Valve прокомментировала проблемы в Steam на Рождество

Valve наконец-то прокомментировала рождественский инцидент со Steam

Если вы не в курсе, о чем речь, то вкратце: в рождественский день примерно в течение часа люди, заходящие в Steam, фактически попадали в чужие аккаунты и могли видеть их личную информацию. Это произошло из-за ошибки кэширования, и хотя никто не мог что-либо изменить или купить/обменять игры, утечка конфиденциальных данных была серьезной.

Спустя пять дней практически полного молчания Valve наконец-то высказалась по поводу рождественских проблем со Steam. Вот суть:

"

25 декабря ошибка конфигурации привела к тому, что некоторые пользователи видели страницы магазина Steam, сгенерированные для других пользователей. В период с 11:50 до 13:20 по тихоокеанскому времени запросы страниц магазина примерно для 34 тысяч пользователей, содержащие конфиденциальную личную информацию, могли быть возвращены и просмотрены другими пользователями.

Содержание этих запросов варьировалось в зависимости от страницы, но некоторые страницы включали в себя адрес выставления счетов пользователя Steam, последние четыре цифры его номера телефона Steam Guard, историю покупок, последние две цифры номера его кредитной карты и/или адрес электронной почты. Эти кэшированные запросы не включали полные номера кредитных карт, пароли пользователей или достаточно данных, чтобы войти в систему или совершить транзакцию от имени другого пользователя.

Если вы не просматривали страницу магазина Steam со своей личной информацией (например, страницу своей учетной записи или страницу оформления заказа) в этот период времени, эта информация не могла быть показана другому пользователю.

"

Если вы думаете, что входите в число тех 34 тысяч пользователей, чья личная информация была раскрыта, не паникуйте, потому что, хотя утечка и выявила некоторую конфиденциальную личную информацию, ничего критичного (например, номера кредитных карт) не просочилось.

Я бы посоветовал вам изменить пароли всех учетных записей, которые имеют общую информацию для входа с вашей учетной записью Steam, потому что, даже если шансы на то, что случайный парень, который наткнулся на ваш профиль, окажется мерзавцем, довольно низки, лучше перестраховаться, чем потом сожалеть.

Причины произошедшего

Что касается причин, Valve заявила следующее:

"

Рано утром на Рождество (по тихоокеанскому времени) магазин Steam стал целью DoS-атаки, которая помешала обслуживанию страниц магазина для пользователей. Атаки на магазин Steam и Steam в целом являются обычным явлением, с которым Valve справляется как напрямую, так и с помощью компаний-партнеров, и обычно не влияют на пользователей Steam. Во время рождественской атаки трафик в магазин Steam увеличился на 2000% по сравнению со средним трафиком во время распродажи Steam.

В ответ на эту конкретную атаку были развернуты правила кэширования, управляемые партнером Steam по веб-кэшированию, чтобы минимизировать воздействие на серверы магазина Steam и продолжить маршрутизацию легитимного пользовательского трафика. Во время второй волны этой атаки была развернута вторая конфигурация кэширования, которая некорректно кэшировала веб-трафик для аутентифицированных пользователей. Эта ошибка конфигурации привела к тому, что некоторые пользователи видели ответы магазина Steam, которые были сгенерированы для других пользователей. Некорректные ответы магазина варьировались от отображения главной страницы магазина на неправильном языке до просмотра страницы учетной записи другого пользователя.

"

Что дальше?

Далее Valve говорит, что продолжит работу над этим и свяжется со всеми, кого могла затронуть эта проблема. Это все хорошо, но меня интересует, почему им потребовалось пять дней, чтобы предоставить нам хоть какую-то информацию?

Я знаю, что Valve не славится своими коммуникативными навыками, но когда многие пользователи Steam впадают в панику из-за того, что никто не знает, что именно происходит, и все внезапно входят в русские аккаунты, даже простой твит от Valve с объяснением того, что они делают для смягчения проблемы, пошел бы на пользу, безусловно, это было бы лучше, чем полное молчание.

С положительной стороны, по крайней мере, проблема была обнаружена и остановлена чрезвычайно быстро. Им потребовалось около часа, чтобы закрыть Steam (что непросто) с момента появления первых сообщений о проблеме. Это, а также тот факт, что "обмен аккаунтами" был только косметическим, потому что я даже не могу себе представить, какой бы это был беспорядок, если бы кто-то мог возиться со случайными аккаунтами как угодно.

На данный момент, однако, кажется, что все вернулось в норму, так как я не видел никаких сообщений о проблемах с тех пор. Надеюсь, так и останется.