Chyba Steamu ovlivnila jen nepatrný zlomek uživatelů a vyvolal ji DDoS útok
Valve se omluvili a vše vysvětlili.
Skoro týden trvalo, než Valve poskytli podrobné vyjádření k vánočnímu průšvihu. Chvályhodné je, že vůbec něco takového přišlo, většina jiných firem by to už nechala plavat, ani by neposkytla tolik interních detailů. Ty sice pomohou udobřit uživatele, ale mohou být zneužity. Valve se také dnes večer vůbec poprvé omluvili, po čemž mnozí nespokojenci volali.
Takže: problém se zobrazováním uživatelských dat někomu cizímu se týkal jen 34 tisíc uživatelů, tedy pouze velmi nepatrný zlomek z celkového počtu těch aktivních na Steamu (poslední údaj z února byl 125 milionů). Mohl se vás dotknout jedině tehdy, pokud jste v pátek 25. prosince mezi 21. - 22. hodinou večerní našeho času na Steamu něco dělali. Pokud jste v dané době přihlášeni nebyli (neprocházeli jste obchod či něco nekupovali), vaše údaje nikdo nepovolaný vidět nemohl, neboť v té době nešly skrz kešovací servery.
Prvotní příčinou bylo, že na Štedrý den došlo k masivnímu DDoS útoku (prý už naprosto běžná situace), který zvětšil provoz Steamu o 2000 % oproti běžnému stavu během jiných výprodejů. Valve proto reagovali novým nastavením kešovacích serverů u svých partnerů, aby se běžní uživatelé na obchod normálně dostali, zatímco DDoS provoz nikoli. Během této obrany došlo k nasazení druhé kešovací konfigurace, která však byla vadná a přihlášeným lidem ukazovala stránky určené pro někoho jiného. Tento problém trval jen něco málo přes hodinu, pak správci celý Steam vypnuli, dokud si nebyli zcela jisti o nápravě, než ji nahodili na všechny servery ke všem partnerům Valve a než z nich odstranili vadně vygenerovaná data.
Co mohl kdo vidět na té pouhé dvacetině postižených účtů? Poštovní adresu, nebo poslední čtyři čísla z telefonního čísla pro Steam Guard, nebo poslední dvě čísla platební karty, nebo historii nákupů, nebo emailovou adresu. Valve se zapřísáhli, že z těchto údajů nikdo nemohl sestavit něco, co by šlo zneužít, ani se nedalo nic koupit na někoho cizího. Nyní prý sbírají seznam uživatelů, kterých se problém týkal, a budou je ještě přímo kontaktovat. Do budoucna chtějí vylepšit spolupráci se svými partnery, kteří se starají o kešování webu, aby se to neopakovalo - celé prohlášení zde.