PDA

Ver la versión completa : Hackearon Steam, aunque aparentemente ya está solucionado



Alej0
26-12-2015, 01:13 AM
Un grupo hacker atacó los servidores de Steam y empezaron a salir fotos de transacciones en juegos hechas sin consentimiento, al principio decían que cambiaran las opciones de Paypal en Steam, pero despues Valve dijo que lo mejor era que no hicieran nada, para evitar que te robaran plata de tu cuenta, que fueras por el navegador a la pagina de Paypal y desactivaras una opcion.

Parece que hubo un error en el cache de los servidores de Valve, Akamai, al menos eso es lo que dicen, yo como no entiendo ni un pomo, acá la noticia completa y con detalles:

http://www.gamespot.com/articles/steam-issue-allowing-access-to-other-users-account/1100-6433371/

Yo creo que van a rodar cabezas en Valve y con razón, esto no puede pasarle a la plataforma más grande e importante de videojuegos.

Master of the Wind
26-12-2015, 01:26 AM
Parece que mas que un hackeo fue un error de los serves de cache, aparecian juegos en la biblioteca que no se habian comprado y eso, pero era imopsible igual ver tarjetas y contraseñas que no sean tuyas, ya que no se muestran nunca en las interfaces web ni en steam mismo.

DT-Agus
26-12-2015, 02:26 AM
Master of the Wind



pero se podian jugar los juegos ajenos digamos?

nicolasvega18
26-12-2015, 02:53 AM
Fue solo un error de cache al parecer, lo unico que pasaba es que si vos entrabas a tu cuenta, veías la de otra persona, pero por temas de autenticacion no podias comprar/vender nada, fue mas escándalo que otra cosa

Dreadjaws
26-12-2015, 02:56 AM
No tuvo nada que ver con un hackeo. Lo que pasa es que la gente ve que algo no funciona normalmente y se escandaliza y tira esa palabra.

Galdov
26-12-2015, 11:35 AM
Igual todo huele raro porque una hace una semana amenazaban con atacar Steam y los servidores de Minecraft (ROFL) en navidad, y cae el 25 y pasa ésto.

Y se podían ver e-mails completos perfectamente, numeros de telefono y de tarjeta solo parcialmente, pero igual es una cagada, si fue un problema interno con la caché van a tener que despedir al "ingenierito" vivo ese que hizo esa burrada para forzar andar mejor unos servidores que se mueren de hambre, cual mas patético si Valve o sus empleados no se.

Master of the Wind
26-12-2015, 12:02 PM
Y se podían ver e-mails completos perfectamente, numeros de telefono y de tarjeta solo parcialmente, pero igual es una cagada, si fue un problema interno con la caché van a tener que despedir al "ingenierito" vivo ese que hizo esa burrada para forzar andar mejor unos servidores que se mueren de hambre, cual mas patético si Valve o sus empleados no se.

1) Los numeros y los mails se ven porque son datos publicos, las tarjteas solo el ultimo cuarteto para que puedas identificarlo si tenes mas de una, pero no se ve ni el numero completo ni claves, que es lo que le puede armar un lio legal.

2) Bo, pero un error puede pasar, somos humanos todos, no entiendo lo de forzar, y no creo que los servidores de steam se mueran de hambre precisamente, deben tener una carga de la gran concha, he visto en mi vida servidores de 8 cores, 32GB de ram, y discos SSD re cagarse a pedo porque tienen una carga de la gran concha, y eso en la carga que debe tener steam debe ser una nada.

Galdov
26-12-2015, 01:22 PM
Como datos públicos? Normalmente vos no podes ver ni mi e-mail ni mi número de teléfono en Steam, para mí son datos privados que no quiero que cualquier random sepa, son parte de mi info privada.

Y por forzar hablo del rumor mas comun que anda en la vuelta:


It's also possible that they were under heavy load and the engineer on duty reconfigured all their edge nodes to cache more aggressively.

Y aunque no sea el caso, ésto viene pasando hace años, tienen una base de usuarios muy grande y es una época donde todos van a entrar a la vez, tienen plata de sobra para meter mas hardware, nomas cuando un juego muy popular lo está bajando mucha gente porque recien salió o apareció con tremendo descuento por primera vez se satura bastante a veces.

La garcha de Facebook tiene muchisima mas gente subiendo fotos HD, videos, gifs pelotudos, consumiendo ancho de banda todo el tiempo que lo estan usando, y no se cae tan seguido, el problema es que la configuración de Valve está pensada para epocas sin rebajas y no tienen una contingencia para cuando llegan éstas épocas, durante las primeras 2 horas de la winter sale no pude ni entrar.

Master of the Wind
26-12-2015, 01:24 PM
Publicos en el sentido de que no son datos sensibles legalmente. Por eso pasa que te cae spam en el mail o te llaman de venezuela igual para darte promociones por telefono, porque los que tienen tus datos los pueden pasar a quien quieran.

No pasa eso con las contraseñas y las tarjetas de credito.

Dreadjaws
26-12-2015, 02:17 PM
Exactamente, como dice Master. Ese tipo de datos no están protegidos legalmente. Cuando te hacés una cuenta en un lugar, casi siempre les estás dando tu derecho a publicar tu dirección de e-mail o Nº de teléfono (siempre dice por ahí, pero como nadie se lee los Términos de Servicio). Aunque no aparezcan en el sitio web mismo o en el cliente, están disponibles, y muchos sitios los venden a terceros para hacer algo de dinero, y esos terceros los publican o utilizan ellos mismos con fines comerciales.

En el caso de la tarjeta de crédito, los últimos números siempre son visibles por un tema de identificación (por eso se pueden ver en las facturas de las compras que hagas). Nunca vas a ver el número completo, ni el código de verificación.

Galdov
26-12-2015, 02:29 PM
Será legal pero bien de rata de alcantarilla hacer eso. Si te doy el mail o telefono para usar tu servicio no es para que se lo vendas a una empresa china que vende calzoncillos o a quien sea, como mínimo no es ético. Tendría que leer el de Steam específicamente no se, no se puede confiar en nadie.

Master of the Wind
26-12-2015, 09:12 PM
Ah no es para eso? El mundo no es como a uno le gustaria.


Yo si mañana se ma canta venderle a una empresa que manda cadena de mails la lista del mail de los users de GO, puede gustarles o no, pero es 100% legal y no pueden hacer nada para evitarlo. Capaz que queda feo del punto de vista moral, pero del punto de vista comercial y legal es algo muy comun.


Ta, no lo voy a hacer igual, no se pongan paranoicas.

Galdov
27-12-2015, 11:40 AM
Que malote.

Downsinho
28-12-2015, 11:48 AM
Ah no es para eso? El mundo no es como a uno le gustaria.


Yo si mañana se ma canta venderle a una empresa que manda cadena de mails la lista del mail de los users de GO, puede gustarles o no, pero es 100% legal y no pueden hacer nada para evitarlo. Capaz que queda feo del punto de vista moral, pero del punto de vista comercial y legal es algo muy comun.


Ta, no lo voy a hacer igual, no se pongan paranoicas.

CREO, que estás equivocado, CREO.

Que yo sepa no hay ningun contrato que hayamos "firmado" que diga que nuesta información va a ser usada para esos fines. Tampoco sé si las bases de datos de GO están registradas como manda la ley (están?)

Creo que si quisieras hacer esa avivada criolla primero necesarías el consentimiento de todos los usuarios que integran esa lista, para que sea LEGAL, obviamente que si lo haces por fuera es otro tema, pero me quedo rechinando el tema del 100% legal.

Creo que la ley de protección de datos personales fue hecha para "protegernos" de ese tipo de cosas.

raYKos
28-12-2015, 12:24 PM
Ley Nº 18.331



Artículo 13.
Derecho de información frente a la recolección de datos.- Cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa, precisa e inequívoca:

A) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios.

B) La existencia de la base de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable.

C) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles.

D) Las consecuencias de proporcionar los datos y de la negativa a hacerlo o su inexactitud.

E) La posibilidad del titular de ejercer los derechos de acceso, rectificación y supresión de los datos.

Galdov
28-12-2015, 01:38 PM
Eso es lo que pasa cuando se repite como loro algo que se escuchó por ahí y fue de boca en boca, y lo predican como la verdad encima.

Gracias raykos.

Master of the Wind
28-12-2015, 01:56 PM
Mal yo, pero para remarla, se arregla con un simple "Los terminos pueden cambiar sin previo aviso" en la pagina de terminos que nadie lee y acepta.

Downsinho
28-12-2015, 02:12 PM
Ley Nº 18.331
Artículo 13.
Derecho de información frente a la recolección de datos.- Cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa, precisa e inequívoca:

A) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios.

B) La existencia de la base de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable.

C) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles.

D) Las consecuencias de proporcionar los datos y de la negativa a hacerlo o su inexactitud.

E) La posibilidad del titular de ejercer los derechos de acceso, rectificación y supresión de los datos.



Gracias @raYKos (http://www.gameover.uy/member.php?u=10)


Mal yo, pero para remarla, se arregla con un simple "Los terminos pueden cambiar sin previo aviso" en la pagina de terminos que nadie lee y acepta.

Creo que lo de que las condiciones pueden cambiar sin previo aviso tampoco corre en estos casos. Tenes que hacerlos de alguna manera "firmar" el nuevo contrato.

Ya está loco, no nos quieras cagar que te damos vuelta como una media! :p

Dreadjaws
28-12-2015, 02:14 PM
CREO, que estás equivocado, CREO.

Que yo sepa no hay ningun contrato que hayamos "firmado" que diga que nuesta información va a ser usada para esos fines. Tampoco sé si las bases de datos de GO están registradas como manda la ley (están?)

Creo que si quisieras hacer esa avivada criolla primero necesarías el consentimiento de todos los usuarios que integran esa lista, para que sea LEGAL, obviamente que si lo haces por fuera es otro tema, pero me quedo rechinando el tema del 100% legal.

Creo que la ley de protección de datos personales fue hecha para "protegernos" de ese tipo de cosas.


Ley Nº 18.331
Todo eso está muy bien, pero como dije yo antes, ese tipo de consentimiento generalmente se obtiene en los Términos de Servicio, que nadie jamás lee antes de hacerse una cuenta en un sitio o servicio.

Por ejemplo, leete esta parte de la Política de Confidencialidad de Steam (http://store.steampowered.com/privacy_agreement/spanish/):



Al crear una cuenta de Steam, Valve solicita al usuario su dirección de correo electrónico y un nombre de usuario y, de forma opcional, el nombre y el apellido del usuario. Dependiendo de su configuración, los usuarios dan su consentimiento para que parte de esta información se pueda buscar y pueda estar disponible para otros usuarios de Steam. Valve no tiene obligación de mantener la confidencialidad sobre la información de identificación personal que un usuario haya puesto a disposición de otros usuarios a través de Steam u otro software Valve, como en un chat multijugador y otras funciones públicas.

Cuando te creaste una cuenta de Steam, aceptaste esos términos, te guste o no. Si no los querías aceptar, el único modo era no crearte una cuenta. Yo no digo que esté bien ni nada de eso, sólo digo que así son las cosas. Sí, la ley dice que antes de recolectar datos hay que informar al usuario, y esto siempre se hace, pero sucede que el usuario nunca le da bolilla.

Master of the Wind
28-12-2015, 02:18 PM
Creo que lo de que las condiciones pueden cambiar sin previo aviso tampoco corre en estos casos. Tenes que hacerlos de alguna manera "firmar" el nuevo contrato.

Corre si, porque ahi es responsabilidad del usuario tantear los terminos cada tanto si esta de acuerdo o no.

Downsinho
28-12-2015, 02:21 PM
Tal cual Dreadjaws en realidad la mayoría de las veces terminas preso al "tómalo o déjalo"

Pero una cosa que hay que tener bien claro es que vos podés poner lo que se te cante en un contrato, pero de ahí a que eso sea legal es otro tema. Por ejemplo si hay una ley que dice que todas las empresas que mantienen bases de datos con info de los usuarios son responasbles por la confidencialidad de los mismos, podés hacerme firmar 80 veces el contrato, el mismo termina siendo nulo igual porque la ley esta por encima de cualquier curro que quieras hacer :P

Downsinho
28-12-2015, 02:26 PM
Corre si, porque ahi es responsabilidad del usuario tantear los terminos cada tanto si esta de acuerdo o no.

Si fuera así, todo el mundo usaría esa forma para cagar a la gente.

Como escribí mas arriba, que esté en un contrato escrito, no quiere decir que eso sea legal.

Por eso no se pueden hacer cambios en 5 minutos cuando las cosas tienen leyes de por medio, las empresas serias consultan con sus abogados o quien sea para ver si lo que van a implementar es legal.

Master of the Wind
28-12-2015, 02:34 PM
Ah y no lo hacen? Se nota lo mucho que lees los terminos de uso.

Downsinho
28-12-2015, 02:39 PM
Ah y no lo hacen? Se nota lo mucho que lees los terminos de uso.
Empresas serias dije, y si, leo los contratos, por lo menos desde que empecé a tener conciencia de lo que se puede llegar a hacer. Por algo te dije lo que te dije más arriba.
Gracias por el alago.

Sent from my SM-G800H using Tapatalk

Dreadjaws
28-12-2015, 02:42 PM
Tal cual @Dreadjaws (http://www.gameover.uy/member.php?u=681) en realidad la mayoría de las veces terminas preso al "tómalo o déjalo"

Pero una cosa que hay que tener bien claro es que vos podés poner lo que se te cante en un contrato, pero de ahí a que eso sea legal es otro tema. Por ejemplo si hay una ley que dice que todas las empresas que mantienen bases de datos con info de los usuarios son responasbles por la confidencialidad de los mismos, podés hacerme firmar 80 veces el contrato, el mismo termina siendo nulo igual porque la ley esta por encima de cualquier curro que quieras hacer :P
Sí, pero date cuenta de que prácticamente nadie se mueve para testear eso. Si tenés un problema con una cuenta de Steam, así tengas 1000 juegos en ella, te sale más rápido y barato hacerte otra que incurrir en gastos y procedimientos legales para llevarlos a juicio y ver si tenés suerte. La gente que no tiene plata no puede permitírselo, y la que tiene ni se preocupa porque le importa un carajo.

Y si bien es cierto que en un par de ocasiones han forzado a sitios como Steam a cambiar sus Términos (por ejemplo, el hecho de que ahora ofrezcan reembolsos se debe a problemas legales más que a buen corazón), ha sido por investigaciones por parte de organismos gubernamentales y no porque alguien les haya llevado a juicio. Así que en general seguimos dependiendo de la suerte.

Downsinho
28-12-2015, 02:49 PM
Sí, pero date cuenta de que prácticamente nadie se mueve para testear eso. Si tenés un problema con una cuenta de Steam, así tengas 1000 juegos en ella, te sale más rápido y barato hacerte otra que incurrir en gastos y procedimientos legales para llevarlos a juicio y ver si tenés suerte. La gente que no tiene plata no puede permitírselo, y la que tiene ni se preocupa porque le importa un carajo.

Y si bien es cierto que en un par de ocasiones han forzado a sitios como Steam a cambiar sus Términos (por ejemplo, el hecho de que ahora ofrezcan reembolsos se debe a problemas legales más que a buen corazón), ha sido por investigaciones por parte de organismos gubernamentales y no porque alguien les haya llevado a juicio. Así que en general seguimos dependiendo de la suerte.
Si, estoy de acuerdo, pero ese es otro tema. O sea de que la gente se mueva o no para hacer cumplir la ley. Muchas veces no es un tema de caer en juicio y no se que cuerno más, a veces con un par de llamadas queda todo pronto, como la ley que esta mas arriba.

Sent from my SM-G800H using Tapatalk

Master of the Wind
28-12-2015, 06:37 PM
Empresas serias dije, y si, leo los contratos, por lo menos desde que empecé a tener conciencia de lo que se puede llegar a hacer. Por algo te dije lo que te dije más arriba.
Gracias por el alago.

Sent from my SM-G800H using Tapatalk

Volvemos al principio.

Suponete que yo cambio los terminos de uso indicando el fin que tienen los mails y telefonos, y le aviso a todos los users.

Al foro dejas de entrar, ahora, suponete que Antel cuando vas a renovar el contrato del ADSL te da vuelta la moneda y te sale con esa, vas a dejar de usar internet porque quieren darle tu mail a no se quien?

Downsinho
28-12-2015, 07:58 PM
Volvemos al principio.

Suponete que yo cambio los terminos de uso indicando el fin que tienen los mails y telefonos, y le aviso a todos los users.

Al foro dejas de entrar, ahora, suponete que Antel cuando vas a renovar el contrato del ADSL te da vuelta la moneda y te sale con esa, vas a dejar de usar internet porque quieren darle tu mail a no se quien?
No se que tiene que ver eso con leer los contratos que nadie lee. Obvio que no, pero yo a lo que voy es al hecho de leer y por lo menos saber que se puede llegar a hacer o no justamente para no caer en una de esas gratuitamente (que vendan tus datos cuando en realidad no estaban facultados para hacerlo).

Como puse en un post anterior muchas veces estas atrapado en un tómalo o déjalo. Pero hay otras veces que si hay alternativas o acciones a tomar y esta bueno saberlas.

Si mañana cambian los contratos de Antel, UTE y OSE, diciendo que para mantener el servicio tenés que ir 1 vez por mes a entregarle el orto al gerente, que hacés? Compras la vaselina?
Capaz que terminó entregando el marrón, pero antes de llegar a eso, armo terrible relajo con toda la gente que piense igual que yo. Cuando hay voluntad las cosas se pueden llegar a cambiar. Pero bueno eso es otro tema.

Sent from my SM-G800H using Tapatalk