages.
#7 Tiene sentido, es una cagada muy gorda, pero eso al menos implica que aquellos que no se han logueado en las últimas horas están seguros, eso al menos disminuye la exposición de los datos y reduce el tamaño del problema, aún así hay datos importantes expuestos como la cuenta de paypal, el correo y múltiples datos personales que tal vez podrían usarse para acceder a una cuenta.
#7 Nunca he entendido la ventaja de usar varnish en lugar de simplemente añadir mas nodos a una base de datos distribuida. Supongo que depende de cuantas veces impacte en la BD cada carga de página y de tu necesidad de mantener la información actualizada en tiempo real.
#34 por lo que he visto yo, usar varnish es una mejora justificada para reducir el consumo de cpu de los servidores. Se nota vamos. Poner más máquinas significa poner más pasta, en servidores, sysadmins, mantenimiento, etc.
El problema aqui está en que hay algún bug en algún punto (ya sea de la configuración o del própio varnish) que permite ver estas caches.
A ver si algun sysadmin nos puede ampliar la información.
#46 go to #30
#46 Cachés como Varnish son muy útiles cuando tienes contenido que, aunque se genera dinámicamente, va a dar el mismo resultado a muchos usuarios. Lo generas una vez (es lo que consume CPU, recursos de BD, etc) y guardas ese resultado para los N usuarios siguientes.
Con esto consigues multiplicar por 100, 1000, 10000... la capacidad del mismo servidor para atender usuarios simultáneamente.
Cuando configuras Varnish le dices cuáles son las excepciones, es decir, de qué cosas no puede "hacer una foto" y tiene que generar siempre y de forma individual.
Normalmente, cuando el usuario inicia sesión o cuando solicita una ruta del "carrito" o de su cuenta personal, se trata como excepción y no se cachea. El problema es que Varnish no "sabe" de eso y no tiene mecanismos de protección ante lo que parece que ha pasado, y es que alguien ha cambiado las exepciones por unas erróneas y estamos viendo las cachés de gente que inició sesión.
Dudo muchísimo que los niñatos de Lizzard Squad sean los responsables como apunta #30. Más que nada porque cambiar la config de los servidores de Valve es más probable que sea por error humano de un admin de Valve que no porque un externo haya conseguido penetrar en ellos.
Dicho esto, no tengo ni idea de qué ha pasado realmente, son simplemente conjeturas mías.
#77 Siguendo con el tema:
Creo que el problema es que los payasos estos estaban con el DDoS y algún sysadmin ha querido absorber el ataque mediante políticas de caché más agresivas y la ha cagado.
#77 El problema principal no ha sido el ataque DDoS, pero sí ha habido ataque DDoS (han tirado dos veces los servidores)... solo hay que fijarse en algún visualizador. A ver qué hace el tito Gaben, porque según Volvo no ha pasado nada.
http://map.norsecorp.com/
#84 Por eso digo que probablemente alguien en Valve o Akamai habrá querido mitigar el DDoS cambiando las políticas de caché y se ha pasado de frenada.
Pienso que darle el "mérito" de lo sucedido a Lizzard Squad es como darle mérito al Cádiz por "eliminar" al Madrid. Ellos sólo fueron a intentar molestar un poco y el rival se disparó él solito en el pie.
#77 veo que sabes, sabes también el tiempo de cacheo de esa herramienta? Es decir, si no has logueado desde ayer, la pagina seguira cacheada, pero si llvas mas tiempo lo mismo no...
Por ahí pueden salvarse muchos ue entren poco, yo conecté ayer (automaticamente) así que doy por hecho que la mía puede haber salido...
#46 Varnish no cachea páginas que tienen cookies por defecto, o sea que no hace casi nada en aplicaciones que llevan sesión.
La primera configuración que suele hacerse es pedirle que ignore las cookies, pero claro, eso sólo puede hacerse con aquellas páginas o partes de código que son comunes a todos los usuarios. Si no, un usuario podría ver los datos de otro.
Los datos propios de cada usuario no deberían cachearse, o bien habría que modificar el hash de la caché para que se genere una vista diferente para cada usuario.
En resumen, la han liado parda con una cagada típica de novatos.
Y no quiero hacer más leña de árbol caído, pero a veces los sysadmins son mucho más "echaos palante" que los programadores, que ahora usamos TDDs y mariconadas redundantes por el estilo.
#34 Si usas cache la petición no llega a tocar la aplicación, el mismo servidor web puede despacharla.
#34 Se tarda mucho menos en servir una pagina desde caché que a generarla con el backend y servirla. Ademas se ahorra en recursos y servidores
#34 Es mucho más barato. No es sólo el sql, también te quita mucha carga en los frontales http.
#7 Menudo lío te puede montar un varnish mal configurado,aunque tampoco debería costar mucho arreglar las reglas incorrectas.
#7 Si eso es cierto, hay que ser burro para cachear ese tipo de datos, de verdad. Tienen que rodar cabezas.
Salu2
Una crisis nuclear como la de Chernobil o Fukushima son minucias comparado con esto. Veinte millones de frikis estamos ahora mismo en un sinvivir. Yo me he salido de la cuenta, por la tarde había estado jugando sin problemas, además ayer noche y hoy por la mañana había estando comprando, sobre todo para regalar a amigos. Me voy al rincón de llorar
Espero que nos regalen un montón de juegos por esto...
Ashley Madison me jodió la vida y no mandó ni un puto lubricante.
UPDATE (4:30pm): Valve has shut down the Steam store, presumably until they fix this problem.
(Actualización: Valve ha desactivado la tienda de Steam, presumiblemente hasta que solucionen el problema.)
Mecagondiox, tengo una cuenta con más de 600 juegos y espero que esto no signifique que alguien puede haber hecho algo a mi cuenta, es un problema bien gordo, hay gente con miles de euros en juegos y el problema que está teniendo steam ahora es un problema de seguridad enorme.
Espero que se quede en un problema menor y sin grandes consecuencias, pero hay gente que ha podido acceder a ciertos datos personales de otros y es solo cuestión de suerte que un usuario malintencionado haya podido acceder a ellos o no ya que el problema es que está mostrando las cuentas de otros usuarios de forma aleatoria, te logueas y te muestra los datos de otro.
#12 ¿600 juegos? Tranquilo, dime tu cuenta y contraseña que compruebe que todo va bien.
#16 La mayoría son de humble bundles... pero sí, más de 600 juegos.
El usuario es Xtrem3 y la contraseña es A123456
#18 Me has recordado a esto:
#18 Se pueden ver las contraseñas ajenas?
#45 No, steam no muestra la contraseña ya que la tiene encriptada, no la puede mostrar, pero si puede mostrar los últimos datos de tu tarjeta de crédito, la cuenta de paypal, parte de tu número de teléfono si tienes steam guard, el correo electrónico...
#16 Humbles y casos como un amigo que trabajo/a en varios estudios importantes puedes tener la cuenta petada.
#62 Que me pase también la cuenta, por si acaso.
#63 Este atento los humble que por 1€ cada pack llegas a esos 300 con 25e
#64 Coincidirás conmigo en que es más lucrativo si el euro lo pone otro
#69 Algo hay que aportar esos si yo aun ando cabreado con el estudio del stalker la manera en que una ip lucrativa y buena se fue tomar por el culo, cada vez que veo el jodido fallout me cabreo.
#12 Yo no tengo cuenta en steam todavía, voy a crearmela a ver si me toca una como la tuya
#12 síndrome de diógenes digital?
#22 Más o menos, no te lo voy a negar, muchos son de humble bundle, la realidad es que no habré jugado ni a 20% de todos los juegos, pero bueno, cada uno tiene su hobby... de consola tengo cerca de un centenar (en estos si que he jugado a la mayoría, aunque admito que tengo una decena que todavía no he usado o que a penas los he usado más de unos minutos)
#24 más gamer que zormanos!!
#22: Pobre Diógenes.
http://es.wikipedia.org/wiki/S%C3%ADndrome_de_Di%C3%B3genes
Imagina que durante toda tu vida luchas por algo pero, tras tu muerte, algún cabrón te define de otra manera y pasas a la posteridad por ejemplificar lo opuesto por lo que luchaste.
Lo de Diógenes de Sínope deja la situación de Tesla como una mala tarde.
Recomendado NO LOGEARSE y desactivar los pagos previos en la web de Paypal si lo tenéis vinculado a Steam
#2 SteamDB (que no es un canal de comunicación oficial) dice por Twitter que tocar algo de nuestras cuentas ahora nos pondría aún más en riesgo. Lo mejor es no tocar nada y no entrar a ningún sitio de Steam, según ellos.
#4 Pero lo de PayPal sí puede hacerse desde el propio servicio, dejando de autorizar los pagos automáticos.
#6 Cierto, mejor que nada.
#9 Deberían cerrar la página hasta solucionarlo.
#8 #4 ¿Que parte de "no loguearse en Steam" y "en la web de Paypal" no habéis entendido?
#11 Perdona, leído deprisa. He leído demasiadas veces en twitter esta tarde el anti-consejo de intentar cambiar los pagos de tu cuenta.
#2 Lo mejor es no tocar NADA.
#2 Y si estás logeado al cliente de Steam dejarlo así y no tocar nada.
Actualización oficial
https://steamcommunity.com/discussions/forum/0/458604254431478327/
Información de cuenta incorrecta
Hemos recibido avisos de que a veces las personas ven la información de cuenta de otras personas en la página de la cuenta. Valve ha tenido conocimiento de esto y está trabajando en una solución.
Algunas preguntas frecuentes:
- No, Steam no está hackeado
- Información de tarjetas de crédito y números de teléfono son, como manda la ley, censurados y no es visible para los usuarios.
#76 Yo puedo añadir que aunque la web no está disponible por este problema con la cache, los servidores de nube sí funcionan pues estaba echando una partida al X3:TC en modo Dead is Dead y se ha guardado perfectamente. (y menos mal )
#80 Algún día me armaré de valor para aprender a jugar al X3
#82 Vete preparando unas hojas de cálculo
#82 elite dangerous. X3 esa para peasants.
Parece que los niños rata de lizzard squad, junto con los de phantom, son lo que están detrás. Cuando he visto la noticia en el subreddit de Steam, al llegar a casa, estaba logueado en el cliente (y parecía normal).
Pero vamos, cuenta de más de 10 años, con unos 300 juegos, y había pasado 50 leuros al wallet por si compraba algo estas rebajas...
#30 Los jodidos niños rata que se dedican a joder al personal en navidad, todos los putos años igual, a impedir que la gente pueda jugar en navidad hackeando los servidores de los servicios de juego online... como el grinch pero en niño rata de los cojones.
#36 #30 Y espera que ya avisaron que iban a petar los servidores de Xbox y PlayStation
#36 Hace no mucho se dedicaron a tirar los servidores de NCSoft (principalmente Wildstar y Guild Wars 2) y durante un par de días fue injugable.
Estoy viendo capturas de inventarios, de gente que tradeaba items de TF2, CS y demás, y de inventarios vaciados... puto Volvo. Y encima hay una horda de manolitos que se están dedicando a poner capturas de la información "errónea" que tienen en su cuenta.
Lo último que he visto en reddit:
About 1-2 hours ago (as of posting this) (21:14 Norwegian time) steam's chaching servers started going rouge Source causing people to see other users' account details. Example 1, Example 2(Courtesy of /u/thisnytro )
At the moment the store is offline (https://steamstat.us/ ).
The account details page is offline (https://store.steampowered.com/account/ )
I tried adding funds earlier to check how severe this is, but nothing would load so I believe that transactions have been shut off as well. Not confirmed though.
Steam mobile authenticator codes should not have been compromised. To get new backup codes steam requires you to input a current authenticator code first. Your mobile authenticator codes SHOULD be fine.
What should you do?
SteamDB advices to stay away from steam as a whole. Source
If you're going to unlink your paypal from steam, do it through paypal.com Source
Wait until the bug has been dealt with before you start changing any information.
Keep an eye on your bank account balance.
Keep an eye on your email for the coming weeks.
Don't be a dick by releasing personal information. That can fuck people over big-time.
#36 problemas del primer mundo
En PayPal:
- Configuración
- Opciones pago
- Pagos con aprobación
- Steam -> Cancelar
Los de Valve dicen que alomojó puede tener que ver con un ataque DDoS que sufrieron, pero me parece más tirar balones fuera ante una negligencia de alguien que ha configurado lo que se cachea metiendo la pata hasta el fondo.
#65 Probablemente sea un poco ambas cosas, los niños rata estaban atacando a steam y eso ha hecho que se toquen los servidores de steam para reducir el impacto y al hacer eso un sysadmin la ha cagado hasta el fondo.
#68 Me parece pero que muy coherente tu hipótesis. Ese efecto en el que quieres arreglar un problema muy rápido y como no piensas haces algo con lo que la cagas de verdad.
Y este tipo de metida de pata con la configuración del cacheado no es la primera vez que la veo siendo del gremio pero claro, otra cosa es que lo hagas siendo el puto Steam
#71 Sinceramente, con una organización tan anarquica como la que tiene Valve esto era algo que podía ocurrir, está muy bien el que la gente pueda elegir lo que hace y en que trabaja, está muy bien eso de un ambiente en que todos son iguales... pero por mucho que eso fomente la creatividad causa un montón de problemas, de entrada el servicio al cliente de Valve es deficiente, nadie quiere dedicarse a dar servicio así que nadie lo hace y luego ante una crisis pues puede darse el caso de que alguien que no es un experto se ponga a ayudar y la lie... no digo que sea lo que ha pasado pero es una posibilidad.
#74 Lo peor es que yo he visto cagadas como estas (aunque sin tales consecuencias) en compañías supuestamente superserias donde todo tiene que pasar mil aprobaciones y el visto bueno de seguridad como si fuera un "asuntos internos" hiperestricto, pero donde luego el eslabón final que tiene que tocar la configuración de las cachés la caga y te lo comes.
Y luego ya ríete si las cachés van coordinadas con un CDN externo.
#74 Deficiente no... Más bien pésimo. Valve lleva un par de años con unas políticas que por mí ya les pueden ir jodiendo.
No me lo puedo creer.
Llego a casa, y lo primero que hago es abrir Steam, logueándome desde luego. Lo cierro al ver que no carga. "Voy a abrir menéame a ver las noticias" me digo, y me encuentro ésto de primera noticia.
#40 Yo lo primero que hago es rascarme en falo.
Un poco mas de info
http://news.softpedia.com/news/steam-servers-go-down-for-christmas-as-skidnp-hackers-begin-their-ddos-attacks-498091.shtml?utm_content=buffer6bc90&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer
Problemas de cacheo provocado por un ataque ddos
#29 más que provocado por un ataque DDOS suena a provocado por las contramedidas que Valve quiso implementar en previsión del DDOS. Es decir, aplicar una configuración "de contingencia", que por despiste o a saber por qué no incluían la regla de "no cachear nada de /account". Valve ha dicho que han cambiado algo en la configuración hoy, asi que igual es por eso.
Por lo que dicen en Twitter y en los foros de Steam parece que empieza a funcionar todo otra vez.
Corregidme si estoy diciendo una burrada, pero, que yo sepa, en la cache NO VA la sesión ni las cookies, por lo tanto tu puedes ver las páginas de otro usuario por el fallo del Varnish (si funcionase la web, que no es el caso) pero en cuanto se pulse sobre cualquier cosa te va a mandar al login... ¿no?
#50 por lo que he leido en reddit no parece haber problema alguno con las cookies, solo recibías la versión estática de la web hecha para otros usuarios, sin poder tocar nada, pero cada uno solo tiene su cookie. En cuanto intentabas cambiar el username o algo te daba un mensaje de error.
Jode que susto, ya pensaba que me habia robado la cuenta un ruso, pero luego viendo que cambiaba del ruso al sueco sin control, he buscado un poco, y por seguridad desvinculado desde paypal el pago de steam...
Bueno, visto que la tienda está cerrada, vistazo al Paypal para ver si ha pasado algo (que no ha sido así) mientras todavía no lo estaba y ya está.
En el peor caso creo que se puede hacer devolución por Paypal, y con la que se ha liado imagino que si ya los de Steam te dejaban devolver cualquier juego sin problemas, si se hace durante estas horas te devolverán la pasta y te pedirán perdón de regalo.
Lo que me imagino es que también habrá más de un baneo de cuenta para quien se haya pasado de listo.
Yo en unas horas me voy de viaje y estoy acojonado porque todo está en la tarjeta guardada en Steam, por otro lado llevo sin entrar a lo mejor 3 semanas, a ver en que acaba esto.
#27 Steam no muestra los números de la tarjeta solo los dos últimos y es necesario del código de seguridad para pagar, así que con eso no hay problema. A ver que dicen desde steam que hoy es 25 y tienen la tienda chapada ...
#75 Por si sí o por si no (no sé si tengo paypal asociado) he vaciado la cuenta en el cajero y me he vuelto a la cama... Más tranquilo me quedo.
A mí ya me funciona correctamente
#89 Yo he tenido que cambiar la contraseña para poder loguearme. Con la que tenía no me dejaba.
Yo sigo sin poder acceder a "Account Details" desde el cliente.
http://i.imgur.com/JFaONtv.png (no me deja subir imágenes a Menéame... cc@admin )
#92 Sal completamente del cliente y vuelve a entrar, me pasaba lo mismo y ahora funciona.
Por suerte no se podían hacer compras. Ahora mismo Steam está cerrado, no va ni la web.
Se puede ver el seguimiento del ataque desde aquí http://map.norsecorp.com/, están realizando un ataque brutal.
#33 Curioso que Arabia Saudí y Emiratos Árabes sean el segundo y tercer país que más ataques reciben, después de EEUU.
La ventaja es que nadie puede hackear una cuenta en particular, sino que te toca la que a varnish le apetece darte. Aún así, ... Cagada que no debería ser complicado de solucionar al menos temporalmente...
desconectado cuando me he enterao
Solo uso la Visa.
¿como se puede solucionar algo asi?
In spanish (español, vamos ) http://www.meristation.com/pc/noticias/problemas-en-steam-las-cuentas-de-los-usuarios-comprometidas/58/2101986
Cachís, quería viciarme un poco al Elite Dangerous.
¿Y el dinero que se tiene en Steam Wallet?
¿Alguien sabe si hay algún problema con el?
#31 En principio entiendo que no pasará nada, lo normal es que Valve asuma todos los problemas que puedan ocurrir, en cualquier caso creo y solo creo que nadie tenía la posibilidad de comprar, podían ver lo que tenías en la steam wallet pero no podían usar ese dinero.
Pc hacked race!
No, en serio, estoy acojonado. He borrado rápido hasta el último duro de mi tarjeta prepago y rezo xq mi biblioteca y datos estén a salvo.
En fin parece un problema gordo. Están muy alarmados en las comunicaciones que esta haciendo Valve... a ver que pasa, steam permite tener linkeada a tu cuenta información de tarjetas de crédito y logins de paypal...
#13 Las tarjetas siempre tapan números, nunca sale la información completa, el problema está con las cuentas Paypal. En Reddit han reportado ya cargos no deseados a la cuenta Paypal.
Joder, pues llevo un rato intentando loguearme desde el movil y me dice que datos incorrectos... Entro aquí y leo esto... ¿Qué me recomendais hacer?
#48 esperar
#48 Nada, no te loguees hasta que Steam confirme que está solucionado.
Por lo visto es un acceso aleatorio a las cuentas de otros usuarios, los cuales pueden ver tu información personal, pero no comprar juegos con tu cuenta. Supongo que en su momento habrá que revisar qué datos personales han podido ser expuestos.
Y por último supongo que lo recomendable es cambiar la contraseña. Ya se que es un coñazo pero...
#57 Recomiendan esperar a que Valve de el visto bueno antes de cambiar nada. Eso si, si tu contraseña de Steam es la misma que la de tu cuenta de correo asociada mejor cambiar la del correo lo antes posible.
#48 Cambiar la contraseña de Paypal si pagas con ella en Steam, que por otra parte, tampoco viene mal cambiarla de vez en cuando.
#81 Si no repites la misma contraseña en Steam y Paypal, no veo para qué sirve cambiar la contraseña de Paypal.
Vía Reddit
¿Qué tal usar "agujero" en vez de brecha?
#1 demasiado basto, bujero suena mucho mas fino
#38 Me quedo con burejo mejor
#1: Para que luego lo votes microblogging?