Steam offline: attacco cracker a Valve (update)

È un pessimo lunedì mattina per gli ingegneri e per i tecnici di Valve: nel corso della notte la piattaforma Steam, la più utilizzata al mondo per il gaming su computer, è stata vittima di un attacco cracker. Nel momento in cui viene scritto questo articolo i server risultano ancora irraggiungibili e, se si prova ad accedere alla hompage tramite browser, viene restituito l’errore “Service Unavailable” come visibile nello screenshot allegato di seguito.

Non è dato a sapere se il colpo finirà con il mettere a rischio gli account dei milioni di utenti che ogni giorno si connettono a Steam per acquistare titoli, scaricare demo e ovviamente per giocare. Secondo alcune testimonianze comparse su forum come NeoGAF, Reddit e Twitch, pare che un numero non indifferente di iscritti abbia visto il proprio profilo cancellato o svuotato di tutti i contenuti ad esso associati. Dalla software house non sono giunti comunicati ufficiali su quanto accaduto. Nelle ore scorse la situazione sembrava essere tornata alla normalità, ma in questo istante la homepage del sito è finita di nuovo offline, forse a causa del numero elevato di richieste.

Il problema sembra essere riconducibile ad un bug nel sistema di recupero della password, che fino a poco tempo fa ha permesso ai malintenzionati di accedere a qualsiasi account, in modo estremamente semplice. La procedura da eseguire (ora fortunatamente non più funzionante), è la seguente: si chiede a Steam di poter recuperare le credenziali di accesso tramite codice per il reset della password inviato via email. Come mostra il filmato seguente, non è però necessario inserire alcun codice segreto per procedere nell’operazione, continuando fino alla modifica effettiva della password che potrà poi essere impiegata per il login a qualsiasi account.

Aggiornamento (12:12): Valve è intervenuta per ribadire che con l’utilizzo di Steam Guard gli account degli utenti e i contenuti ad essi collegati restano al sicuro, anche nel caso di modifiche alla password apportate da terzi.

Si tenga conto che, sebbene la password dell’account potrebbe essere stata modificata durante quanto accaduto, la password stessa non è stata rivelata. Inoltre, con Steam Guard attivato, l’account rimane al sicuro da login non autorizzati anche se la password viene modificata.

Aggiornamento (12:30): Sia l’homepage del portale che il client desktop di Steam sono tornati online. Valve sembra dunque aver risolto il problema e ristabilito una situazione di normalità. Bisognerà ora valutare se quanto accaduto ha provocato danni agli utenti, in termini di account compromessi o contenuti cancellati.