Valve admite ataques sofridos no Natal

Notícias PC

Depois de um estranho silêncio, a Valve não deixou o ano acabar e quebrou o silêncio acerca dos acontecimentos ocorridos no Steam durante o Natal, quando usuários relataram problemas como mudanças no idioma ou acesso a contas de terceiros. E sim, o Steam sofreu um ataque de negação de serviço (o chamado DoS – denial of service), mas a culpa dos erros não foram exatamente atribuídas a ele.

Segundo a Valve, a Loja Steam teve um aumento de 2000% no tráfego dos dados e, dessa forma, as regras de configuração da memória cache do serviço (que estavam aos cuidados de uma empresa parceira da Valve) utilizada para melhorar o desempenho no acesso às páginas, foram rapidamente ativadas, de modo a diminuir o impacto. No entanto, uma dessas configurações começou a entregar erroneamente dados em cache de usuários autenticados, ou seja, a gente começou a ver coisas que não tínhamos configurado ou nos pertenciam.

Winter Sale 2015

A loja do GabeN ficou fechada por algumas horas no Natal

Ambas as empresas ainda estão trabalhando para identificar e entrar em contato com as pessoas que tiveram suas contas acessadas desse modo. A falha atingiu mais de 34 mil usuários, e dados de vários deles, como históricos de compras e endereços de e-mail, acabaram incorretamente divulgados para terceiros.

Abaixo, consta o pronunciamento da Valve na íntegra, traduzido:

Queríamos trazer-lhes mais informações sobre o problemático Natal no Steam.

O que aconteceu

Em 25 de dezembro, um erro de configuração resultou em alguns usuários ver páginas da Steam Store geradas para outros usuários entre 11:50 e 13:20 do horário do Pacífico [17:50 e 19:20, no horário de Brasília], requisições de página para cerca de 34 ml usuários, que continham informações pessoais, podem ter sido retornadas e vistas por outros usuários.

O conteúdo dessas páginas era variado, mas algumas incluíam o endereço de cobrança do Steam, os últimos quatro dígitos do número de telefone do Steam Guard, o histórico de compras, os dois últimos dígitos do cartão de crédito e/ou o email. Essas páginas em cache não incluíam números completos de cartão de crédito, senhas ou dados suficientes para permitir uma transação completa por parte de outro usuário.

Se você não acessou alguma página do Steam com informações pessoais (tais como sua conta ou histórico de compras) nesse período, esses dados não foram mostrados para outro usuário.

A Valve vem trabalhando com nosso parceiro de web caching para identificar usuários cujas informações foram mostradas para outros usuários, e contataremos aqueles afetados assim que identificados. Como nenhuma ação não autorizada foi permitida nas contas além da visualização de informações de páginas em cache, nenhuma ação extra é necessária dos usuários.

Como aconteceu

Na manhã do Natal (horário do Pacífico), a Steam Store foi alvo de um ataque DoS que impediu a transmissão de páginas aos usuários. Ataques contra a Steam Store, e Steam no geral, são corriqueiros e a Valve lida com eles tanto diretamente quanto com a ajuda de companhias parceiras, e geralmente não causam impacto aos usuários do Steam. Durante este ataque no Natal, o tráfego da loja aumentou 2000% a mais do que a média da Promoção Steam.

Em resposta a este ataque específico, regras de cache gerenciadas por um desses parceiros foram utilizadas de forma a minimizar o impacto nos servidores da loja e continuar a rotear tráfego a usuários legítimos. Durante uma segunda leva deste ataque, uma segunda configuração de cache foi utilizada, e armazenou incorretamente tráfego web de usuários autenticados. Este erro de configuração resultou em alguns usuários verem as respostas que foram geradas para outros. Estas respostas incorretas variaram desde a exibição da página inicial da loja em outra língua até a pagína da conta de outra pessoa.

Assim que o erro foi identificado, a loja foi desativada e uma nova configuração de cache foi posta em prática. A loja permaneceu fora do ar até todas as configurações serem revisadas e termos a confirmação de que elas foram entregues a todos os servidores dos parceiros e todos os dados em cache dos servidores fossem apagados.

Continuaremos a trabalhar com nosso parceiro de web caching para identificar usuários afetados e melhorar o processo utilizado para montar as regras de caching daqui pra frente. Pedimos desculpas a todos cujas informações pessoais foram expostas por este erro e pela interrupção do serviço.

Um simples desenvolvedor com textura realista que quer desligar a PhysX e sonha a 120 frames por segundo. Pena que a memória é baixa.