[Tiny]

Hörde av en vän att Steam är hackat. Enligt honom hade bovarna kommit över databasen med krypterade kreditkort och det är bara en tidsfråga innan de knäcker krypteringsalgoritmen.

http://techcrunch.com/2011/11/10/psa-steam-hacked-user-info-stolen-but-personal-data-safe/

http://www.forbes.com/sites/danielnyegriffiths/2011/11/10/steam-hacked-newell-watch-your-credit-card/

Rekommenderas att vi som har Steam byter lösenord dit och bevakar eller byter våra kreditkort.

[guest1645]

Korten är i fara, men själva inloggningen är relativt säker om man aktiverat validering för när man försöker logga in från en ny plats.

Tänk dock på att om ni använder samma lösenord till andra platser så byt, och använd aldrig epost-lösenordet någon annnanstans.

[DaddyLongLeg]

jag blir så trött...

[Tiny]

Eftersom det finns relativt stor risk att de knäcker kort-krypteringen om ett tag så spärrade jag mitt Master Card och beställde ett nytt. Better safe than sorry tänkte jag. 

[Johnny Hazard]

Sparar ALDRIG kort uppgifterna hos Steam

[Tiny]

Frågan är inte vad du sparar, mer vad Steam har sparat när/om du betalat med kort. Steam säger ju att databasen med bl a kort-uppgifter har stulits - det tyder på att de sparar det..

[Johnny Hazard]

Du kan välja att spara dina kortuppgifter när du handlar på Steam, tror det är dessa som stulits.

[Buz]

Alltså, som privatperson är detta jobbigt men inte farligt.

Om Steam hanterar kortinformation (vilket dom verkar göra) har dom skrivit på att dom följer PCI DSS för säker korthantering.


Har dom missat att göra det lär dom få pröjsa eventuella stölder ur egen ficka, annars lär bankerna göra det eftersom det är deras rekommendationer som följts och inte räckt till.

Men för att vara lite tydligare. Enligt PCI får INGEN autentiserings information ang. kort sparas (t.ex pin, cvv kod etc). OCh PCI ÄR betalindustrin med de stora kortföretagen i spetsen.

[Tiny]

Om Steam hanterar kortinformation (vilket dom verkar göra) har dom skrivit på att dom följer PCI DSS för säker korthantering.

Eftersom det har stått att kort-uppgifter KAN ha stulits, så tycker jag det ser ut som att Steam inte följer PCI DSS  (= en EU-lag/regel) eller fått tillstånd att göra avsteg.

PCI DSS tillåter vissa företag (ex utgivande bank) att spara kortuppgifter i krypterat format på ett ställe (dvs en skyddad databas) då de måste kunna spåra sina egna kort. Och PCI DSS har gett undantag till vissa branscher att spara kortinformation. Jag tror exempelvis att en del reseföretag och hotell fått tillstånd att spara sina kunders kortinformation så att kund inte ska "behöva" uppge kortuppgifter varenda gång. Det är ju så jobbigt (sarkasm).

Eftersom det är största tröskeln vid online-handel, så tror jag Steam ansökt att få spara kortuppgifter för att kunna serva på liknande sätt.

[Buz]

Kanske, kanske inte.

Men observera, man får spara kortinformation dock finns det begränsningar på vilken information får spara och hur den sparas.

Dock får man aldrig spara autentiseringsinformation (t.ex cvv kod och pin).

Vad jag vet är inte PCI DSS en EU regel dock utan helt enkelt bankernas krav för att lösa in transaktioner. Så vill du ha en betalkortsterminal måste du skriva på ett avtal med en bank och där står det att du åtar dig att följa PCI DSS.

Jaja, nog med det

Tror ändå det viktigaste är privatpersoner inte råkar illa ut i första ledet (i andra ledet lär alla få högre kortavgifter när det kostar mer....)

[Tiny]

Dock får man aldrig spara autentiseringsinformation (t.ex cvv kod och pin).

Vad jag vet är inte PCI DSS en EU regel dock utan helt enkelt bankernas krav för att lösa in transaktioner. Så vill du ha en betalkortsterminal måste du skriva på ett avtal med en bank och där står det att du åtar dig att följa PCI DSS.

a) Jepp, men det är nästan lika illa att sparat kortnummer blir stulet.

b) Jo, jag är nästan säker på att det är en EU-regel i grunden. Bankerna och kortföretag tvingas följa PCI DSS och därför måste de i sin tur "tvinga" sina parter att följa PCI DSS.

[Buz]

Dock får man aldrig spara autentiseringsinformation (t.ex cvv kod och pin).

Vad jag vet är inte PCI DSS en EU regel dock utan helt enkelt bankernas krav för att lösa in transaktioner. Så vill du ha en betalkortsterminal måste du skriva på ett avtal med en bank och där står det att du åtar dig att följa PCI DSS.

a) Jepp, men det är nästan lika illa att sparat kortnummer blir stulet.

b) Jo, jag är nästan säker på att det är en EU-regel i grunden. Bankerna och kortföretag tvingas följa PCI DSS och därför måste de i sin tur "tvinga" sina parter att följa PCI DSS.

A) Håller med!

B) Håller nog inte med då PCI är kortföretagens organisation som ger bankerna order vilka i sin tur ger handlarna order. Men nu driver vi bort från ursprungsämnet.

[Tiny]

B) Du hade rätt. Det var kortföretagen (Visa, Master Card, American Express) som ligger bakom PCI DSS.

Då kan man förtydliga en tidigare kommentar längre upp:
"Vad jag vet är inte PCI DSS en EU regel dock utan helt enkelt bankernas krav för att lösa in transaktioner"

Det är INTE bankernas krav, det är kortföretagens. Jag reagerade på att alla skyller på bankerna jämt. 

[Buz]

Sorry, menade inte att det skulle låta att jag skyller på bankerna.

Det jag menade är:
PCI (VISA, mastercard, amex, jbc, discover) har som krav på bankerna att en standard ska följas.
Bankerna förmedlar dessa krav.

Enkelt: PCI -> Bank -> Korthandlare

Banken är bara en liten (liten liten....) mellanhand

[Buz]

För att återgå till ursprungsproblemet.

Steam..


Igår råkade jag se när någon (från IRAN tom) loggade in på mitt gmail-konto (hade glömt att jag använde samma där som på steam, doh) och bytte direkt.

Som jag ser det har en av två saker hänt.

1) Någon har mina gamla användaruppgifter från Steam
2) Någon har ett Certifikat för gmail och har utfört en man-in-the-middle attack någonstans och snappat upp mitt lösenord.

Jag tror på 1 själv så byt era lösenord.