Aufgrund eines Steam Exploit haben heute Nacht einige Broadcaster und Dota 2-Professionals die Kontrolle über ihre Steam Accounts verloren. Die Hacker benötigten lediglich den Accountnamen, um sich Zugang zu verschaffen.

Ein Problem in Steam hat heute Nacht sicherlich für zahlreiche Herzattacken und Panikausbrüche gesorgt. Schließlich führte ein Fehler im Kennwort-Wiederherstellungssystem von Steam dazu, dass bekannte Broadcaster wie Summit1G, Phant0ml0rd, Goldglove und JoshOG sowie einige Hundert andere für mehrere Stunden die Kontrolle über ihre Steam-Accounts verloren hatten. Sogar Dota 2-Professionals, die gerade in Seattle zum The International 2015 weilen, waren von dem Problem betroffen.

Zurückzuführen ist der Exploit auf einen Programmierfehler von Valve. So ließ sich mit dem Wissen des Accountnamens eines Steam Users eine Kennwortwiederherstellung starten. Steam schickt in solchen Fällen dann auf Wunsch eine E-Mail mit einem Verifizierungscode an die im Steam-Account hinterlegte E-Mail-Adresse. Nur wer Zugang zum E-Mail-Postfach hat, sollte dann auch diesen Sicherheitscode eingeben können. Allerdings ließ sich diese Maßnahme umgehen, indem man anstelle des verschickten Codes einfach gar keinen eingegeben hat. Und zack, konnte der Missetäter danach einfach ein beliebiges neues Kennwort definieren und sich dann mit diesem Steam-Account einloggen.

Problematisch: Viele Steam User wussten gar nicht, dass das Kennwort geändert wurde. Sie erhielten von Valve nämlich keinerlei Benachrichtung über diesen Vorgang. Recht schnell verbreitete sich die Art und Weise, wie sich die Accounts hacken lassen, in den sozialen Netzwerken. Mittlerweile ist der Fehler allerdings behoben und Valve gibt sich gerade Mühe, den entstandenen Schaden wieder zu beheben. Wer von einem solchen Account-Diebstahl betroffen war, wurde oder wird von Valve noch per E-Mail informiert.

Wer Steam Guard aktiv hatte, war von diesem Problem übrigens nicht betroffen. Zusätzlich zum Kennwort muss nämlich bei aktiviertem Steam Guard noch ein fünfstelliger Code eingegeben werden, der per E-Mail verschickt oder dank Steam Guard Mobile Authenticator vom Smartphone generiert wird.