Illetéktelenek fértek hozzá a Steam adatbázishoz

Titkosítás, biztonság, privát szféra

A Sony után újabb játékfejlesztőt/terjesztőt ért incidens. A Valve bejelentette, hogy vasárnap este illetéktelenek fértek hozzá a fórumához és a Steam digitális tartalomterjesztő rendszerének adatbázisához. A behatolók hozzáfértek a felhasználónevekhez, a hashed + salted jelszavakhoz, a játékvásárlás-történetekhez, e-mail címekhez, számlázási adatokhoz és a titkosított hitelkártyaadatokhoz.

Noha a Valve-nek nincs birtokában olyan információ, ami szerint visszaéltek volna a megszerzett adatokkal, mégis azt javasolják, hogy mindenki kísérje figyelemmel a hitelkártya tranzakcióit. Annak ellenére, hogy a Valve tudomása szerint csak néhány fórumfiók kompromittálódott, a vállalat elővigyázatosságból az összes jelszót alaphelyzetbe állította, így a felhasználóknak a következő belépéskor meg kell változtatniuk a jelszavukat. A Valve jelenleg nem tud kompromittálódott Steam fiókról, de a vizsgálat még jelenleg is folyik. Érdemes mindenesetre Steam jelszót is váltani.

A részletek itt olvashatók.

Nem, egyáltalán nem sunyi módon. A felhasználó adta meg, és bepipálta (az alapértelmezésben nem bepipált) jelölőnégyzetet, hogy mentsék le. Ez a legtöbb Steam-felhasználó számára hasznos, mert gyakran vásárolnak, különösen ha olyan játékokat játszanak, amikben van in-game purchase (team fortress 2 pl.).

Én vásárolok a Telenortól, amikor számlát fizetek be, vásárolok a MÁV-tól, amikor jegyet veszek, vásárolok a Humble Indie Bundle inc.-től, amikor épp új akciójuk van, de még egyiknek se adtam meg a kártyaadataimat, valahogy ők meg tudják oldani 3rd party fizető szolgáltatókon keresztül, pl paypal, google checkout, otp bank.

Ebben van valami, viszont a paypalt valószínűleg azért nem használják, mert "üzleti modelljének" része, hogy a nagypénzű kereskedők pénzén addig ülnek, amíg elkerülhetetlen nem lesz a per, és akkor utalják vissza.

Egyébként, ha valaki visszaél a kártyád adataival, a bankok általában a te oldaladon állnak, és el lehet rendezni a vitás eseteket, úgy, hogy végül te nem szívsz vele.

Azt is biztosra veszem, hogy a Steam-nek többet ér a hitelesség, mint ha valakit kiforgatnának a pénzéből.

Én a helyedben azért tartanék az ilyen jellegű kijelentésektől, mivel
1, olyan helyzetbe hozhatnak (minimális eséllyel mert leszarják mit mondasz te) hogy beperelnek hitelrontásért
2, kiállítod magadról a szegénységi bizonyítványt hogy nem látod a különbséget a tévesen vagy jogszerűtlenül levont összeg, és hogy szabad préda a fizetéshez szükséges összes információd (kvázi, mert valószínűleg a PCI miatt titkosítva és szétválasztva kezelték) között
Remélem csak jó szándékot feltételezel a részemről...

Szerintem ne rontsd a hiteluket azzal, hogy nyilvanosan feltetelezed roluk, hogy erofolenyukkel visszaelve egy kerdo mondat miatt beperelnek egy egyszeru forumozot. Amugy meg:

1. Igy van, leszarjak. Na pont ezert biznek meg jobban a steamben, mint bennuk. Nekik jobban szamit, hogy mit gondolnak a (potencionalis) vasarlok.

2. A szegenysegi bizonyitvanyt kicsit erosnek erzem, az altalad leirt dolgok kozotti kulonbseget meg nyilvanvaloan latom.

Persze csak jot, de nekem az nem szinvonal, hogy "-Szerintem elkepzelheto, hogy emlos allatok leusszanak 3000m melyre. -De hulye vagy! A balna nem is hal!"

Miben? Abban, hogy a pénzintézet által végrehajtott internetes fizetési rendszereket használják egyre többen abban talán. OTP részvényem sincs, és szinte csak negatív tapasztalatom van velük. Ami nem igaz az meg nem igaz. Abban is érdekelt vagyok, hogy minél kevesebb résztvevő kérje el a neten a kártyaszámodat.

Ne haragudj, a kotekedesre nem vagyok vevo, ugyhogy leirom ugy, hogy te is ertsd es reszemrol lezarom a temat.

Ugy ertettem, hogy egyaltalan nem biztos, hogy eredmenyesebben fel tudsz lepni az akaratodon kivuli kartyahasznalat ellen, ha egy magyarorszagon mukodo, magyar torvenyek altal felugyelt penzintezettel allsz kapcsolatban. Ezt azert feltetelezem, mert a mediabol es egyeb forrasokbol ugy ertesultem, hogy - legalabbis azok, akik egy bizonyos intezmenynel bankolnak - hiaba inditottak chargeback eljarast, nem kaptak vissza a levont penzuket, "mert jovanazugy". Ez megesett olyanokkal is, akik korabban visszaigazolt modon felmondtak minden viszonyukat a PPO-val. Hogy vegul senki nem kapta vissza a penzt? Vagy csak a tobbseg? Vagy csak egy paran? Nem tudom. Ezert is volt a kerdo mondat a mellekszalinditasban.

Písz.

Értem, a fenti esetben az otp volt a ppo pénzügyi partnere. A ppo meg egy társadalmilag és államilag elfogadott intézmény, aki egy jogi csűrés során "lenyúlta" "ügyfeleit" azért idézőjel mert mindegyik szó vita tárgya. az otp max ott hibázott, hogy engedte ezt a megoldást a rendszerében, de a jogosulatlan levonásról neki nincs joga dönteni, nem bíróság, a felhatalmazást megkapta előtte a ppo erre és senkinek semmilyen adatot nem adott ki az otp. Míg a fenti esetben a Steam saját rendszerében tárolta az ügyfelek kártyaadatait, és ezt vitték el, ezt kellene hangsúlyozni milyen veszélyes.

Igen, tudom, hogy keso banat. Multkor vettem a Portal 2-t, mikor akcios volt, akkor tenyleg nem lattam h lett volna "jegyezd meg" opcio (ettol meg lehet PEBKAC). Csak akkor volt fura, mikor nem olyan reg egy Supreme Commander 1 pakkot vettem es a Steam csak annyit szolt h ez jo lesz-e?

Mar akkor is gondolkoztam azon h lehet, ki kellene irtani a steambol, csak akor gyozott a lustasag.

----------------
Lvl86 Troll

( zrubi v | 2011. 11. 11., p – 09:52 )

Ezek szerint nem fizettél még elő online játékra ;)

Ezek - köcsög módon - úgy működnek, hogy amíg nem mondod le, automatikusan lezuúzzák a kártyádról az előfizetési díjat havonta (vagy ahogy előfizettél)

Erre - és az egyéb netes fizetésekre is - éppen ezért találták ki az elektronikus számlacsonagokat, amire csak akkor teszel pénzt, ha fizetni akarsz, így hiába próbálkoznak későb...

Erre köcsög módon van olyan lehetőség, hogy a pénzügyi szolgáltató kezeli a pénzügyi adatokat, és te csak felhatalmazást adsz a levonásra. Ők pedig ez alapján levonják, ami nem garancia arra, hogy nem nyúlhat le az a cég akinek adtál meghatalmazást, hanem az, hogy ha ilyen történik akkor legalább a kártyaadataiddal nem élnek vissza.

( kovi | 2011. 11. 11., p – 09:56 )

ejha, ez "jól" hangzik, főleg ha folyamatosan emelik le a zsét.

--
Vége a dalnak, háború lesz...

( Zaneck | 2011. 11. 11., p – 10:41 )

És ezért is használok ilyen szolgáltatásokhoz interneten regisztrált virtuális bankkártyát.

Ha kompromitálódik akkor vonogathatom a vállamat.

( pimpalaputty | 2011. 11. 11., p – 10:43 )

Én eddig mindig paypalt használtam steames fizetéskor. Feltételezem akkor én biztonságban vagyok (amíg nem törik fel a paypal rendszerét is).

( zrubi v | 2011. 11. 11., p – 11:02 )

Egyébként ez nem csak online fizetés esetén probléma ám... Sok helyen - nem csak kishazánkban - 'vasalják' a kártyádat, nincs digitális lehúzójuk. Ilyenkor a használatához minden szükséges info ott lesz egy papíron, amit BÁRMIKOR felhasználhatnak - és csak rajtuk múlik hogy illetéktelenek hozzáférhetnek-e vagy sem. Szvsz, mivel ez csak egy darab parír egy fiókban, még a takinéni is könnyedén...

Sőt, egy igen csilivili 5 csillags szállodaláncnál esett meg a következő velem:

Becsekkolásnál KP-ben fizetés (előre) majd pár nap múlva kicsekkolásnál az egyéb költségeket is fizettem volna - kártyával... Nyújtom a bankkártyámat, de erre a recepciós nagyon kedvesen: "Nem kell, megvan a gépben"
Kicsit megdöbbenve néztem, de nem reklamáltam hogy ez nem lehetséges, csak megköszöntem, és távoztam...

Pár nappal később csekkoltam a bankszámlámat, és természetesen nem volt rajta az összeg :) - biztosan félrenézte a csaj és más kártyájára terhelte az összeget :)

nekem a kedvenc történetem az volt, hogy fizetni akartam VISA-val (electronic use only felirattal) Svájcba... a bökkenő az volt, hogy csak dombornyomott "offline" :-) terminál volt... (emellett külföldön a kp felvételi limit eltért a belfölditől, melyet nem lehetett valamiért módosítani... kijelentkezés után a repülő nem vár meg) sietni kellett, így patthelyzet lett

A "vicc" ott kezdődött, hogy bepróbálkoztam a pultosnál, hogy mit szoktak csinálni, amikor le van kopva a dombornyomott kártya száma.... erre ő mondta, hogy kézzel tollal kiegészítik... megkérdeztem mi lenne, ha nem kiegészíteni hanem egyszerűen odaírná és kész... csaj örült a megoldásnak és így is tett.
Rá pár napja úgy ahogy kell szépen be is terhelték szó nélkül...

Ennyi az eletronic user onlyról, illetve a különböző security intézkedésekről...

A szépsége ráadásul az lett a dolognak, hogy duplán zárolta a bank az összeget, s 2 hétig nem fértem hozzá a pénzemhez, miután törölték a 2. beterhelést (állítólag ez az eljárás külföldi vásárlásnál, ha 2x-es az átváltás azaz akkor CHF -> USD USD -> HUF)

2005-ös történet, lehet hogy ma már nem lehetne megtenni... passz.

ha mar bankkartyas tortenet: nemreg hollandiaban voltunk konferencian baratnommel, es sehol(!) nem tudtunk fizetni a dombornyomtott MC/Visa -val. ha nem lett volna nalunk a Maestro kartyank (ami a hollandoknal es svajcban az alap lakossagi debit kartya**), beszivtuk volna*.

*: gondolom az ATM-ekbol vehettunk volna le igy is penzt, de az a magyar bankoknal szivas.
**: a dolog szepseghibaja, hogy amig mindenki orul, hogy kulfoldon ingyenes a kartyaval fizetes, az itt nem igy van: az UBS/CS 1.75%-ot terhel minden orszagon kivuli tranzakciora...

( answ | 2011. 11. 12., szo – 08:34 )

3 eve Sziciliaban meg vasaltak apam kartyajat az autokolcsonzoben. Szoval a kietlen videkeken ma sincs meg terminal.

Egyebkent ezert kell CIB (volt IEB) rendszeret hasznalni es nem OTPt. Ha van lehetosege az embernek akkor, ha egy bolt OTP fizetest kinal, a masik CIBet, akkor jobb a CIBet valasztani, ha nem akarunk pereskedni kesobb.. CIB nem ad lehetoseget ugyanis ilyen csalasokra, visszaelesekre (ismerem az apit).

A CIB nem ad lehetoseget arra, hogy a partner hozzaferjen az ugyfel fizetesi adataihoz, igy az nem is tarolhatja es nem indithat ujabb lehuzast (ellenben az OTPvel). Ugy kerult ide az OTP, hogy felhoztak a PPO botranyt, amiben velemenyem szerint az OTP is hibas, hogy lehetoseget adott erre.

Szerk:
Egyebkent en tamogatnek egy kemenyebb szabalyozast Magyarorszagon, hogy csak bankok kezelhessenek kartya adatokat. Mert kisebb cegek ugyis a legolcsobb biztonsagi szakembert veszik fel (ha egyaltalan foglalkoznak vele), allami cegek hozza nem erto rokonokat, ismerosoket, a bankok viszont megengedhetik maguknak a biztonsagot.

Nem. Ez normál körülmények közt soha nem fordulhat elő.
Létezik olyan fizetési megoldás (otpnek van ilyen ha még csinálnak, és a legtöbb külföldi nagyobb oldal mögött ilyen fizetési mód van, ezért értékesebbek külföldön a virtuális pénztárca megoldások), hogy a fizetés 2 szerplős (vásárló, eladó) ebben az esetben a vásárlótól az adatokat az eladó kapja meg és nem a pénzügyi szolgáltató, ő pedig kezdeményezi a fizetést.
Történelmi okokból ez előbb létezett, és még mindig nagyon nagy százalékban van jelen a piacon. A 3 szereplős modell inkább európai sajátosság. A paypal is ad 2szereplős fizetési megoldást az eladó ügyfeleinek egyébként.

"hogy a partner hozzaferjen az ugyfel fizetesi adataihoz"
A kétszereplős modell elég szigorú feltételekkel létezik, ha már lehet, inkább legyen itthoni bank az aki melléáll. Örülnék ha nem lenne ilyen módszer, de ha már van...
A ppo nem 2szereplős volt, hanem 3 szereplős speciális esete, amiben arra szerződött az ügyfél, hogy bármikor levonhatja a díjat a szolgáltató(ppo) ha akarja. Erre a normál üzletvitelben is van példa (csop. fiz. meg.)
A cib rendszerével a "megújuló" (recurring) fizetések nem lehetségesek, ha valaki ilyen szolgáltatást tervez, az csapda. Ennek a legbiztonságosabb módja mikor semmilyen stádiumban nincs az oldal birtokában a kártyaadat, mivel 1 szereplővel kevesebbnél lehet biztonsági gond.
A szolgáltatás mindig a biztonságra rovására bővíthető (feltételezett optimális működés esetén).
Itt egy szemét szolgáltató, és fizetési kultúra hiánya okozta a problémát. Nem az hogy van lehetőség megújuló fizetést szolgáló teljesítésre. Egy valamire jó volt, hogy felhívja a figyelmet, hogy lehet ilyet.

"A CIB nem ad lehetoseget arra, hogy a partner hozzaferjen az ugyfel fizetesi adataihoz"

Az OTP ad?
Komolyan kérdezem, ugyanis én jegyeztettem már meg az OTP-vel a kártya adataimat, és baromi mérges leszek, ha ez igaz. Fel nem tudom fogni hogy lehetséges ilyen...

Miaz hogy CIB-es? Te megadod az eladónak mint másik félnek(Steam) az összes adatot amivel fizetést tud kezdeményezni. Ez a kártya nincs jelen jellegű tranzakciónál a fizetéshez elegendő, nem is értem a kérdést pont ugyanúgy mintha unicredites vagy ép citibank-os lennél. Nem érdekes hogy ki adta neked a kártyádat. A 2 szereplős model így működik. A 3 szereplősnél van egy pénzügyi szolgáltató, ilyenkor az adataidat itt adod meg (azaz az eladó nem látja) csak a pénzt kapja meg. A 3 szereplősnél is lehet olyan, hogy a pénzügyi szolgáltató megjegyzi a kártya adataidat (legtöbbször ő sem jegyzi meg) ilyenkor az eladó, egy hivatkozási számmal levonást kezdeményezhet, mintha tudná a kártya adataidat, de ilyenkor nem tudja, ergo nem is tudják tőle elvinni. A Steam az elég gyakori 2 szereplős módszert használta a fent említett esetben, ezért van meg neki az adat.

Elnézést ha félreérhető voltam.
Semmi köze annak, hogy te melyik banknál vagy.
Én arról írtam, hogy az nem mindegy hogy melyik banknál fizetsz.

Ahogy willy is írta:
"A cib rendszerével a "megújuló" (recurring) fizetések nem lehetségesek, ha valaki ilyen szolgáltatást tervez, az csapda. Ennek a legbiztonságosabb módja mikor semmilyen stádiumban nincs az oldal birtokában a kártyaadat, mivel 1 szereplővel kevesebbnél lehet biztonsági gond."
Én ezért tartam biztonságosnak a CIBes fizetést.

Ismétlem: ennek semmi köze ahhoz, hogy te "kinél bankolsz".

Szerk:
Másik kérdésedre a válasz:
A CIB semmilyen adatot nem ad vissza, amit a felületén megadsz. Csak arról lesz tudomása a boltnak, hogy a tranzakció sikeres/sikertelen volt X összeggel.
Természetesen minden amit a bolt honlapján adsz meg az a boltra tartozik. A CIBes fizetési felületen maximum egy saját logót enged a CIB elhelyezni (legalábbis saki v1.35a-ig biztosan). Persze a kivonaton ott lesznek a küldő azon adatai, amelyek normál átutaláskor is megjelennek.

Te arra gondolsz, az az, hogy vásárláskor átirányítja a CIB oldalára az ügyfelet? No, azzal csak annyi a probléma, hogy ez az, amikor a CIB adja a kártyás fizetési szolgáltatást egy oldalnak és köze nincs ahhoz, ahhoz, hogy CIB-es vagy OTP-s vagy FooBarBankos kártyád van.

Másrészt megnézem, hogy pl. xboxon hogyan fogsz te akkor CIB-essel fizetni, ha maga a készülék kéri a kártyaszámod...

(És igen, én is csináltam már CIB-es bankkártyás fizetést).

----------------
Lvl86 Troll

( b | 2011. 11. 12., szo – 09:41 )

Valami Gabe nevezetű fejlesztőjük egy pár héttel ezelőtt még ott trollkodot a saját fórumokon, hogy a Sony így meg úgy. Hamar visszajött a bumeráng.

--
GPLv3-as hozzászólás.

( asm v | 2011. 11. 12., szo – 11:41 )

Epp most terveztem, hogy beregisztralok az ebay-re, aztan azzal kezdi, hogy adjam meg a bankkartya adatokat (Card identification number-rel egyutt). Igy elment a kedvem az egesztol...

( wladek1 | 2011. 11. 12., szo – 12:19 )

Ahol online kell fizetnem, mar vissza is fordultam.

...annak nem nyuljak le a hitel/bankkartya adatait.
Tudom, azer is @ vagyok, mer' nem vagyok fenn a facebookon, illetve nem pakolom ki a fel eletemet a netre.
Oskor: netbankot hasznalok pl.; utalni is igy szoktam, de ha valaki valamit csinal a bankszamlammal, azt hazankban azert elobb elo tudom venni, mint valami olyan ceget, amirol semmit nem tudsz, csak amit olvasol/hallasz.

Kovetkeztetes: Mindenki maga donti el, kinek adja ki a bankszamlaival kapcsolatos adatait. Ja, hogy van csekbox az oldalon? Es az mit is jelent? Egy ujabb POST paramot, ami vagy ervenyesul, vagy nem. Hozzaferni is programhiba/fejlesztoi fassag alapjan lehetett a db-hez, nem?

paypal fizetest rengeteg helyen elfogadnak igy nem kell megadnod a noname cegnek a kartyaadataidat, egyedul paypalon kell beregelni, es azert oket "elo lehet venni" ha elcseszik.
En sem vagyok fent facebookon meg semmi hasonlo alternativajan se, de ez meg nem jelenti azt hogy egy inkabb kihagyjak dolgokat a fizetesi fajta miatt. Nem mondom hogy tokeletes, de meg soha semmi bajom nemvolt online fizetessel de a kornyezetemben mar tobb embert is erintettek kisebb nagyobb problemak vele (megis azota is fizetnek vele). Kb annyi volt a teendo hogy felhivja az ember a bankot, es azt mondja hogy hat ez nem o volt, hanem ez bizony fraud, ok meg mondjak hogy koszonik szepen, kartya letiltva, holnap megkapja az ujat postaval, penzt visszakapja par napon belul. (credit carddal megjobb ott csak mondja az ember hogy hat ez fraud volt, ezt nem fizetem vissza, a tobbit igen)
Plusz rengeteg hely van ahol nem is lehet mashogy fizetni, mert az egesz egy online bolt, arrol nem is beszelve hogy hihetetlen kenyelmes, szerintem amit elkoltok annak ugy a 50%at fizetem online (szamlak vagy direct debit vagy online kartya tranzakcio), kb 40%at kartyaval (boltokban), es talan 10%at kpban, de lehet hogy meg annyit se

( pinyo_villany | 2011. 11. 12., szo – 15:41 )

Es a vicces az egeszben az, hogy ez nagyobb port kavart, mint a DuQu :) ; pedig a ketto ossze sem merheto kartekonysagban.
___
info

( r0pi v | 2011. 11. 14., h – 12:29 )

van steam accountom.
vasaroltam hitelkartyaval jatekot.
a bankom naponta egyszer teljesiti a hitelkartya terheleseket (ha jol emlekszem).
mindig kapok ertesitest, ha terhelik a kartyat es ez azonnal megtortenik.
milyen gyorsan hivom fel a bankot es tiltom le a tranzakciot, ha valami nem stimmel?
aggodom?

Van lehetőséged a kártyaterhelés ellen panaszt benyújtani (a terhelés nem jelent azonnali átvezetési tranzakciót, gyakorlatilag terhelés a fedezetül szolgáló számlán). Az hogy ezt hogy kezeli a pénzintézet az magát a pénzintézetet jellemzi. Bizonyos összeg alatt nem igazán érdekli legtöbbször őket.
A Steam, nagyon nagy valószínűséggel titkosítva tárolta ezen adatokat, és az is lehetséges, hogy particionálva (elvileg mind kötelező). Aggódnod? Hát ezt a Steam-től kérdezd meg, ha van módod rá. Azt nem tudom helyre állítható e minden információ az elvitt adatokból. Ha igen, akkor már csak az a kérdés megéri e töréssel próbálkozni az elkódolt adatokon.
Ebben a esetben jelentsd a kártalanítási igényed.