Valve: Мы хотим остановиться на тех проблемах, которые коснулись Steam в Рождество (25 декабря).

Что произошло

25 декабря из-за ошибки в конфигурации некоторые пользователи увидели страницы магазина Steam, сгенерированные для других пользователей. Между 11:50 PST и 13:20 PST (c 22:50 по 24:20 по Москве) страницы запросили около 34 тысяч пользователей, и в них содержалась важная персональная информация, которую смогли увидеть другие.

Содержание этих запросов варьировалось от страницы к странице, но некоторые страницы содержали почтовый адрес, последние цифры номера телефона, привязанного к Steam Guard, историю покупок, последние две цифры кредитной карты и/или адрес электронной почты. Эти кэшированные запросы не содержали полный номер кредитной карты, пароли пользователей или достаточно данных для входа в учетную запись Steam и совершения транзакций от имени другого пользователя.

 Если вы не открывали страницы  магазина Steam с вашими персональными данными (такими как страница учетной записи или страница платежа) в этот период времени, то эта информация о вас не могла быть показана другим пользователям.

Компания Valve в данный момент работает с нашим партнером по кэшированию, чтобы определить тех пользователей, чья информация была передана другим и свяжется с ними. Т.к. никаких неавторизованных действий производить с учетными записями при просмотре кэшированных страниц не дозволено, остальным пользователям ничего не нужно предпринимать.
 
Как это произошло

Ранним Рождественским утром (Поздним вечером по Москве) на магазин Steam была совершена DDoS атака, из-за которой работа магазина Steam была нарушена. Атаки на магазин Steam и в целом на Steam это дело обычное, и компания Valve отражает их напрямую или сообща с компаниями-партнерами, обычно это не затрагивает пользователей Steam. Во время Рождественской атаки  трафик до магазина Steam вырос на 2000% от среднего уровня во время распродаж.

В ответ на данную специфичную атаку мы применили правила кеширования у партнера по кешированию для минимизации влияния на серверы магазина Steam  и для продолжения обработки нормального пользовательского трафика. По время второй волны атаки была применена вторая конфигурация кеширования, которая ошибочно закешировала веб-трафик для залогиненных пользователей. Из-за этой ошибки в конфигурации некоторые пользователи увидели ответы магазина Steam, сгенерированные для других пользователей. Неправильный ответ магазина Steam варьировался от пользователя к пользователю, в том числе выдавая страницы на другом языке и показывая страницу учетной записи другого пользователя.

Как только ошибка всплыла, магазин Steam был отключен и была развернула новая конфигурация кеширования. Магазин был отключен до тех пор, пока мы не проверили все конфигурации кеширования и не получили подтверждение, что последняя конфигурация была развернута на всех серверах партнеров, и что предыдущий кеш был удален.

Мы продолжим работу с нашими партнерами по кешированию, чтобы определить затронутых пользователей и для улучшения процесса, дабы ситуация в будущем больше не повторялась. Мы приносим извинения всем, чья информация была засвечена из-за этой ошибки и за прерывание предоставления сервиса магазина Steam.