Valve spiega cosa è accaduto su Steam a Natale
A Natale su Steam, per circa un’ora, era successo qualcosa di estremamente strano. Potete seguire la vicenda, come si presentò allora ai nostri occhi, sul nostro articolo dell’epoca. Ma, in sinstesi: le persone che entravano su Steam trovavano il sito impostato su una lingua sbagliata e le informazioni di altri utenti al posto delle loro nella pagine “Dettagli dell’account”. Valve rispose chiudendo momentaneamente Steam senza rilasciare dichiarazioni, e l’unica spiegazione che avemmo fu data alla stampa solo in seguito e parlava di “un cambio di configurazione” che aveva causato “un errore nella cache”. Quindi, gli utenti vedevano informazioni salvate e destinate ad altre persone, ma non potevano modificarle o manipolare gli account, e Valve si spicciò ad assicurare che quindi nessuna azione illegittima poteva essere compiuta. Ma, comunque, alcune informazioni personali erano state effettivamente diffuse.
Ancora peggio, Valve non aveva in seguito informato degli avvenimenti gli utenti di Steam, che quindi ne potevano essere a conoscenza solo seguendo siti di informazione come il nostro. Ora, finalmente, esiste una dichiarazione ufficiale che chiarisce cosa è successo e quanti utenti sono stati colpiti. E delle scuse. Prima di tutto: non è stato un attacco DoS, come subito chiarito anche da SteamDB, ma un errore di configurazione della cache. Effettivamente un attacco DoS c’entra però in qualche modo.
“Il 25 di dicembre un errore di configurazione ha fatto in modo che alcuni utenti potessero vedere pagine del Negozio di Steam generate per altri utenti. Dalle 11:50 PST alle 13:20 PST i dati richiesti per conto di circa 34mila utenti, dati che contenevano pure informazioni sensibili e personali, potrebbero essere stati visti da utenti diversi. Il contenuto di questi dati dipendeva dalla pagina a cui erano destinati, ma alcune delle pagine contenevano gli indirizzi di casa degli utenti Steam e le ultime quattro cifre del numero di telefono associato a Steam Guard, la cronologia dei loro acquisti e le ultime due cifre della loro carta di credito e/o il loro indirizzo e-mail. Le informazioni che si trovavano nella cache non includevano però il numero completo della carta di credito, le password, o abbastanza informazioni da permettere a qualcuno di entrare nell’account di altri utenti o di fare acquisti al loro posto.
Se non avete provato ad entrare in pagine di Steam che contenevano vostre informazioni personali (come per esempio la pagina “Dettagli dell’account” o una pagina di pagamento) durante quel periodo di tempo, le vostre informazioni personali potrebbero essere rimaste al sicuro. Valve sta al momento lavorando con i nostri partner che si occupano della cache per identificare di quali utenti sono state mostrate informazioni ad altre persone, e contatteremo tutti gli interessati una volta che li avremo identificati. Ma siccome non erano possibili azioni non autorizzate sugli account, a parte vedere le informazioni salvate nella cache, non è richiesta nessuna azione particolare da parte degli utenti.
All’inizio della mattina di Natale (PST) il Negozio di Steam è stato bersaglio di un attacco DoS che ha impedito di far visualizzare le pagine del negozio agli utenti. Attacchi del genere contro il Negozio Steam, e contro Steam in generale, sono frequenti e Valve se ne occupa sia direttamente sia sfruttando l’assistenza di partner, e questi attacchi normalmente non hanno effetti sugli utenti Steam. Ma durante l’attacco natalizio il traffico sul Negozio Steam è aumentato del 2000% sopra la media di traffico che avevamo avuto nei Saldi di Steam.
Per rispondere a questo attacco, un partner di Steam che si occupa della cache è intervenuto cambiando le impostazioni di caching per minimizzare l’impatto sui server del Negozio Steam e per continuare a far scorrere regolarmente il traffico di utenti legittimi. Durante la seconda ondata dell’attacco è stata sfruttata una seconda configurazione di caching, ma questa configurazione ha gestito in maniera errata il traffico di informazioni degli utenti autenticati. L’errore di configurazione ha fatto in modo che qualche utente vedesse informazioni generate per altri utenti. Questi errori nella risposta alle richieste di informazioni variavano da caso a caso: alcuni vedevano la pagina del Negozio nella lingua sbagliata, mentre altri vedevano i dettagli di account altrui.
Una volta che l’errore è stato identificato, il Negozio Steam è stato chiuso ed è stata impostata una nuova configurazione di caching. Il Negozio di Steam è rimasto inoperativo finché non abbiamo controllato tutte le configurazioni di caching e non abbiamo ricevuto conferma che l’ultima configurazione impostate era funzionante su tutti i server di tutti i partner e che la cache era stata ripulita su tutti gli edge server [server al confine tra due reti]. Continueremo a lavorare insieme ai nostri partner nel caching per identificare gli utenti che sono stati colpiti dall’evento e per migliorare nel tempo il cambio di configurazione nella cache. Ci scusiamo con tutti gli utenti che hanno visto le loro informazioni personali venire esposte per errore, e per l’interruzione del servizio del Negozio Steam.”
Quindi, per rispondere a uno dei frequenti attacchi DoS Valve ha operato due cambi di configurazione della cache, ma al secondo cambio le impostazioni utilizzate hanno causato dei problemi. Il chiarimento è arrivato un po’ in ritardo, e Valve avrebbe potuto gestire meglio la cosa rassicurando gli utenti e comunicando meglio durante l’avvenimento, senza lasciarerimbalzare ipotesi da forum a forum e da sito a sito. È comunque incoraggiante leggere finalmente una dichiarazione, dopo giorni di silenzio quasi assoluto, e sapere che chi è stato colpito verrà realmente informato.
