Sicherheitsleck bei Valve - Passwortklau möglich

  • Guten Morgen zusammen,


    Ich wurde gestern von Flo0 darauf aufmerksam gemacht, dass es ein immense Problem bei Valve gibt, welches es einem Hack ermöglicht an Passwörter zu gelangen, nur wenn man sich in der CS:GO ingame Lobby der Person befindet. Es ist wohl schon häufig passiert und auch von Leuten wie "Pimp" oder Hacker-Kollektiven wie "Secret-Club" erklärt worden.


    Ich schicke im Anschluss mal einen aktuellen Bericht, den ich von Flo0 erhalten habe, damit ihr euch selbst vom ernst der Lage überzeugen könnt und wisst was ihr tut. Ich würde mir an eurer Stelle genau überlegen in wessen Lobby ihr euch aufhaltet, eventuell das Spielen mit randoms auf die eigene Lobby zurückschrauben (wenn der Hacker nicht Lobbylead ist, kann er nichts machen).


    Wir als Clan-Team werden natürlich versuchen euch so gut es geht auf dem neuesten Stand zu halten und außerdem bei der Auswahl neuer Trials noch mehr auf die Accounts achten und in kritischen Fällen direkt nachforschen.


    Seid einfach im Zweifelsfall selbst der Lobbylead, dann passiert auch nichts. Der Hack kann nur angewendet werden, wenn der Lobbyleader ihn installiert hat!


    https://www.derstandard.de/sto…sleck-in-csgo-seit-jahren


    Wir hoffen ihr bleibt weiterhin sicher,

    Euer FruchtLabor-Team

  • Hab mir das Ganze mal angesehen, da ich beruflich mit dem Thema (IT-Security) zu tun habe. Technisch findet da tatsächlich eine Remote-Code-Exceution statt. Das bedeutet, dass nach einem angenommen Invite beliebiger (vom Hacker bestimmter) Code auf eurem Rechner ausgeführt werden kann. Das ist so ziemlich das fieseste was man in der Security haben kann. Es kann nicht nur euer Passwort gestohlen werden, sondern es könnte beispielsweise auch ein Snippet ausgeführt werden, welches dann beispielsweise weitere Schadsoftware herunterlädt und installiert.


    Zum Glück wurde die Lücke von Secret Club gefunden, die zumindest von sich selbst behaupten, dass sie "White Hat Hacker" sind. Also ihre Hacks nicht verkaufen oder anwenden, sondern sie den Unternehmen melden. Das bedeutet natürlich nicht, dass nicht auch andere die Lücke gefunden haben oder jetzt finden werden, da sie bekannt ist. Ich konnte zumindest in den gängigen Quellen keine tieferen technischen Details zu dem Hack finden. Es schein zumindest nicht groß was veröffentlicht worden zu sein.


    Das Valve 5 Monate nicht reagiert hat ist schon krass. Entweder haben die sich gedacht: "Das findet / merkt schon keiner." oder der Fehler steckt wirklich so tief in der Architektur der Source 2 Engine, dass es nicht mal eben zu beheben ist.

  • Aber Valve muss dagegen nix tun. Ich meine Valve zwingt eh jeden der Steam ein bisschen länger nutzt (Community Market etc.) dazu SteamGuard zu benutzen und damit hat sich das Problem auch erledigt.

    Wie ich schon sagte ermöglicht der Hack beliebige Codeausführung. Also löst SteamGuard nicht das Problem. Solche Fehler müssen raus und natürlich ist Valve in der Pflicht das zu fixen.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!