Mitteilung zu einem Datenleck

Letzte Woche bemerkten wir, dass sich jemand unberechtigterweise Zugang zu einem PoE-Konto mit Administrator-Zugriff, das einem unserer Entwickler gehört, auf die Website verschafft hat. Dadurch hatte er Zugriff auf Werkzeuge, die unsere Support-Mitarbeiter verwenden.

Wir haben das Konto sofort gesperrt und alle anderen Admin-Konten zur Vergabe eines neuen Passworts verpflichtet. Dann begannen wir mit einer Untersuchung, um herauszufinden, was passiert war.

Das betroffene PoE-Konto war mit einem alten Steam-Konto verknüpft, das von einem Entwickler vor langer Zeit zu Testzwecken erstellt worden war und über das nie Käufe getätigt wurden. Der unberechtigte Zugriff erfolgte, weil es dem Angreifer gelungen war, dem Steam-Support genug Informationen zu liefern, um Zugang zum Konto zu erhalten.

Da es sich um ein normales Steam-Konto ohne Käufe und andere Informationen wie Telefonnummern oder Adressen handelte, mussten sie nur die E-Mail-Adresse und den Namen des Kontos angeben, unter der Verwendung eines VPNs des entsprechenden Landes.

Der Angreifer vergab bei 66 Konten neue Passwörter. Leider gab es im Ereignisprotokoll für diese Support-Aktion einen Fehler, durch den der Angreifer den Eintrag, der die Änderung dokumentierte, löschen konnte. Dieser Fehler kam bei keinen anderen Support-Aktionen vor und ist nun behoben.

Durch das Support-Portal sah sich der Angreifer außerdem die Informationen von einer erheblichen Anzahl an Konten an.

Für diese Konten hatten sie Zugang zu den folgenden privaten Informationen:

• E-Mail-Adresse, falls eine solche mit dem Konto verknüpft war
• Steam-ID, falls eine solche mit dem Konto verknüpft war
• Die IP-Adressen, die das Konto verwendete
• Die Lieferadresse, falls über das Konto Gegenstände erhalten wurden
• Den aktuellen Freischalt-Code für Konten, die wegen des Anmeldens aus einer anderen Region gesperrt sind

Durch das Support-Portal können keine Passwörter oder Passwort-Hashes eingesehen werden.

Außerdem gibt es einige Konten, bei denen sich der Angreifer den Transaktionsverlauf ansah, also die Liste mit getätigten Käufen.

Bei einigen Konten sah sich der Angreifer den Verlauf privater Nachrichten an, von denen sich viele an GGG-Mitarbeiter richten.

Es ist wahrscheinlich, dass der Angreifer E-Mail-Adressen, die er durch unser Portal gefunden hat, mit allgemein erhältlichen Listen gestohlener Passwörter von anderen Websites vergleichen konnte, um Konten zu finden, die das gleiche Passwort für ihr PoE-Konto verwenden. In diesem Fall hätten sie die regionale Sperre mit dem Freischalt-Code umgehen können.

Wir haben Maßnahmen ergriffen, um sicherzustellen, dass es zusätzliche Sicherheitsebenen für Admin-Konten gibt, damit sich so etwas nicht wiederholen kann. Admin-Konten dürfen nicht länger mit anderen Konten verknüpft sein und wir haben strengere IP-Beschränkungen eingeführt.

Diese Lücke in unseren Sicherheitsmaßnahmen tut uns sehr leid. Die Mittel zur Absicherung der Admin-Website hätten bereits vorhanden sein sollen und in Zukunft werden wir weitergehende Maßnahmen einführen, um sicherzustellen, dass dieses Problem nie wieder auftritt.