MDR INFO, 14.10.13
–> Beitrag anhören
Steam ist DIE Internetplattform für Spiele und Spieler im Internet. Gerade Jugendliche tummeln sich hier. Weltweit gibt es nach Angaben der Plattformbetreiber 50 Millionen aktive Nutzerkonten. Ein Hacker aus Mittelsachsen hat jetzt eine gefährliche Sicherheitslücke entdeckt, warnt davor – und wird von den Betreibern nicht ernst genommen. ich hab mir zeigen lassen, wie man Steam für illegale Zwecke nutzen kann.
Matthias Ungethuem sitzt im Wohnzimmer seiner Eltern am Laptop und grinst dabei ein wenig. Dass er einen der größten Spieleanbieter einfach gehackt hat, ist für ihn schon fast normal.
Technisch gesehen ist es tatsächlich extrem banal. Da ist das Witzige dabei: Man muss nicht mal groß etwas dafür können. Solang man die Lücke hat, kann man damit richtig etwas anfangen. Das ist halt diese große Gefahr. Viele könnten damit richtig großen Mist bauen…
In der Tat ist bei der entdeckten Sicherheitslücke vieles drin. Bis hin zu Kreditkartendaten kann alles vom Nutzer, den man reinlegt, abgefragt werden, ohne dass dieser stutzig wird. Matthias Ungethuem hat sich dafür auf den Chatbereich, die sogenannte Community, konzentriert. Das ist ein internes Fenster, in dem man sich mit anderen angemeldeten Nutzern von Steam unterhalten kann. Weiterleitungen, die Links, sind nur zu internen Seiten möglich – eigentlich, denn genau hier ist die Lücke. Der Hacker aus dem sächsischen Geringswalde hat einen präparierten Link verschickt. Mit einem Test-Account spielt Matthias Ungethuem jetzt nach, was einem normalen Nutzer passieren würde.
Und jetzt soll ich mich einloggen, weil ich angeblich ausgloggt bin in der Steam-Community. Hier, wenn man sich das anguckt, hier ist überhaupt nichts Verdächtiges. Das ist alles die ganz normale Webseite.
Doch genau das ist es nicht. Es ist eine Seite, die durch einen Code erzeugt wurde, der in dem Link enthalten ist. Durch die Lücke bei Steam wird dem Nutzer aber vorgegauckelt, dass die Plattform jetzt nochmals das Passwort haben möchte.
Denken Sie sich eines aus. Sonst sieht es so aus, wie, als hätte ich das vorgearbeitet. – Dann nennen wir das mal Bisambau. – Bisambau. Ok, jetzt bin ich wieder auf der normalen Seite. Der Nutzer an sich würde also wahrscheinlich – Was heißt wahrscheinlich? Es ist so! – Man würde ja unmöglich erkennen können, dass das gerade ein Angriff war. So, ich mach das mal alles klein und gehe dann mal auf meinen Webserver. Da müsste nämlich jetzt schon der Nutzername und das Passwort sein.
Ok, alles klar. Da ist es.
Und tatsächlich, da steht es: Bisambau. Mit diesem Passwort eines fremden Nutzers könnte sich der Hacker jetzt in dessen Account einschleusen und unter falscher Identität beispielsweise Spiele kaufen. Aber statt des Passwortes hätte Matthias Ungethuem auch die Kreditkartendaten abfragen können. Der User hätte nichts gemerkt.
Die Sicherheitslücke hat der Hacker bereits am 23. September an die Spieleplattform Steam gemeldet. Doch bislang passierte nichts, erzählt Matthias Ungethuem. Andere Hacker könnten die Lücke jederzeit ausnutzen, um damit illegal Geld zu machen.
Beim einloggen in Steam muss man auf neuen Systemen afaik noch ein Code eingeben, der an die eigene e-Mailadresse verschickt wird. So ohne weiteres kann man also mit den Accountdaten alleine eigentlich keinen Unsinn machen.
Den von Steam verschickten Code kann man auf dem manipulierten Eingabeformular natürlich auch abfordern, wenn es entsprechend programmiert wird. In dem Text ging es um ein Beispiel. Genauso gut können Sie Kreditkartendaten abfragen. Die Lücke lässt sich innerhalb von wenigen Minuten schließen. Dann wäre alles wieder sicher. Es hat nur bislang niemand reagiert.