22 декабря Valve запустила в Steam масштабную распродажу, приуроченную к новогодним праздникам. Но Steam, как и любая другая система такого рода, очень сложна, включает в себя множество серверов и массу комплексного программного обеспечения. Что-то случилось в сложной многоуровневой системе кеширования страниц Steam — и неожиданно начали поступать данные о том, что система предлагает одним пользователям полный доступ к аккаунтам других, совершенно случайных.

Вместо Большой Распродажи — Большая Неразбериха Вместо большой распродажи — большая неразбериха Многие игроки по всему миру, зашедшие в свой личный кабинет в Steam, обнаружили, что их домашняя страница отображается не на привычном им языке, основная валюта изменилась на другую, а на проверку сведений об аккаунте цифровой магазин выдавал данные совершенно другого пользователя, включая его адреса электронной почты, историю покупок и прочую приватную информацию. Существует того, что под угрозой оказывался даже доступ к кредитным карточкам покупателей, по крайней мере, к последним четырём цифрам номера карты. В 4:30 по тихоокеанскому стандартному времени Valve отключила магазины Steam вероятно, до тех пор, пока проблема не будет решена. Как сообщают пострадавшие или просто столкнувшиеся с необычным поведением Steam пользователи, встроенные механизмы защиты вроде Steam Guard никак не влияют на поведение разладившейся системы. Многочисленные СМИ провели свои проверки и действительно обнаружили атипичное поведение Steam: к примеру, редакции TJournal удалось успешно получить доступ к профилю шведского игрока под ником karpion. Но при многократном обновлении страницы был получен доступ к ещё нескольким случайным профилям. Вредоносные действия в таких случаях ограничены: к примеру, отвязка номера мобильного телефона потребует кода, полученного по SMS, а телефона владельца аккаунта на руках у злоумышленника или экспериментатора, разумеется, нет. Мнения специалистов пока расходятся. Как считают создатели сервиса базы данных Steam, речь идёт о технической неполадке — неясно, имеет ли она полностью программную природу или как-то связана с аппаратным обеспечением, — а не о намеренном взломе системы. Хотя стало известно, что ранее хакерская группа SkidNP запустила массированную DDoS-атаку на Steam, что она и обещала сделать на Рождество. Не уточняется, связаны ли сбои в работе системы с этой атакой; некоторые эксперты по информационной безопасности считают, что связь, несомненно, может быть. В настоящий момент пользователям рекомендуется ожидать разрешения проблемы и при этом воздерживаться от использования сервисов Steam каким-либо образом: попытка удаления кредитной карты или PayPal может привести к ещё большей уязвимости; опасно даже простое использование ссылок, связанных со Steam, как дополнение: в 6:05 по тихоокеанскому времени сервисы Steam вновь были запущены. Судя по различным отзывам, информация о пользователях отображается корректно, но официальных заявлений со стороны Valve пока не поступало.