在圣诞节那天发生重大安全灾难之后,Valve直接回应了Steam用户。
在圣诞节那天,Steam拥有其中之一有史以来最糟糕的日子,用户能够查看其他Steam用户的敏感帐户信息。这导致人们能够看到蒸汽库,钱包信息甚至电子邮件地址。当Valve向游戏机发出模糊的声明时,它尚未直接解决Steam用户群。今天,公司向用户解释了发生的事情。
以下发布在蒸汽,注意到发生的事情不是DDOS攻击的直接结果,而是由回复进行DDOS攻击:
12月25日,配置错误导致一些用户看到为其他用户生成的Steam Store页面。在11:50 PST到13:20 PST商店页面之间,可能已经返回并看到了包含敏感个人信息的约34K用户的请求。
这些请求的内容因页面而变化,但有些页面包括Steam用户的计费地址,其Steam Guard电话号码的最后四位数字,他们的购买历史记录,其信用卡号的最后两位数字和/或他们的电子邮件地址。这些缓存的请求不包括完整的信用卡号,用户密码或足够的数据,以允许作为其他用户登录AS或完成事务。
如果您在此时间范围内不浏览蒸汽商店页面(例如您的帐户页面或结帐页面),则该信息无法显示给另一个用户。
Valve目前正在与我们的Web缓存合作伙伴合作,以识别其信息已为其他用户提供服务的用户,并在确定受影响的用户时将与受影响的用户联系。由于除了查看缓存的页面信息之外,不允许在帐户上进行未经授权的操作,因此用户不需要采取其他操作。
圣诞节凌晨(太平洋标准时间),Steam Store是DOS攻击的目标,它阻止了商店页面向用户提供。对Steam商店和Steam的攻击通常是阀门直接并在合作伙伴公司的帮助下处理的常规情况,通常不会影响Steam用户。在圣诞节袭击期间,蒸汽店的交通量比Steam销售期间的平均流量增加了2000%。
为了应对这一特定攻击,部署了由Steam Web缓存伙伴管理的缓存规则,以最大程度地减少对Steam Store服务器的影响并继续路由合法的用户流量。在这次攻击的第二波浪潮中,部署了第二种缓存配置,该配置错误地缓存了身份验证的用户的网络流量。此配置错误导致某些用户看到了为其他用户生成的Steam Store响应。不正确的商店响应因用户而异,看到商店的首页以错误的语言显示,到查看另一个用户的帐户页面。
一旦确定了此错误,就会关闭Steam Store并部署新的缓存配置。 Steam Store一直保持下降,直到我们审查了所有缓存配置为止,我们收到确认已将最新配置部署给所有合作伙伴服务器,并且所有缓存数据都已清除了。
我们将继续与我们的Web缓存合作伙伴合作,以确定受影响的用户,并改善用于设定缓存规则的过程。我们向所有人的个人信息所透露的所有错误以及中断Steam Store服务所揭示的每个人表示歉意。
奥兹(Ozzie)自从5岁时拿起他的第一个NES控制器以来一直在玩视频游戏。此后,他一直从事游戏,只有在他的大学期间短暂踩踏。但是他在质量检查和活动中度过了数年之后,他被拉回了,大部分时间都花时间帮助推动了吉他英雄系列赛的高峰。 Ozzie已成为平台游戏,益智游戏,射击游戏和RPG的忠实拥护者,仅举几例,但他也是任何在其背后有良好而引人入胜的叙述的东西的巨大傻瓜。因为如果您不能用新鲜的樱桃可乐享受一个好故事,那么什么是视频游戏?
