Подробности взлома форумов Steam: получен доступ ко всем пользовательским данным, включая информацию о кредитных картах
Юрий Цуканов,
Только на форумах Steam появилось следующее сообщение Гейба Ньюэлла:
Добавлено
По словам Гейба для шифрования данных использовался алгоритм шифрования AES с 256-ти битным ключом. И что скорее нарушатся законы физики, чем будет взломан этот метод. Если этот скриншот не подделка, конечно.
Уважаемые пользователи Steam и форумов Steam.
Наши форумы Steam были подвергнуты дефейсу вечером в воскресенье 6-го ноября. Мы начали расследование и обнаружили, что вторжение затронуло больше, чем просто форумы.
Мы выяснили, что помимо фoрумов взломщики получили доступ к базе данных Steam. Эта база содержала информацию, включающую имена пользователей, хэшированные и засоленные пароли, данные об игровых покупках, email адреса, биллинговые адреса и зашифрованные данные по кредитным картам. У нас нет полной уверенности, в том, что злоумышленники получили доступ к зашифрованным данным карт или личной информации, или в том, что данные по паролям и картам были расшифрованы. Мы всё ещё проводим расследование.
До сих пор этими данными не воспользовались. Тем не менее, вы должны внимательно следить за движением средств на вашей карте.
И хотя мы выяснили, что был получен доступ только к нескольким учётным записям на форуме, всем его пользователям необходимо будет сменить пароли при следующей авторизации. Если ваш пароль к форумам использовался где-то ещё — смените его везде.
Мы не наблюдаем ни одну взломанную учётную запись в Steam, поэтому не планируем принудительно менять пароли к ним (т.к. они не связанны с паролями на форуме). Однако, будет совсем не лишним сменить их тоже, особенно если они у вас были одинаковые.
При первой же возможности мы откроем форумы.
Я искренне сожалею о случившемся и полагаюсь на ваше понимание.
Гейб.
Добавлено
По словам Гейба для шифрования данных использовался алгоритм шифрования AES с 256-ти битным ключом. И что скорее нарушатся законы физики, чем будет взломан этот метод. Если этот скриншот не подделка, конечно.
Подумайте, прежде чем писать какую-то глупость. Будем строго наказывать.
Hissin
ха... потом что нибудь раздуют из этого!... Или такой толстый намек на half-life? ох как хотелось бы!...
мимокрокодил
красный никнейм это здорово
Z
Зачем писать что данные о картах украдены, когда точной информации нет? Что за желтизна в заголовках?
off-log-Byte
Ничего себе взлом. Народ, давайте вправду обойдёмся без глупых шуток, мол, история повторяется, скоро выйдет следующий хл, и тому подобных. Искренне надеюсь, что у них не украли ничего существенно важного касающегося их будущих проектов, иначе мы рискуем ещё долго ничего от Вальв не увидеть.
Raz
Хех. Я, наверно, предвидел это и сменил через день после взлома почту 
Котик
Мда, сочувствую. Надеюсь это не будет иметь серьезных последствий для деловой репутации и общей деятельности кранов.
мимокрокодил
Зачем писать что данные о картах украдены, когда точной информации нет?
бака. дамп базы таки слили, все нормально с заголовком
мимокрокодил
Надеюсь это не будет иметь серьезных последствий для деловой репутации и общей деятельности кранов.
Слону дробина не помеха. Народ научится ставить галочку "не запоминать данные карты" в профиле и все будет хорошо.
мимокрокодил
... и платить через пайпэл (для рашки не актуально, да)
Дамп слить мало, его еще расшифровать надо. Валв хотя бы защищенными данные хранят.
Надо ждать подробностей, может все обошлось.
Надо ждать подробностей, может все обошлось.
Мда,комуто надоело ждать Half-life ep3.
Hissin
slalix думаю это Гейбу надоело, вот решил напомнить... =)
MaRsun
На почту ничего не пришло, но на форуме это сообщение светиться
http://forums.steampowere d.com/forums/
http://forums.steampowere d.com/forums/
Raz
MaRsun, приходит не на почту, а в самом Steam`е
X3
За последнюю неделю мне 2 раза приходила смс о попытке снять 250р на ign gamespy. Я зареган на ign prime, но с gamespy дел не имел. Совпадение или нет...
Half-Life Inside
Всё нормально. GameSpy - подразделение IGN Entertainment. Видимо просто бардак с буквами у них.
Аджедо
Может, это новая ARG?))
Только что проверил почту ,никакого письма не было. 
Rax
Jura37Freeman, ничего и не должно было прийти, это наисано на форуме, не глупи.
-_-
Когда ломали sony это кончилось халявными играми в psn, мож и тут повезет =)
CoBB1e
Очень переживаю насчет кредитной карты (она моего отца). Есть ли смысл ставить в известность банк?
Mr. K
... и платить через пайпэл (для рашки не актуально, да)
Я через него и платил, пока кому-то не пришла в голову гениальная идея ввести долбаные рубли и выпилить PayPal.
Mr. K
... данные об игровых покупках, email адреса, биллинговые адреса и зашифрованные данные по кредитным картам.
Это все печально.
Vanadik
Даже жалко Valve, что ли ._.
Когда взламывали ПСН, сидел с покерфейсом, а вот про стим грустно :С
Когда взламывали ПСН, сидел с покерфейсом, а вот про стим грустно :С
А яуже было решил стать добропорядочным бюргером и купить наконец-то лицензию если выйдет ЕР3 или HL3... теперь буду думать... 
DarkStalker
Кто-то предсказывал что если взломают Steam то огромное кол-во данных утечет. Взлом произошел, но вроде у всех всё спокойно. Хорошо что есть Steam Guard.
Крабовый берет
[DSL]StаlceR, извиняюсь за грубые слова.
Надеюсь данные не расшифруют.
Надеюсь данные не расшифруют.
Flanter
Аккаунт не жалко, всё равно играю мало в последнее время, а вот карточку жалко будет, если засветится.
Вроде теперь на Стиме можно покупать через Яндекс.Бабки? Похоже, пора переходить на такой способ... там светить нечего :)
Вроде теперь на Стиме можно покупать через Яндекс.Бабки? Похоже, пора переходить на такой способ... там светить нечего :)
Тупая шапка
Хоть бы они сперли разработки ep3 и отдали их в доработку норм пацанам, которые быстро его сворганят. По делом им, за мое терпение
ой, я не хотел
отдали их в доработку норм пацанам, которые быстро его сворганят.
Это кому же? Тем, кто BM не могут сделать уже незнамо сколько лет? Или знакомым маперам из 3 подъезда, которые в редакторе аж лестницы научились делать на прошлой недели?
L
"Я искренне сожалею о случившемся и полагаюсь на ваше понимание.
Гейб."
Да без проблем, shit happens, всё будет ок.
Гейб."
Да без проблем, shit happens, всё будет ок.
siLe
После выпиливания пейпала, для покупок в стиме перешел с реальной карты на карту киви как раз из соображений возможного взлома. Ломали раньше - сломают еще раз или еще не раз. Подумал я и стал юзать то, что светить не страшно.
неприятно весьма... лично мне было бы спокойней, если они использовали пайпал... и чо теперь, карту чтоли новую делать?
Adam Jensen
Главное чтобы на почте и в стиме были разные пароли.
CVV в стиме сохраняется?
CVV в стиме сохраняется?
[Mr.o_O]
Благодаря этой новости, мой пароль стал в три раза длиннее 
Adam Jensen, а как же тогда оплата происходит, если ты его не вводишь?
[Mr.o_O], а чо толку то, если его не подбором ломают
[Mr.o_O], а чо толку то, если его не подбором ломают
Anonymouse
Сменил пароль в Steam. У меня динамический IP, поэтому я отключал Steam Guard. Теперь не получается включить! О_о Я один такой?
Chellsi
у меня тоже динамический, но это никогда не влияло на работу Стим Гуард
Nik
3D Secure защитит.
Anonymouse
Chellsi, да просто после каждой перезагрузки и последующем запуске Steam приходилось лезть в почтовый ящик. А теперь не могу включить обратно, пишет, что не может обработать запрос.
Vanomas
Очень странно, сначала взломали PSN, щас Steam. Что дальше, Xbox Live ?
Chellsi
Ok, ok
мимокрокодил
Даже жалко Valve, что ли ._.
Когда взламывали ПСН, сидел с покерфейсом, а вот про стим грустно :С
Когда взламывали ПСН, сидел с покерфейсом, а вот про стим грустно :С
тащемта, это было ожидаемо. Был бы оригин популярнее - ломали бы его. Это как вирусы под шindoшs. Пишутся под то, чем пользуется большинство. Но странно, что вальве хранили базы рядом. С учетом того, что форумы с базой стима никак не интегрировались и вообще это сторонний движок - следовало унести базы на отдельные машины, как минимум.
Я через него и платил, пока кому-то не пришла в голову гениальная идея ввести долбаные рубли и выпилить PayPal.
палка сейчас все больше открывается для России. Научится принимать рубли — вернут ее, думаю.
А яуже было решил стать добропорядочным бюргером и купить наконец-то лицензию если выйдет ЕР3 или HL3... теперь буду думать...
не не не, не делай этого, ты что Ъ-посаны так не поступают, будь и дальше пиратобогом, делай вид, что успешенAdam Jensen, а как же тогда оплата происходит, если ты его не вводишь?
[Mr.o_O], а чо толку то, если его не подбором ломают
[Mr.o_O], а чо толку то, если его не подбором ломают
соленые хэши им навряд ли интересны, поскольку в идеале они не обратимые, да и профита от этих данных маловато. А вот данные карт хоть и зашифрованы, но зашифрованы обратимо. Поскольку у взламывавших наверняка есть свои аккаунты с привязанными данными карт - у них уже есть некоторое число сопоставлений зашифрованной информации и расшифрованной (известной им), и уже можно подбирать ключ шифрования. Ну здесь тоже не все тривиально и смотря каким алгоритмом шифруется
Халфер
вот это жесть... такого не было еще... 
Пророк
Наверняка это было сделано по заказу ЕА
Склопендра
Хоть бы они сперли разработки ep3 и отдали их в доработку норм пацанам, которые быстро его сворганят. По делом им, за мое терпение
Твоё терпение - ничто.Жадные дети готовы убить котенка, только чтобы посмотреть что у него внутри.
Отберёшь/украдёшь у Valve - получишь кусок говна. "Сделаю маме плохо, насру себе в штаны".
Я уверен, что это план завидующих ea.
Халфер
А как сделать красный никнейм? Надо регистрироваться где-то?
Тупая шапка
Склопендра, не надо плиз заумных ассоциаций. Котенок этот тупит с ep3 и я был бы рад, чтобы он получил за свою тупость.
Мне интересна готовность ep3 на данный момент, а то что я получу через 2-3 года мне по барабану.
И вопрос не по теме, как цитировать текст, так как ты цитировал мой?
Мне интересна готовность ep3 на данный момент, а то что я получу через 2-3 года мне по барабану.
И вопрос не по теме, как цитировать текст, так как ты цитировал мой?
Склопендра
Тупая шапка, "котенок" - это и есть EP3. Получив сейчас, то, что есть на руках у Valve ты получишь труп котенка, а не живое существо. Ты - эгоистичный человечек, который ради своих низменных сиюминутных потребностей готов оставлять после себя трупы.
Гровер
Правильно, что платил я только по визе виртуал, без реальной карты.
RAZ
Склопендра
Плюсую, не часто здесь адеквата встретишь))
Плюсую, не часто здесь адеквата встретишь))
Гордон Еврей
На такие случаи как раз и нужен отдельный счет для покупок в интернете, который не жалко засветить.
sart
>с 256-ти битным ключём
КлючОм, StаlceR, ключом... *facepalm*
КлючОм, StаlceR, ключом... *facepalm*
Тупая шапка
Админ, скажи ка мне, а почему я не могу ответить Склопендра, так как после нажатия на кнопку "отправить", сообщение не появляется?
Half-Life Inside
Гадости пишешь, наверное? =)
Тупая шапка
Нет, куда я бы мог отправить текст сообщения, которое невозможно опубликовать?
Тупая шапка
И можно мне узнать какие слова нельзя писать в комментариях, чтобы такого не происходило?
Half-Life Inside
Дистанционно не лечим. Если очень интересно разобраться - присылай текст на [email protected]
Тупая шапка
Это я сразу же отправлю вам, или 3-му лицу, который будет рассматривать мой текст в течении некоторого времени?
Half-Life Inside
Сразу же нам, и мы будем рассматривать в течении некоторого времени. От "сразу же" до "как будет время".
www.mail.ru/
АДмин это твой единственный сайт или ещё есть?
Half-Life Inside
А почему вы спрашиваете? =)
Тупая шапка
Хорошо я отправил, "как будет время" посмотрите пожалуйста.
Тупая шапка
Склопендра, мне уже через 3-4 часа не интересно спорить, поэтому просто забью.
www.mail.ru/
Half-Life Inside если этот сайт удался на славу то представляю какие будут остальные сайты
Тупая шапка
По моему тут написано, что Плохие люди готовы растерзать Valve, чтобы посмотреть что они сделали с ep3. Видишь почему не стоит выпендриваться, вставляя ассоциации направо и налево? Говори как мужик, коротко и ясно.
"который ради своих низменных сиюминутных потребностей готов оставлять после себя трупы"
Ну да... А разве плохих людей кто то отменял?
Ты мне лучше скажи как цитировать текст, это больше волнует меня как то. Спасибо!
------------------------- -------------------------
Да, теперь я могу отправить это сообщение. Спасибо админ, ответ и исправления ошибки были быстрыми.
Склопендра, не отвечай на это сообщения, как я писал выше, мне уже в падлу спорить.
"который ради своих низменных сиюминутных потребностей готов оставлять после себя трупы"
Ну да... А разве плохих людей кто то отменял?
Ты мне лучше скажи как цитировать текст, это больше волнует меня как то. Спасибо!
------------------------- -------------------------
Да, теперь я могу отправить это сообщение. Спасибо админ, ответ и исправления ошибки были быстрыми.
Склопендра, не отвечай на это сообщения, как я писал выше, мне уже в падлу спорить.
Склопендра, не стоит путать эгоизм и эгоцентризм.
main_halfer
Тупая шапка, пиши " [quote] цитата [/ quote] " только без кавычек и без пробела после /.
Мдя, компьютерные взломы это всегда плохо (ну или почти всегда), но такое наверно у каждой компании было, есть и будет. Так что переживет как-нибудь это старушка Valve.
Мдя, компьютерные взломы это всегда плохо (ну или почти всегда), но такое наверно у каждой компании было, есть и будет. Так что переживет как-нибудь это старушка Valve.
Тупая шапка
Тупая шапка, пиши " [quote] цитата [/ quote] " только без кавычек и без пробела после /.
Благодарю
Довакин
Не нужны твои извинения Гейб, что ты. Дай шапки пострадавшим.
lamarr-2011
жестоко
жестоко же этот взлом. Хакеры - ЗЛО!
Тупая шапка
Valet2 Каждый человек не соглашался с чужим мнением, но не все эгоцентричны.
Выпендреж со знанием профессиональных слов не сработал
Выпендреж со знанием профессиональных слов не сработал
www.securi tylab.ru/news/406880.php Ээээм вообщето уже научились взламывать 256 шифр АЕС
Half-Life Inside
"Однако с практической точки зрения, AES-шифр взломать пока невозможно".
Delakrois
Что еще за обновление Portal 2 на 700 мегабайт?!
http://clip2net.com/s/1jj HP
http://clip2net.com/s/1jj HP
Школоло
Сама суть шифрования данных предполагает, что злоумышленник получит их каким-нибудь путём, вопрос в другом, сможет ли он дешировать их, не имея ключа.
Пока Агенство Национальной Безопасности США не даст хотя бы тонкий намёк, что стоит ограничить применение AES для данных определённого грифа секретности, можно не беспокоиться.
Брутфорсить AES с 256-битным ключом - бесполезная задача. У него слишком высокая стойкость и НЕ СУЩЕСТВУЕТ нормальных, действительно работающих, атак на этот шифр. Так что можно не беспокоиться за данные кредитных карт.
А вот если хотя бы какую-то часть ключей к шированным данным украдут, тогда капец :) Вот как-то так.
Пока Агенство Национальной Безопасности США не даст хотя бы тонкий намёк, что стоит ограничить применение AES для данных определённого грифа секретности, можно не беспокоиться.
Брутфорсить AES с 256-битным ключом - бесполезная задача. У него слишком высокая стойкость и НЕ СУЩЕСТВУЕТ нормальных, действительно работающих, атак на этот шифр. Так что можно не беспокоиться за данные кредитных карт.
А вот если хотя бы какую-то часть ключей к шированным данным украдут, тогда капец :) Вот как-то так.
Информация, зашифрованная ключом конечной длинны, может быть расшифрована методом перебора за конечное время. (Вроде бы один из основных постулатов шифровальщиков)
Вортигонт
может.лет через 20 наши аккаунты украдут , ага
V00D00
Форум заработал! 
Школоло
Giber, а ты посчитай, сколько времени требуется для нахождения ключа длиной 256 бит методом перебора 
Результат само собой будет конечный, но столько не живут :)
Результат само собой будет конечный, но столько не живут :)
халфер
это спланированная акция ЕА.
Администратор локальной сети
"Результат само собой будет конечный, но столько не живут" - Я бы даже сказал "столько вселенные не существуют" :)
Sharstein
Школоло покупаем пару сотен третьих сонек, процессоры которых отлично подходят для примитивных расчётов, но увы не для игр, ставим на них линукс, и запускаем перебор.
Крабовый берет
Sharstein, лол. Это невозможно реализовать все равно на практике.
Molk
То кара анонимуса Валвам за зажимание инфы о Ep3\HL3
Мда
Я не уверен, что кредитки пользователей покроют стоимость двух сотен PS, установку на них линукс и электроэнергию на их работу в течение... ммм...
Администратор локальной сети
Sharstein, почитаейте о Aes 256. Вычислительной мощности всех существующих ныне компьютеров не хватит для расшифровки еще [очень большое число с ~30ю нулями] лет.
gman
А почему к примеру Скайрим можно было купить на других сайтах и активировать ключ в стим, а вот в самом стиме нельзя и его даже нет? С чем это связано?
Walkman
Error 503 Service Unavailable
Коммьюнити ддосят?
virus
апсет, это уже давно.
Wow
gman
потому что надо чтоб наши лохолизаторы заработали на дисках
потому что надо чтоб наши лохолизаторы заработали на дисках
Костянус.
Каждый день ддосят какие-то компании, тот де Близзард. Обычный взлом. Разводить слона из мухи - глуповато будет.
G_Shamway
Форумы заработали, не прошло и недели. Это хорошо. Ждем теперь, может Valve еще что-нибудь скажут, может узнают кто их хакнул и посадят ли его на кол. "На царский." ©
Кстати, HL-Inside, какой смысл в опции "выдели ошибку мышкой и нажми Ctrl+Enter", если ошибки потом исправляются в редких случаях? Орфоманьяки негодуют
Кстати, HL-Inside, какой смысл в опции "выдели ошибку мышкой и нажми Ctrl+Enter", если ошибки потом исправляются в редких случаях? Орфоманьяки негодуют
G_Shamway
А почему к примеру Скайрим можно было купить на других сайтах и активировать ключ в стим, а вот в самом стиме нельзя и его даже нет? С чем это связано?
Он есть, "только недоступен в нашем регионе"
Наверное, это и есть ответ на твой вопрос.
Крабовый берет
Уважаемая администрация HL-Inside. После недавнего вашего корректирование работы сайта в браузере Opera (v.11.52) при клике на пустом месте страница как бы обновляется (появляется на секунду строка загрузки) и пропала возможность по клику на нике собеседника вставлять его в чат. Пожалуйста, исправьте это, или сделайте хотя бы как было
Самое интересное, что сервис PSN самый лояльный к Valve и связан с ним в плане регистрирования. Начали с него, продолжили Steam. Не знаю, что думать, но выглядит как спланированная акция. Осталось послушать то, что скажут конкуренты о подобных инцидентах или приближённые к ним источники. Будет противно их слушать, наверное.
Праведник
Крабовый берет, у мя Opera 11.01 и такая же неполадка
dima
У миня тоже
gtfo
Крабовый берет, Праведник, dima установите chrome, и все будет хорошо
Вортигонт.
Не согласен , лучше поставьте firefox.
мда мне отец гарис мод покупал а у него там какаета gold супер пупер карта если че случится мне пипец!ну ладно раз они там шифруют до меня онинадеюсь не скоро дойдуд я же в жопе живу)))в Белорусии а они врят ли наши карты трогать будут)
Халфер
у меня на хроме лишь ник в сообщение не вставить)
asdbanz
Steam Guard может не помочь.
Ведь если, ты взломал стим, получил всю инфу о пользователе(включая мыло), то взломать почту не составит труда.
Ведь если, ты взломал стим, получил всю инфу о пользователе(включая мыло), то взломать почту не составит труда.
Half-Life Inside
Почему не наблюдается волна взломов Steam аккаунтов, если всё так печально? =)
Краб фаршированный
asdbanz, не ожидал от тебя такой глупости.
Крабовый берет
gtfo, Chrome? Зачем мне это говно для домохозяек? Я знаете ли, не только веб-серфингом занимаюсь в браузере.
люди я тут такю фичу стимовскую просек!короче знаете есть халявные ишры людям с видеокартой от ati и nvidia!так вот у меня нету у ни одной ни другой так вот как получить халяву без видеокарты .регестрируеш пустой аккаунт и просиш кого небудь с такой видеокартой активировать тебе игру мне так один чувак помог и причем он тока зашел там в стим активировал и все блин с моего компа пашет все халявно без этих видеокарт и необязательно там просить левых людей можно стим установить в школе на компе/в универе/на работе /у друга главное активировать тоесть как я понел игры не привязанны к видеокарте или к компу как гарис мод.так что качайте халяву например hl2dm.у на счет стима я думаю валве вернет всем вломанным игры и их акакунты это дело времени.это как с apple выпустили партию айподов с бракованным аккумулятором а теперь их предлагают их на новый поменять я думаю атк же булдет и ссовые взломы.
Half-Life Inside
Халфер
103
ErrOr
и Админ жжет
ErrOr
и Админ жжет
правило7
Поле имени и почты предназначены для вашего имени и почты. Это не место для проявления вашего великого цинизма или остроумия. Все правила.
- Комментарии модерируются. В процессе модерации мы руководствуемся исключительно собственным чутьем, которое в правилах полностью раскрыть невозможно.
- Падонкаффский язык здесь категорически не приветствуется. Первонахи и прочие пересчётчики - первые кандидаты на бан.
- Оскорбление других комментаторов - последнее что должно приходить вам в голову.
- Вообще оскорбления кого бы то ни было приводят к отстранению от возможности оставлять комментарии.
- Использование ненормативной лексики не запрещается, но сильно не приветствуется - проявите уважение к собеседнику (замена символов в матерных словах не лишает их этого статуса).
- Не отвечайте на провокационные и противоречащие правилам сообщения - иначе ваш пост также будет подлежать уничтожению.
- Поле имени и почты предназначены для вашего имени и почты. Это не место для проявления вашего великого цинизма или остроумия.
- Мы оставляем за собой право как удалять ваши комментарии, так и править их (что впрочем, происходит исключительно редко).
- Односложные комментарии, комментарии состоящие из одного смайлика, написанные транслитом или одними большими буквами - первые кандидаты на удаление.
- В определённых случаях мы можем отключать возможность комментирования какой-то новости для всех посетителей вообще.
- Забанить человека или удалить сообщение - гораздо проще, чем написать его, чистить свои куки и менять прокси. Подумайте над этим.
- Не стоит пытаться обойти систему бана - этим вы только будете удваивать свой срок наказания (за каждую попытку).
- Если вы отправили два одинаковых сообщения - не стоит писать третье типа "ой, я не хотел" или "у вас глючит" - мы сами разберёмся.
бета
А теперь вы можете войти через Steam и оставлять комментарии с красивыми аватарками и прочим. Жмите на зелёную кнопочку справа для авторизации.
Войти через Steam
