Atak DDoS źródłem świątecznych problemów na Steamie
Poszkodowanych 34 tys. osób.
Valve podało nowe szczegóły na temat „incydentu” z 26 grudnia, w wyniku którego możliwe było podejrzenie personalnych informacji innych użytkowników systemu Steam.
W specjalnym oświadczeniu poinformowano, że losowo dobrane osoby mogły zobaczyć adres, ostatnie cyfry numeru telefonu, historię zakupów, dwie ostatnie cyfry karty kredytowej i adresy email całkiem innej osoby.
Warunkiem dostępu do tego typu danych było jednak udanie się na strony użytkownika zawierające te informacje, czyli w okresie od 8:50 do 10:20, 26 grudnia. Jeśli tego nie zrobiliśmy, nasze dane były bezpieczne i nie mogliśmy też widzieć szczegółów na temat innych kont.
Valve przyznaje, że u źródła usterki była ofensywa DDoS na serwery Steama. To atak na system lub usługę, który ma na celu sparaliżowanie jej działania. Polega na zajęciu wolnych zasobów serwera poprzez skierowanie do niego ogromnej liczby zapytań przy równoczesnym wykorzystaniu wielu komputerów.
Właściciel popularnego systemu dystrybucji dodaje, że ataki tego typu zdarzają się regularnie i nie są niczym nowym, lecz ten świąteczny był szczególnie dokuczliwy - „ruch” na stronie sklepowej wzrósł aż o dwa tysiące procent w porównaniu ze standardowym dniem zimowej wyprzedaży.
Jednym ze sposobów radzenia sobie z ofensywą tego typu jest zastosowanie pamięci cache. W uproszczeniu: całe strony zapisywane są po stronie użytkownika (lub specjalizujących się w tym firm pośredniczących), by ten mógł nadal je przeglądać, jednocześnie oszczędzając mocy przerobowych serwerom, które są właśnie pod dodatkowym obciążeniem.
Właśnie ten system zawiódł rankiem 26 grudnia: w wyniku błędnej konfiguracji, strony zapisywane dla jednego użytkownika były wyświetlane u kogoś innego.
Natychmiast po wykryciu usterki zdecydowano się wyłączyć cały Steam, przygotować poprawną konfigurację i rozesłać ją do „partnerów”, którzy zajmują się właśnie dostarczaniem takiej zawartości na czas trwania ataków DDoS.
„Przepraszamy wszystkich, których informacje były narażone w wyniku tego błędu, a także za przerwę w działaniu Steama” - dodaje Valve.