Teprve před pár hodinami vyšlo oficiální vyjádření Valve k situaci, která nastala 25. prosince večer. Zhruba 34 tisíc uživatelů bylo poškozeno. Ostatní uživatelé Steamu mohli vidět jejich osobní informace jako adresu, čtyři poslední čísla telefonu, který byl zadán ve Steam Guardu, historii nákupů, poslední dvě čísla kreditní karty a emailovou adresu. Nakupovat hry nebo získat heslo od účtu poškozeného nešlo.

Valve nyní pracuje na identifikaci osob, které byly poškozeny, a následně je bude kontaktovat. Pokud se tedy bojíte, že vaše údaje byly odhaleny, doporučujeme sledovat email.

Jak se to stalo?

Jak jsme před Vánoci upozorňovali, Steam měl být terčem DDoS útoků. To se 25. prosince vyplnilo, nicméně to je pro Valve celkem normální věc a situaci většinou řeší s partnerskými firmami a většinou to uživatelé ani nepoznají, nicméně během Vánoc se zvýšil provoz Steamu o 2000%, což už se po sečtení s DDoS útokem projevilo.

V reakci na tuto obzvlášť velkou zátěž se konfigurace pro ukládání mezipaměti upravila tak, aby co nejméně zatěžovala servery Steamu a provoz mohl normálně pokračovat. Během druhé vlny DDoS útoku se nastavovala jiná pravidla pro ukládání mezipaměti, ta ale špatně ukládala provoz na serveru u přihlášených uživatelů. Při odeslání požadavku na server se k uživatelovi vrátily informace o jiném účtu. Díky této chybě mohli někteří uživatelé vidět stránky jiných uživatelů.

Jakmile byla tato chyba objevena, Steam se okamžitě vypnul a nasadila se nová konfigurace mezipaměti. Steam byl následně zapnut po zkontrolování všech konfigurací a až Valve dostalo potvrzení, že poslední konfigurace byla nasazena na všech partnerských serverech po celém světě.

„Budeme pokračovat v práci s mezipamětí, vylepšíme nastavovaní konfigurace a kontaktujeme poškozené. Omlouváme se všem poškozeným, kterým byly odhaleny citlivé informace a taky za vypnutí obchodu Steam,“ stojí v závěru oficiálního vyjádření Valve.