Lek in Steam liet gebruikers wachtwoord van andere accounts wijzigen

Een inmiddels gedicht lek in gameplatform Steam maakte het tijdelijk mogelijk om van ieder account het wachtwoord te wijzigen. 

Op onder meer Reddit is te lezen hoe het overnemen van iemands Steam-account precies in zijn werk ging.

De kwetsbaarheid is reeds aangepakt, maar zorgde sinds zaterdag voor veel paniek en verwarring bij gamers, zo blijkt uit de reacties op het sociale netwerk.

Aanleiding hiervoor was dat een aantal bekende spelers van Dota 2 tijdelijk niet meer op hun eigen account konden inloggen. Ook op Reddit en Twitch meldden gebruikers dat het wachtwoord van hun account plotseling gewijzigd was.

Aanvankelijk was niet duidelijk hoe het precies kon gebeuren dat van accounts de wachtwoorden werden aangepast. Het bleek om een lek te gaan in de optie om een wachtwoord te resetten via een speciale code. Die wordt naar het gekoppelde e-mailadres verstuurd en moet vervolgens in een invulveld worden ingevoerd.

Video: Zo werkte de kwetsbaarheid

Alleen gebruikersnaam

Het bleek echter tijdelijk mogelijk te zijn om die code geheel te omzeilen, simpelweg door niets in te vullen. Hierdoor kon iedereen zichzelf in principe toegang verschaffen tot een Steam-account, mits zij de bijbehorende accountnaam wisten. Als gevolg werden ook veel gebruikers van gamestreamingdienst Twitch de dupe, omdat tijdens het livestreamen vaak hun gebruikersnaam op Steam zichtbaar is.

Steam biedt bij het inloggen wel de mogelijkheid tot tweestapsverificatie en via Steam Guard wordt bij iedere nieuwe inlogpoging vanuit een onbekend ip-adres een extra code gevraagd. In veel van de gevallen waren de getroffen Steam-accounts daarom enkel tijdelijk onbruikbaar. Vreemden konden zichzelf er geen toegang toe verschaffen.

Accounts waarbij deze extra beveiligingsopties niet aanstonden, liepen dat risico wel en zijn mogelijk in handen van derden gekomen.

Zij kunnen er echter niet meteen digitale voorwerpen mee verhandelen. Accounts waarvan het wachtwoord wordt gewijzigd of die via een nieuw ip worden geactiveerd, mogen respectievelijk vijf en zeven dagen geen items ruilen.

Platformhouder Valve heeft nog niet publiekelijk gereageerd op het lek, maar de kwetsbaarheid werd enkele uren na de ontdekking ervan gedicht.

Lees meer over:
Tip de redactie