Kurze Info für alle Steam-Nutzer: Es scheint offenbar eine massive Sicherheitslücke bei Steam zu geben, die es Angreifern ermöglicht, Steam Profile zu manipulieren. Darüber kann Schadcode ausgeführt werden oder der Nutzer auf gefälschte Steam-Seiten umgeleitet werden.
Update 10.02.2017
Wie Heise Security berichtet, wurde die Sicherheitslücke laut Steam-Betreiber Valve nun geschlossen. Ein Statement dazu gab es seitens Steam allerdings nicht, Heise will aber aus Unternehmensnahen Kreisen erfahren haben, dass die Lücke tatsächlich existierte und womöglich sogar noch weitere Lücken bestehen. Nach dem heutigen Stand können aber zumindest Steam-Profile wieder gefahrlos geöffnet werden.
Original-Meldung vom 07.02.2017
Die Meldung wurde zuerst auf Reddit verbreitet, wo der Moderator R3TR1X auf die möglichen Gefahren hinweist. Demnach gibt es aktuell lediglich eine Option sich davor zu schützen: Keine Steam-Profile aufrufen.
Durch die Sicherheitslücke sei es möglich, per XSS (Cross-Site-Scripting) die gewünschte Seite zu manipulieren und den Nutzer beispielsweise auf eine gefälschte Steam Login-Seite umzuleiten oder direkt Schadcode ausführen zu lassen. In den Kommentaren meldete sich auch ein weiterer Moderator zu Wort, laut seinen Angaben habe er binnen kurzer Zeit ein Proof-of-Concept erstellen können, dass es sogar ermöglicht, Steam Market Guthaben des Opfers für Käufe zu nutzen, ohne dass das Opfer es bestätigen müsste.
Solltet ihr in letzter Zeit andere Steam Profile als euer eigenes aufgerufen haben, solltet ihr in jedem Fall euer Passwort ändern und am besten auch eine 2-Faktor-Authentifizierung bzw. den Mobile-Authenticator aktivieren, sofern nicht eh schon aktiv.
Steam wurde laut dem Forenthread bereits mit allen Details über die Sicherheitslücke informiert, bislang gibt es von dort aber wohl noch keine Rückmeldung. Schützen könnt ihr euch also im Moment nur, indem ihr es vermeidet, andere Profile aufzurufen.
via Gamestar