在聖誕節那天發生重大安全災難之後,Valve直接回應了Steam用戶。
在聖誕節那天,Steam擁有其中之一有史以來最糟糕的日子,用戶能夠查看其他Steam用戶的敏感帳戶信息。這導致人們能夠看到蒸汽庫,錢包信息甚至電子郵件地址。當Valve向遊戲機發出模糊的聲明時,它尚未直接解決Steam用戶群。今天,公司向用戶解釋了發生的事情。
以下發佈在蒸汽,注意到發生的事情不是DDOS攻擊的直接結果,而是由回覆進行DDOS攻擊:
12月25日,配置錯誤導致一些用戶看到為其他用戶生成的Steam Store頁面。在11:50 PST到13:20 PST商店頁面之間,可能已經返回並看到了包含敏感個人信息的約34K用戶的請求。
這些請求的內容因頁面而變化,但有些頁麵包括Steam用戶的計費地址,其Steam Guard電話號碼的最後四位數字,他們的購買歷史記錄,其信用卡號的最後兩位數字和/或他們的電子郵件地址。這些緩存的請求不包括完整的信用卡號,用戶密碼或足夠的數據,以允許作為其他用戶登錄AS或完成事務。
如果您在此時間範圍內不瀏覽蒸汽商店頁面(例如您的帳戶頁面或結帳頁面),則無法向其他用戶顯示該信息。
Valve目前正在與我們的Web緩存合作夥伴合作,以識別其信息已為其他用戶提供服務的用戶,並在確定受影響的用戶時將與受影響的用戶聯繫。由於除了查看緩存的頁面信息之外,不允許在帳戶上進行未經授權的操作,因此用戶不需要採取其他操作。
聖誕節凌晨(太平洋標準時間),Steam Store是DOS攻擊的目標,它阻止了商店頁面向用戶提供。對Steam商店和Steam的攻擊通常是閥門直接並在合作夥伴公司的幫助下處理的常規情況,通常不會影響Steam用戶。在聖誕節襲擊期間,蒸汽店的交通量比Steam銷售期間的平均流量增加了2000%。
為了應對這一特定攻擊,部署了由Steam Web緩存夥伴管理的緩存規則,以最大程度地減少對Steam Store服務器的影響並繼續路由合法的用戶流量。在這次攻擊的第二波浪潮中,部署了第二種緩存配置,該配置錯誤地緩存了身份驗證的用戶的網絡流量。此配置錯誤導致某些用戶看到了為其他用戶生成的Steam Store響應。不正確的商店響應因用戶而異,看到商店的首頁以錯誤的語言顯示,到查看另一個用戶的帳戶頁面。
一旦確定了此錯誤,就會關閉Steam Store並部署新的緩存配置。 Steam Store一直保持下降,直到我們審查了所有緩存配置為止,我們收到確認已將最新配置部署給所有合作夥伴服務器,並且所有緩存數據都已清除了。
我們將繼續與我們的Web緩存合作夥伴合作,以確定受影響的用戶,並改善用於設定緩存規則的過程。我們向所有人的個人信息所透露的所有錯誤以及中斷Steam Store服務所揭示的每個人表示歉意。
奧茲(Ozzie)自從5歲時拿起他的第一個NES控制器以來一直在玩視頻遊戲。此後,他一直從事遊戲,只有在他的大學期間短暫踩踏。但是他在質量檢查和活動中度過了數年之後,他被拉回了,大部分時間都花時間幫助推動了吉他英雄系列賽的高峰。 Ozzie已成為平台遊戲,益智遊戲,射擊遊戲和RPG的忠實擁護者,僅舉幾例,但他也是任何在其背後有良好而引人入勝的敘述的東西的巨大傻瓜。因為如果您不能用新鮮的櫻桃可樂享受一個好故事,那麼什麼是視頻遊戲?
