O que aconteceu ao Steam no Natal?

Tudo aconteceu no dia 25 de Dezembro. Como um desagradável presente de Natal, milhares de utilizadores viram as suas contas Steam expostas a terceiros, ao mesmo tempo que também acediam a uma conta de alguém desconhecido. Erro informático? Pirataria? Não se sabe bem, mas a Valve diz que não foi atacada.

Muitos dos que acederam à plataforma Steam no dia de Natal poderão ter visto o seu nome de utilizador e até a língua alterados nos menus. Pior, ao consultar a biblioteca de jogos viram outra qualquer colecção de jogos que não a vossa. Talvez em pânico tenham saído e voltado a entrar na aplicação e tudo se mantinha na mesma. Algumas pesquisas na internet teriam dado resultados alarmantes de outros utilizadores com o mesmíssimo problema. Significava isto que a nossa informação também tinha sido exposta a outro utilizador? Com a campanha de saldos de Inverno do Steam a decorrer, o volume de tráfego seria assinalável, aumentando o impacto desta situação. Teria alguém tentado estragar o Natal, talvez um hacker com péssimo espírito Natalício?

Além do nome, moradas ou até contactos telefónicos, durante largos minutos muitos puderam ver informação parcial do cartão de crédito, aceder a uma biblioteca de jogos (embora bloqueada) e ver o Steam noutra língua, por exemplo, em Japonês. Após diversas denúncias, a Store ficou offline durante umas boas duas horas, dando lugar a inúmeras especulações. Desde uma falha na base de dados e até problemas de autenticação, muitos avançaram que seria um erro informático. Só que ninguém conseguia deixar de lado a ideia de um ataque informático que tenha exposto os utilizadores a piratas com fins muito pouco festivos.

A primeira reacção da Valve veio numa publicação sucinta no fórum oficial. Basicamente o moderador Killahinstinct afirmou que a Valve estaria a par de um problema que permitia alguns utilizadores ver a informação de outra conta e que estaria a tratar de resolver o problema. No entanto, perante a ameaça de um ataque informático o tópico é categórico: “Não, o Steam não foi ‘hackeado’ “ e “a informação de cartão de crédito e números de telefone, de acordo com a lei, são censurados e não estão visíveis aos utilizadores”.

Pouco tempo depois, a Steam Store voltou a estar disponível com todos os serviços, aparentemente normalizados. E, na tentativa de tranquilizar os inúmero utilizadores alarmados no fórum, a Valve emitiu um outro comunicado, também ele sucinto:
“O Steam está de volta sem nenhum problema registado. Depois de uma alteração de configuração hoje cedo, um problema de cache permitiu alguns utilizadores de verem aleatoriamente páginas geradas para outros utilizadores por um período inferior a uma hora. Este problema foi resolvido. Acreditamos que nenhuma acção não autorizada foi realizada nas contas, além da visualização de informação de página em cache e nenhuma acção é necessária por parte dos utilizadores”.
Ainda em jeito de explicação, a Valve partilhou um vídeo do famoso Youtuber Tom Scott que tenta explicar o sucedido de forma simples.

Ao que parece, então, tudo não passou de um erro não provocado nos servidores de cache. No entanto, apesar da segurança transmitida pela Valve ao dizer que nenhuma acção adicional seria necessária, esta situação não será totalmente isenta de problemas. A vossa informação foi exposta a alguém, mesmo que de forma temporária e a uma única pessoa (aparentemente). Qualquer pessoa com más intenções pode usar o nome, email ou outras informações descobertas para o que se chama de “Social Engineering” ou até para “Phishing”. Ambas permitem a hábeis ladrões de dados privados de manipular informação de modo a obter acessos e até para personificar terceiros para fins ilícitos.

Todo o cuidado é pouco. Limpem a informação no Paypal, verifiquem transacções do cartão de crédito, alterem a palavra passe e confirmem num futuro próximo os acessos a emails e à própria conta Steam. Caso possuam informação bancária associada, recomenda-se que nunca a guardem na vossa conta e, se a suspeita for assinalável, até devem cancelar os cartões.

Ironicamente, há poucos dias falámos exactamente da falta de segurança de algumas contas Steam e medidas que a Valve aconselhava para evitar o pior. Estaria a empresa a preparar-se para um ataque, pedindo-nos para aderir ao Steam Guard?