Warum fragt mich der Steam Client meine e-Mail Adresse erneut zu verifizieren?



  • Sind die bei Valve ernsthaft doof?

    Denn, was muss man tun um den Steam Account eines Benutzers zu klauen?
    1. Man besorgt sich erst einmal remote Zugriff auf seinen Rechner. Angriffsvektoren gibt's genug, angefangen beim Social Engeneering usw..
    2. Man manipuliert den Steam Client dahingehend, dass er den Nutzer nach einer E-Mail Verifizierung zwecks 2-Faktor Verifizerung fragt, und das auch dann, wenn der Nutzer bereits eine 2-Faktor Verifizierung eingerichtet hat und seine E-Mail bei Steam verifiziert ist.

    So, ist nun der Nutzer dumm genug, bei Punkt zwei im modifizierten Steam Client seine E-Mail Adresse erneut zu verifizieren, dann kann man dessen Account klauen in dem man dem echten Steam Server eine andere E-Mail Adresse zum Verifizieren unterschiebt und eine Bestätigung zur Verifizierung an die alte bereits verifizierte E-Mail Adresse schicken lässt.
    Jetzt muss der User nur noch die Verifizierung der neuen E-Mail Adresse bestätigen. Was er aber nicht weiß, denn er möchte bzw. muss ja, weil der Staem Client danach fragt, seine Alte E-Mail Adresse erneut verifizieren.
    Und genau das wird er tun.

    Und Bumm, der Account ist weg und alles nur, weil die Leute bei Steam ernsthaft erneut nach einer Verifizierung einer bereits verifizierten E-Mail fragen und damit schon allein aus Gewohnheit eine riesen Tür für modifizierte Steam Clients geöffnet wird.

    Und nein, mein Steam Client ist nicht modifiziert, ich habe die Dateien anhand von Prüfsummen verglichen. Aber der Steam Client fordert einem nach dem Login tatsächlich nach einer erneuten Verifizierung auf.

    Merke:
    Doppelt und Dreifach nach einer Verifizierung zu fragen erhöht nicht die Sicherheit, sondern senkt sie dramatisch.

    Fazit:
    Einmal verifizieren genügt.
    Wer vom Steam Client trotzdem erneut zu einer Verifizierung aufgefordert wird, der sollte in seinem eigenen Interesse solch eine Aufforderung grundsätzlich ignorieren.
    Und wenn einem diese Aufforderung derart nervt, man das also endlich loswerden will, dann sollte man sein Betriebssystem komplett neu aufsetzen und den Steam Client neu downloaden, installieren und nur in diesem komplett neu installierten Steam Client dann diese unsägliche Verifizierungsfrage beantworten.

    Leider ermöglicht Steam die Anfrage nach einer Verifizierung der E-mail Adresse nicht im Webbrowser.
    Dies wäre aber sinnvoll, dann könnte man so einen Unfug wenigstes auf einem anderen Rechner oder einem anderen Betriebssystem durchführen.


  • Mod

    Verifizierter User schrieb:

    Sind die bei Valve ernsthaft doof?

    Nein. Dein gebasteltes Szenario ist unrealistisch.

    Was muss man machen, um einen unverifizierten Steamaccount zu hacken?
    * Passwort herausfinden. Kein Problem.

    Was muss man machen, um einen verfizierten Steamaccount zu hacken?
    * Vergiss es, viel zu aufwändig, egal wie groß die Spielebibliothek ist. Unter anderem vergisst du bei deinem Szenario, dass bei einer versteckten Änderung trotzdem auch eine Nachricht an die registrierte Email gehen würde, die Manipulation also sofort auffiele. Mit schönem Link a la 'Wenn Sie die Emailadresse nicht geändert haben, klicken sie hier, um Alarm auszulösen'.

    Aber selbst dein Hackszenario ist noch viel zu aufwändig für Spiele. Das kann man bei Bankaccounts oder Firmengeheimnissen vielleicht so gerade noch rechtfertigen, aber Steamaccounts sind schwer zu hehlern.

    Daher käme es (ohne Re-Verifikation) insgesamt beim Steamsupport (der Steam pro Anfrage Geld kostet) zu folgenden Arten von Anfragen, die dieses Thema betreffen:
    * Leute vergessen ihre Email zu ändern (oder verlieren den Emailaccount) und sperren sich so selber aus: Sehr viele Anfragen
    * Leute (mit verifizierter Email) werden gehackt: Fast keine Anfragen

    Außerdem sind dies beides negative Kundenerlebnisse, die Steam auch möglichst vermeiden möchte.

    Nun können sie aber durch eine einfache automatisierte Abfrage, die Steam praktisch nichts kostet und das Kundenerlebnis nicht stört, dafür sorgen, dass die Probleme mit geänderten oder verlorenen Emails deutlich verringert wird, ohne dass der Aufwand für gehackte Accounts nennenswert, wenn überhaupt, ansteigt. Sie wären sehr dumm, das nicht zu tun.



  • SeppJ schrieb:

    Verifizierter User schrieb:

    Sind die bei Valve ernsthaft doof?

    Nein. Dein gebasteltes Szenario ist unrealistisch.

    Aha, weil du es dir nicht vorstellen kannst ist es unrealistisch.

    Nichts für ungut, aber ich halte deine Sichtweise für naiv.
    Entscheiden sollte hier übrigens auch nicht das subjektive Empfinden, sondern die Frage ob es technisch machbar ist.
    Und das ist es.
    Für die Hacker ist es sogar lukrativ, siehe weiter unten.

    Was muss man machen, um einen verfizierten Steamaccount zu hacken?
    * Vergiss es, viel zu aufwändig, egal wie groß die Spielebibliothek ist.

    Das kann man alles automatisieren.

    Vom Austausch des Steamclienten gegen einen modifizierten bis hin zum Austausch der verifizierten E-Mails.
    Alles was man erreichen muss, ist den Nutzer dazu zu bringen, einen Schadcode auszuführen, der dann die wichtigsten Schritte in die Wege leitet.
    Der Server, der für den Austausch der E-Mail notwendig ist, kann man auch so auslegen, dass er universell für jeden Steamnutzer geeignet ist.

    Damit ist also ein mehrfacher Accountdiebstahl möglich und wenn man mal etwas weiter denkt, dann ließe sich damit sogar ein großes Geschäft machen.
    Wer seinen Account zurück haben will, zahlt in Bitcoins.
    Ist der Preis niedrig genug, dann werden sich genug darauf einlassen und lieber zahlen.

    Unter anderem vergisst du bei deinem Szenario, dass bei einer versteckten Änderung trotzdem auch eine Nachricht an die registrierte Email gehen würde, die Manipulation also sofort auffiele.

    Ähm, das ist genau Teil des Angriffszenarios.
    Das hatte ich oben doch schon geschrieben.

    Der Nutzer muss den Link abnicken und da er die E-Mail Verifizierung selbst eingeleitet hat, wird er das auch machen.

    Aber selbst dein Hackszenario ist noch viel zu aufwändig für Spiele. Das kann man bei Bankaccounts oder Firmengeheimnissen vielleicht so gerade noch rechtfertigen, aber Steamaccounts sind schwer zu hehlern.

    Quatsch, alles hat einen Wert, auch Spiele.
    Leute die > 500 € in ihren Steamaccount gesteckt haben oder deren Spiele einen derartigen Wert zu !Salepreisen abdecken, werden gerne Bitcoins zahlen.

    Daher käme es (ohne Re-Verifikation) insgesamt beim Steamsupport (der Steam pro Anfrage Geld kostet) zu folgenden Arten von Anfragen, die dieses Thema betreffen:
    * Leute vergessen ihre Email zu ändern (oder verlieren den Emailaccount) und sperren sich so selber aus: Sehr viele Anfragen
    * Leute (mit verifizierter Email) werden gehackt: Fast keine Anfragen

    Inwiefern soll eine Aufforderung zur erneuten Verifikation dem Kunden helfen, ihren verlorenen E-Mailaccount zurückzuerhalten?
    Wenn der weg ist, ist der Weg und sobald der Kunde dann noch das PW zu Steam verliert oder seine HW auswechselt, kommt er auch nicht mehr in Steam rein.
    Die erneute Verifikation bringt hier also rein gar nichts.

    Wer seine E-Mail bewusst ändern möchte, der kann die Verifikation der neuen E-Mail manuell selber einleiten. Das ist über den Steamclient möglich.
    Der Nutzer muss logischerweise noch im Besitz des alten verifizierten E-Mail Accounts sein, denn an den gehen alle Bestätigungslinks, die er dort abnicken muss.

    Und Leute mit verifizierten E-Mails, deren E-mailaccount gehackt wurde, haben sowieso verloren.
    Da bringt eine erneute Verifikation genauso wenig.

    Nun können sie aber durch eine einfache automatisierte Abfrage, die Steam praktisch nichts kostet und das Kundenerlebnis nicht stört, dafür sorgen, dass die Probleme mit geänderten oder verlorenen Emails deutlich verringert wird, ohne dass der Aufwand für gehackte Accounts nennenswert, wenn überhaupt, ansteigt. Sie wären sehr dumm, das nicht zu tun.

    Jetzt ist mir klar, warum du obiges geschrieben hast, wie du es geschrieben hast. Die fehlt die Information über ein wichtiges Detail.
    Zur Information.
    Wenn du im Steamclient so eine Verifizierung ausfüllst, dann kriegt deine alte E-Mail Adresse einen Link zugeschickt und den musst du dann aufrufen.
    Hast du keinen Zugang zur alten E-Mail mehr, dann war's das mit dem Account bzw. der Re-verifizierung.
    Deswegen geht das ja auch, dass man so eine andere E-Mail Adresse unterschieben kann. Deren Mail sieht nämlich genauso aus und dieser Link geht auch da an die alte verifizierte Mail.
    Sobald aber der Link aufgerufen wurde, gilt dies nicht mehr, dann gilt die neue E-Mailadresse und der Account ist weg, wenn er so geklaut wurde.


  • Mod

    Wenn ich in deinen Threads etwas schreibe, brauchst du nicht darauf einzugehen. Meine Beiträge wenden sich nicht an dich, sondern an andere Mitleser, die die korrekte Antwort wissen möchten.



  • Wenn du etwas falsches schreibst, dann werde ich dich natürlich zum Wohle aller anderen richtig stellen.


Log in to reply