זוכרים את הסיפור שהיה לפני חצי שנה עם הפריצה המטורפת של ה-PSN? זה קרה שוב, הפעם ל-Steam.
הסיפור בקצרה: ביום ראשון קבוצה של האקרים פרצה לפורומים של סטים והוסיפה אליהם פרסומת לאתר שלה. כמובן שהפורומים נסגרו מיד, ו-Valve הבטיחו שהם בודקים מה קרה ואיך לתקן את הבעיה. היום נשלחה הודעה רשמית מגייב נוול, בה הוא אומר שהם גילו שהבעיה היא לא רק בפורומים, ושההאקרים הצליחו להשיג את ה-database של סטים, שמכיל הרבה אינפורמציה על המשתמשים. ה-DB מכיל שמות משתמשים, כתובות אימייל, רשימות משחקים, סיסמאות מוגנות ופרטי אשראי מוצפנים.
אז קודם כל – אם אתם רשומים ב-Steam, מומלץ להחליף סיסמה. אבל שימו לב שהסיסמאות כן מוגנות (הן עברו תהליך של hash עם salt, מה שאומר שתיאורטית אמור להיות מאוד קשה לשחזר את הסיסמאות עצמן מתוך המידע שב-DB) ופרטי האשראי מוצפנים, וכמובן שיש את ההגנה הנוספת של SteamGuard. כמו כן, נוול טוען שהם לא ראו שום עדויות לכך שהפרטים המוגנים נפרצו.
את ההודעה המלאה מגייב נוול אפשר לקרוא כאן.
עד כאן החלק האינפורמטיבי של הפוסט. עכשיו אני רוצה לעשות השוואה נקודתית בין המקרה הזה לבין הפריצה של ה-PSN, ולהראות כמה סוני היו גרועים וכמה Valve היו בסדר:
- שקיפות: במקרה של סוני עברו כמה ימים מאז שה-PSN נפל ועד ששמענו מהם משהו. גם כשהם סוף סוף הסכימו לחלוק עם המשתמשים שלהם מידע, זה היה מידע חלקי ומעורפל. זה לא הוגן כלפי הלקוחות (הנאמנים והמשלמים, ראוי לציין). וואלב, לעומת זאת, מסבירים במפורט מה קרה, מה בדיוק הם יודעים, ממה כדאי להיזהר ומה יקרה בהמשך.
- הודאה: אם אני זוכר נכון לקח בערך חודש מהנפילה של ה-PSN ועד שקיבלנו התנצלות אמיתית מסוני. ופה יש לנו התנצלות רשמית מהמנכ”ל, באותו יום שבו גילו את הבעיה.
- אבטחה: וואלב עשו כל מה שאפשר כדי לוודא ולהבטיח שהסיסמאות ופרטי כרטיס האשראי מוגנים, ובעיקר כדי להרגיע את המשתמשים. אצל סוני עברו איזה שבועיים עד שהם נזכרו להגיד שכנראה שהסיסמאות היו מוגנות ופרטי האשראי כנראה בטוחים.
אפשר לטעון שוואלב למדו מהטעויות של סוני, אבל אני חושב שהם פשוט יודעים מה הם עושים ואיך להתייחס כראוי ללקוחות שלהם. סוני פשוט לא הבינו שהם קודם כל צריכים לדאוג ללקוחות שלהם ורק אחר כך לעצמם. וזו טעות שלדעתי אף כמות של משחקים חינם לא יכולה לפצות עליה.
11 בנובמבר, 2011 בשעה 14:04
בוודאות Valve למדו מהטעויות של סוני. אבל זה לא דבר רע.
11 בנובמבר, 2011 בשעה 14:47
לשמחתנו לVALVE יש היסטוריה של יחס מדהים ללקוחות שלה.
היא החברה שמכבדת את הלקוחות שלה הכי הרבה בתעשייה – היא אף פעם לא מניחה שהם טיפשים. היא אף פעם לא מניחה שניתן להוריד את הסטנדרטים שלהם (למשל – למכור להם חבילה של 3 מפות ב10 דולר) והיא תמיד פעלה בשקיפות בנוגע לאבטחת הנתונים של הלקוחות.
אין לי ספק שגם אם זה היה קורה לפני הביזיון של סוני, התגובה היתה זהה, פשוט כי VALVE יודעים מה הם עושים ומכבדים את הלקוחות שלהם.
11 בנובמבר, 2011 בשעה 17:05
אני מניח שזה סיכון שכל אחד לוקח ברגע שהוא מוסר פרטי אשראי ברשת ומקווה שהמוסד שהוא נותן בו אמון יכול להבטיח את בטחון הכסף שלו. אז הורדת עותק גנוב עכשיו לא רק מאפשר לשחק בלי הDRM המעצבן אלא גם בפועל מגינה מפני מקרי פריצה כאלה.
11 בנובמבר, 2011 בשעה 17:15
בהחלט לא ציפיתי למשהו אחר מהם.
מה שכן, קראתי על זה גם בקישור ששמת וגם בRPS, ולא הצלחתי להבין – אם הגדרתי לסטים לא לשמור את פרטי כרטיס האשראי שלי, יש סיכוי שהם כן היו קיימים על השרתים?
אגב, אני לא בבית ואין לי אפשרות להתקין סטים – לא הצלחתי למצוא באתר שלהם דרך לשנות סיסמא, וזה די מוזר.
11 בנובמבר, 2011 בשעה 17:16
הדבר היחיד שחרה לי שהם לא שלחו את ההודעה במייל רגיל, אלא רק אם רואים את העדכונים בתוך סטים. כמובן שאני לא מצפה שישימו הודעה אדומה בעמוד הבית, אבל לפחות את מי שנמצא ברשימת דיוור הענקית שלהם, שכן ידוורו. אפילו סגה עשתה את זה ונרשמתי אצלם לפני בערך שנתיים…
11 בנובמבר, 2011 בשעה 19:02
@Bloodnut: ברגע שהתירוץ שלך לפיראטיות יכול לשמש בלי שום שינוי בניסוח גם בשביל להצדיק גניבה פיזית או הסתגרות בבית לנצח והתבודדות מוחלטת משאר העולם, זה סימן טוב שזה בולשיט. בכל מקרה, אתה תמיד יכול לא לסמן את התיבה שאומרת "בבקשה תשמרו אצלכם את פרטי האשראי שלי".
@אנדר: כל הרעיון באפשרות הזו היא שסטים לא שומר את פרטי האשראי שלך…
אני אישית בכלל משלם דרך PayPal, אגב.
@איתי: צודק, זה באמת מוזר. אין לי הסבר הגיוני לזה.
11 בנובמבר, 2011 בשעה 20:19
אני מסכים עם איתי. זה גם לא נמצא בעמוד החדשות של החברה או של סטים. אם במקרה סגרת את החלון שנפתח בעת הפעלת סטים, שבדרך כלל משמש לפרסום, לא היית יודע בכלל שזה קרה ושצריך לשנות סיסמה.
11 בנובמבר, 2011 בשעה 20:55
למעשה זה נמצא איפה שהפורומים , כאילו שמדובר באיזו פריצה משנית למה שהיה בתחילת השבוע…
12 בנובמבר, 2011 בשעה 18:32
@עופר: הנושא בתגובה שלי הוא שנותנים כרטיס אשראי ומקווים לטוב, כשאתה אומר שזה באותה מידה מצדיק גניבה פיזית במקום לשלם לעסק זה לא אותו הדבר כי אם אתה לא מרגיש בטוח לתת למוכר את כרטיס האשראי שלך לגיהוץ אתה תמיד יכול לשלם במזומן מה שכמובן לא יכול להיות עם עסקאות שמתרחשות באינטרנט.
כל הזמן יש לי תחושה שאתה חושב שאני בעד פיראטיות. אני לא מצדיק פיראטיות, סך הכל מתבונן על כל המשתמע מהפרשה ומבהיר שמקרים כאלה מחזירים את חלקינו "למקורות".
נ.ב. מובן מאליו שאינני מסמן לזכור את פרטי האשראי. כמו כן אני משלם עם פייפאל.
13 בנובמבר, 2011 בשעה 14:48
@blisf – על סמך מה אתה אומר את זה?
@BloodNut – לעומת זאת, כבר נמצאו מקרים בהם וירוסים ורוגלות היו בגרסאות פרוצות של משחקים, אז קח את זה בחשבון.
17 בנובמבר, 2011 בשעה 21:27
[…] – Steam נפרץ. […]