MyticDragonblast
Software-Overclocker(in)
Laut dem offiziellen Statement von Valve hab so wild, und wer 2FA bestätigt, ohne es selber ausgelöst zu haben, hat es auch verdient betrogen zu werden, denn genau das ist der Grund, warum 2FA überhaupt existiert.
Ich behaupte mal der Großteil gehackter Accounts egal bei welchen Plattformen ist auf Accountverknüpfungen zurückzuführen. Bei Steam wäre das der Klassiker mit Drittanbieterseiten beispielsweise für den Echtgeldhandel mit CS-Skins.
Ansonsten bin ich mir bei Valve sicher, dass die ihrerseits alle bewährten Vorgehensweisen was IT-Sicherheit betrifft auch umsetzen, ist man ja immerhin was Kundendaten angeht so ziemlich das Kronjuwel der Spielebranche und dementsprechend attraktiv für Angreifer. Gehashte Passwörter, 2FA bei erstem Login und automatisch ablaufende Tokens bei längerer Offlinezeit, die dann wieder 2FA verlangen gibt es da alles schon ewig.
Was das Abfangen von SMS angeht, das ist ohne Malware an den entsprechenden Stellen, z.B. auf dem Endgerät des Nutzers oder beim entsprechenden Dienstanbieter schwierig und die SMS umzuleiten auch nur möglich, wenn man bereits Zugriff auf den gewünschten Account hat. Hier lag ja wohl Malware/Hack beim Dienstanbieter vor, aber dank Ablauf der Codes und keinem Hinweis auf den Account kein Problem.
Ich behaupte mal der Großteil gehackter Accounts egal bei welchen Plattformen ist auf Accountverknüpfungen zurückzuführen. Bei Steam wäre das der Klassiker mit Drittanbieterseiten beispielsweise für den Echtgeldhandel mit CS-Skins.
Ansonsten bin ich mir bei Valve sicher, dass die ihrerseits alle bewährten Vorgehensweisen was IT-Sicherheit betrifft auch umsetzen, ist man ja immerhin was Kundendaten angeht so ziemlich das Kronjuwel der Spielebranche und dementsprechend attraktiv für Angreifer. Gehashte Passwörter, 2FA bei erstem Login und automatisch ablaufende Tokens bei längerer Offlinezeit, die dann wieder 2FA verlangen gibt es da alles schon ewig.
2FA über SMS ist nicht per se schlecht, der Vektor entsteht eher daher, dass die Telefonnummer das KYC-Merkmal schlechthin ist, da die nur sehr selten geändert wird, und sich damit am schnellsten, von guten und bösen Akteuren, ein vollständiger Datensatz anlegen lässt. Für Unternehmen sind SMS aber teuer, daher ist eine eigene App, bei der man ebenfalls die Telefonnummer erhält, praktischer. Unbeliebt sind 2FA-Tools die nur über Public- und Private-Key laufen, da das Unternehmen so keine Telefonnummer erhält.
Was das Abfangen von SMS angeht, das ist ohne Malware an den entsprechenden Stellen, z.B. auf dem Endgerät des Nutzers oder beim entsprechenden Dienstanbieter schwierig und die SMS umzuleiten auch nur möglich, wenn man bereits Zugriff auf den gewünschten Account hat. Hier lag ja wohl Malware/Hack beim Dienstanbieter vor, aber dank Ablauf der Codes und keinem Hinweis auf den Account kein Problem.
Zuletzt bearbeitet: