We learned that intruders obtained access to a Steam database in addition to the forums. This database contained information including user names, hashed and salted passwords, game purchases, email addresses, billing addresses and encrypted credit card information. We do not have evidence that encrypted credit card numbers or personally identifying information were taken by the intruders, or that the protection on credit card numbers or passwords was cracked. We are still investigating.
We don’t have evidence of credit card misuse at this time. Nonetheless you should watch your credit card activity and statements closely.
Precis som i fallet med Sony's Playstation Network har formulering valts som att man säger att man inte hittat några tecken på... alltså inte "det är inte så" utan "vi har inte sett att det skulle vara så". Det gör det svårbedömt, för man kan undra vilken motivation Valve själva har till att hitta om det vore så.
Ett exempel på några andra som också formulerade sig på detta vis var DigiNotar, där det efter att ett andra extern forensicsteam varit inne uppdagades att omfattning var väldigt mycket större än vad man först upptäckt. DigiNotar lades efter det intrånget ner, eftersom förtroendet i och med intrånget var helt förbrukat och deras certifikat plockade bort från de stora webbläsarna.
Konsekvenserna i det här fallet kommer förstås inte vara lika allvarliga. Steam användare har ända sedan i mars kunnat använda sig av Steam Guard för att förhindra angrepp mot just deras konton. Steam har också sin sida med Account Security Recommendations. Men det här är förstås en stor händelse. Samtidigt kan man undra varför angriparna valde att defacea forumet, när de hade kunnat ta konton från databasen och sälja dem för upp till 1000 dollar styck. Lite märkligt...
Inga kommentarer:
Skicka en kommentar