Cinco dias depois do incidente que provocou o vazamento de dados privados de usuários no Steam durante a sexta-feira de Natal, a Valve finalmente divulgou detalhes do que aconteceu.
Em um extenso comunicado oficial, a empresa afirma que um ataque de negação de serviço sobrecarregou o sistema e provocou uma falha de cache nos servidores que afetou 34 mil usuários.
De acordo com a Valve, dados como os quatro últimos dígitos de números telefônicos, endereços de cobrança e e-mail puderam ser visualizados por usuários aleatórios quando tentavam acessar determinadas páginas na loja. Mas a empresa garante que nenhum dado que permitisse a autenticação ou a conclusão de qualquer transação com uma falsa identidade esteve disponível publicamente.
A Valve também reiterou o aviso que já havia feito anteriormente: “uma vez que nenhuma ação não autorizada foi permitida em contas além da visualização de informação em páginas de cache, nenhuma medida adicional é requerida por parte dos usuários”.
Se o usuário não acessou seu perfil ou páginas de finalização de compra durante o período do ataque, não foram geradas páginas de cache com suas informações e, consequentemente, elas não foram visualizadas por terceiros. A Valve trabalha agora com a empresa parceira responsável pelas solução de cache adotada para identificar quais usuários tiveram acesso aos dados de quais usuários e notificá-los do incidente.
O problema foi causado por um ataque de negação de serviço à loja virtual. Segundo a Valve, esse tipo de ataque é comum ao Steam, mas o de sexta-feira gerou um tráfego 2000% superior ao número de visitantes reais que acessavam a loja durante a liquidação de final de ano, um número que já é bem mais elevado do que a média do resto do ano.
Incapaz de funcionar corretamente com o volume excessivo de acessos, o servidor ativou o sistema de cache de emergência. Mas um erro de configuração permitiu que páginas privadas fossem cacheadas e distribuídas de forma irregular. Quando o problema foi identificado, a loja foi tirada do ar para reconfiguração do cache.
Ao final do comunicado, a Valve se desculpa pelo incidente: “nós iremos continuar a trabalhar com nosso parceiro de cache web para identificar usuários afetados e melhorar o processo utilizado para especificar regras de cache de agora em diante. Nós pedimos desculpas a todos cuja informação pessoal foi exposta por este erro e pela interrupção do serviço do Steam”.
