Advertisements

Steam server caching issue exposes user’s account details

1*kDxHeEGoD89oUkPvc54G1Q

Right on December 25th the popular computer gaming platform Steam has been struck by a server issue that led to the exposure of user’s account details to potentially anyone. People who had visited any Steam-affiliated link such as the Steam Store or the Community could find themselves viewing it as seen by someone else’s account.

Users weren’t actually logged in as others and no login password could have been stolen in the process. The cache server is one that’s between the user and the actual server hosted by Steam. They hold a copy of a webpage for the intended user and keep it stored there for quick loading; it only gets reloaded if in the meantime the page has changed. In this case the server would mix them up and deliver someone else’s cached page (including the account details one) to a stranger instead of their own.

This way random people could have seen your real name, purchase history, account balance, last digits of your phone number, email address, billing address and even your full credit card information (if ever provided, PIN code excluded of course). The same way you could have seen these information of somebody else.

After an hour of user panicking Valve shut down the Store and worked to solve the issue that now seems to be gone, and later it has been confirmed that it wasn’t a cyberattack, but a server change on their end that went wrong.


 

In Italiano

Proprio il 25 dicembre la popolare piattaforma video-ludica Steam è stata oggetto di una breccia di sicurezza che ha esposto delle informazioni sensibili degli utenti a, potenzialmente, chiunque. Coloro che avevano visitato uno qualunque dei siti affiliati a Steam, come lo Store o la Community, potevano trovarsi a vederli dal punto di vista dell’account di qualcun altro.

Tuttavia non sono stati registrati accessi non autorizzati e nessuna password è stata rubata a causa di ciò. Il server di cache, oggetto della breccia, è uno che si frappone tra l’utente e i server di Steam. Mantengono una copia delle pagine web per un utente specifico per un caricamento più rapido; viene ricaricata solo nel momento in cui un elemento della pagina è modificato. In questo caso il server serviva le pagine riservate di altri utenti invece che le proprie.

Perciò degli utenti casuali potevano vedere, dalla pagina delle informazioni sull’account, il proprio vero nome, cronologia di acquisti, bilancio, ultime cifre del numero di telefono, indirizzo email, indirizzo di fatturazione e anche le informazioni complete sulla carta di credito (solo se fornita, codice di sicurezza escluso). Allo stesso modo voi stessi potevate vedere quelle di qualcun altro.

Dopo un’ora di panico degli utenti la Valve, l’azienda proprietaria di Steam, ha chiuso lo Store e ha lavorato per risolvere il problema che, a quanto pare, è stato prontamente risolto. È stato poi confermato che non si è trattato di un cyberattacco, ma di una modifica ai server andata male dalla loro parte.

Advertisements

Tags:

%d bloggers like this: