Dane użytkowników Steama wyciekły i zostały wystawione na sprzedaż. Valve uspokaja
Pojawiły się pogłoski, jakoby wyciekły dane 89 milionów użytkowników Steama. Valve odniosło się do sytuacji.
Aktualizacja #2 (15 maja, godz. 0:38)
Valve odniosło się do sprawy, potwierdzając, że nie doszło do naruszenia systemów Steama. Niemniej wyciek faktycznie miał miejsce – składają się na niego starsze wiadomości tekstowe, zawierające jednorazowe kody (ważne tylko przez 15 minut) i numery telefonów, na które zostały one wysłane.
Otrzymaliśmy jednak zapewnienie, że danych tych nie da się skojarzyć z kontem Steam, hasłem do niego, informacjami o płatnościach i danymi osobowymi. Co za tym idzie, nie można ich wykorzystać do ataku na konto Steam, a ponadto ewentualna próba wykorzystania takiego kodu do zmiany adresu e-mail bądź hasła skutkuje odpowiednim powiadomieniem.
Choć źródło wycieku nadal jest badane – co ma być trudne, gdyż wiadomości SMS nie są szyfrowane podczas przesyłania i przechodzą przez wielu operatorów – Valve nie zaleca zmiany hasła ani numeru telefonu. Niemniej firma zaleca traktować wszelkie wiadomości związane z bezpieczeństwem konta Steam, o które sami nie poprosiliśmy, jako podejrzane, a także korzystać ze Steam Guard.
Aktualizacja #1 (15 maja, godz. 0:07)
Christopher Kunz, specjalista ds. cyberbezpieczeństwa pracujący w firmie heise, przekonuje, że złodzieje pozyskali 89 mln rekordów z dziennika wysłanych SMS-ów, które zawierają „mnóstwo naprawdę nudnych metadanych”. Niemniej mają one pochodzić z 2025 roku, a w ich skład wchodzą ponoć numery telefonów. Kunz twierdzi, iż nie jest to powód, by zmieniać hasło do konta Steam. Ostrzega jednak, że mogą one zostać wykorzystane do „kampanii phishingowej na dużą skalę”. Wyjaśnienie to tłumaczyłoby niską cenę, jaką złodzieje mieli zażądać za swoją zdobycz.
Oryginalna wiadomość (14 maja, godz. 19:46)
Użytkownicy Steama powinni rozważyć zmianę hasła, ponieważ pojawiły się doniesienia o wycieku danych około 89 milionów kont. Jak udowadnia Underdark.ai przy pomocy screena zamieszczonego w serwisie LinkedIn, mają być one wystawione na sprzedaż za 5 tysięcy dolarów na rosyjskojęzycznej stronie w „dark webie”.
Rzekomy dowód na wyciek danych ze SteamaUnderdark.ai / LinkedIn
Według informatora złodzieje podobno pozyskali szczegóły o graczach poprzez uwierzytelnianie dwuskładnikowe obsługiwane przez firmę Twilio, a nie bezpośrednio przez Steama. Okazało się jednak, że cyfrowy sklep Valve nie korzysta z usług tego przedsiębiorstwa.
Ten detal przekazał użytkownik Mellow_Online1 w serwisie X, który zajmuje się ochroną konsumentów przed oszustwami (głównie na Steamie). Żeby potwierdzić doniesienia skontaktował się bezpośrednio z Valve, które zaprzeczyło, jakoby współpracowało ze wspomnianą firmą.
Co więcej, samo Twilio zabrało głos w sprawie. Rzecznik spółki powiadomił, że system nie został naruszony, zatem nie było możliwości, aby personalia graczy ukradziono z infrastruktury korporacji.
Nie da się ukryć, że cała sprawa wygląda dość dziwnie. Steam jak dotąd oficjalnie nie zabrał głosu w wyżej opisanej sprawie, więc należy ostrożnie podchodzić do tych rewelacji. Mimo wszystko warto rozważyć zmianę hasła i wzmocnić zabezpieczenia przy logowaniu się do konta – tak na wszelki wypadek.
