Suite à un désastre de sécurité majeur le jour de Noël, Valve a répondu directement aux utilisateurs de Steam.
Le jour de Noël, Steam a eu l'un de sesles pires jours de ma vie, les utilisateurs pouvant voir les informations de compte sensibles des autres utilisateurs de Steam. Cela a permis aux utilisateurs de voir les bibliothèques Steam, les informations du portefeuille et même les adresses e-mail. Bien que Valve ait publié une vague déclaration à la presse spécialisée dans les jeux vidéo, elle ne s'est pas encore adressée directement à la base d'utilisateurs de Steam. Aujourd'hui, l'entreprise a expliqué aux utilisateurs exactement ce qui s'est passé.
Ce qui suit a été publié surVapeur, notant que ce qui s'est passé n'était pas le résultat direct d'une attaque DDoS, mais plutôt le résultat d'unréponseà une attaque DDoS :
Le 25 décembre, une erreur de configuration a amené certains utilisateurs à voir les pages du Steam Store générées pour d'autres utilisateurs. Entre 11h50 PST et 13h20 PST, des demandes de pages de magasin pour environ 34 000 utilisateurs, contenant des informations personnelles sensibles, peuvent avoir été renvoyées et vues par d'autres utilisateurs.
Le contenu de ces demandes variait selon la page, mais certaines pages incluaient l'adresse de facturation d'un utilisateur Steam, les quatre derniers chiffres de son numéro de téléphone Steam Guard, son historique d'achats, les deux derniers chiffres de son numéro de carte de crédit et/ou son adresse e-mail. . Ces demandes mises en cache n'incluaient pas les numéros complets de carte de crédit, les mots de passe des utilisateurs ou suffisamment de données pour permettre de se connecter ou d'effectuer une transaction en tant qu'autre utilisateur.
Si vous n'avez pas parcouru une page du magasin Steam avec vos informations personnelles (telles que la page de votre compte ou une page de paiement) pendant cette période, ces informations n'auraient pas pu être montrées à un autre utilisateur.
Valve travaille actuellement avec notre partenaire de mise en cache Web pour identifier les utilisateurs dont les informations ont été transmises à d'autres utilisateurs, et contactera les personnes concernées une fois qu'elles auront été identifiées. Comme aucune action non autorisée n'a été autorisée sur les comptes au-delà de l'affichage des informations des pages mises en cache, aucune action supplémentaire n'est requise de la part des utilisateurs.
Tôt le matin de Noël (heure normale du Pacifique), le Steam Store a été la cible d'une attaque DoS qui a empêché la diffusion des pages du magasin aux utilisateurs. Les attaques contre le Steam Store, et contre Steam en général, sont un phénomène régulier que Valve gère à la fois directement et avec l'aide de sociétés partenaires, et n'ont généralement pas d'impact sur les utilisateurs de Steam. Lors de l'attaque de Noël, le trafic vers la boutique Steam a augmenté de 2 000 % par rapport au trafic moyen lors des soldes Steam.
En réponse à cette attaque spécifique, des règles de mise en cache gérées par un partenaire de mise en cache Web Steam ont été déployées afin de minimiser l'impact sur les serveurs du magasin Steam et de continuer à acheminer le trafic utilisateur légitime. Au cours de la deuxième vague de cette attaque, une deuxième configuration de mise en cache a été déployée, mettant en cache de manière incorrecte le trafic Web pour les utilisateurs authentifiés. Cette erreur de configuration a amené certains utilisateurs à voir les réponses du Steam Store qui ont été générées pour d'autres utilisateurs. Les réponses incorrectes du Store variaient depuis que les utilisateurs voyaient la page d'accueil du Store affichée dans la mauvaise langue jusqu'à voir la page du compte d'un autre utilisateur.
Une fois cette erreur identifiée, le Steam Store a été fermé et une nouvelle configuration de mise en cache a été déployée. Le Steam Store est resté indisponible jusqu'à ce que nous ayons examiné toutes les configurations de mise en cache et que nous ayons reçu la confirmation que les dernières configurations avaient été déployées sur tous les serveurs partenaires et que toutes les données mises en cache sur les serveurs Edge avaient été purgées.
Nous continuerons à travailler avec notre partenaire de mise en cache Web pour identifier les utilisateurs concernés et pour améliorer le processus utilisé pour définir les règles de mise en cache à l'avenir. Nous nous excusons auprès de tous ceux dont les informations personnelles ont été exposées par cette erreur et pour l'interruption du service Steam Store.
Ozzie joue aux jeux vidéo depuis qu'il a acheté sa première manette NES à l'âge de 5 ans. Depuis, il s'intéresse aux jeux, ne s'éloignant que brièvement au cours de ses années d'université. Mais il a été rappelé après avoir passé des années dans les cercles d'assurance qualité pour THQ et Activision, passant principalement du temps à aider à faire avancer la série Guitar Hero à son apogée. Ozzie est devenu un grand fan de jeux de plateforme, de jeux de réflexion, de jeux de tir et de RPG, pour n'en nommer que quelques genres, mais il est également un grand fan de tout ce qui a une bonne et convaincante narration derrière. Car que sont les jeux vidéo si vous ne pouvez pas profiter d’une bonne histoire avec un Cherry Coke frais ?
