遊戲數位出版平台Steam在聖誕節(12/25)當天出了點意外,用戶在自己的帳號中竟然可看到其他用戶的個人資訊,當時Steam僅簡短說明是配置錯誤所致,本周才公布事件的始末,原來是為了因應阻斷服務攻擊(DoS)、忙中有錯所導致。

Steam表示,該站在聖誕節早上遭到駭客的DoS攻擊,在一般情況下,母公司Valve與其他合作業者都能協助處理這類攻擊,使其不致影響使用者,但當天的攻擊流量是冬季特賣(Winter Sale)期間平均流量的20倍。

為了回應此一攻擊,負責處理Steam網路快取的合作夥伴部署了快取規則,以降低該攻擊對Steam Store伺服器的影響且同時引導合法用戶的流量,但在因應第二波攻擊時,快取配置出錯了,使得有些使用者得以看到伺服器為其他使用者產生的頁面,因而決定暫時關閉Steam Store以重新部署快取配置。

此一意外維持了一個半小時,約是在太平洋標準時間12月25日的11:50到13:20,只有在這段期間登入Steam並檢視個人資訊的用戶才有資料外洩風險,估計有3.4萬名用戶受到影響。

Steam說明,每個用戶所看到的資訊不一,有些頁面含有其他使用者的帳單地址、電話號碼的後4碼、購買紀錄、信用卡最後兩碼,或是電子郵件等,但並未含有完整的信用卡號碼或密碼,這些頁面亦未揭露可用來登入他人帳號或銷售他人寶物的足夠資訊。

目前Steam與該站的網路快取服務供應商仍在辨識與通知受到影響的使用者,由於此一意外只允許用戶看到他人的快取頁面,並無法利用他人的帳號進行非法行動,因此受影響用戶不必採取額外措施。


Advertisement

更多 iThome相關內容