Независимый журналист MellolwOnline1, организовавший сообщество SteamSentinels (отслеживает злоупотребления и мошенничество в экосистеме Steam), предупредил о возможной утечке данных миллионов пользователей Steam.
Как сообщает компания Underdark.ai, на находку которой ссылается MellolwOnline1, злоумышленник Machine1337 (он же EnergyWeaponsUser) выставил в даркнете на продажу за $5 тыс. данные 89 млн учётных записей платформы Valve.
Речь идёт об утечке информации из процесса прохождения пользователями двухфакторной аутентификации: SMS-сообщения с одноразовыми кодами доступа к Steam, включая номер телефона получателя.
Утечка якобы стала результатом взлома стороннего сервиса (а не непосредственно Steam), на который полагается Valve. Предполагалось, что речь идёт про компанию Twilio, предоставляющую услуги отправки кодов 2FA по SMS.
Twilio в официальном заявлении изданию BleepingComputer опровергла факт взлома и связь утёкших данных с компанией, тогда как Valve сообщила MellolwOnline1, что не пользуется услугами Twilio.
Журналисты BleepingComputer, изучившие публичный образец данных (включает 3000 записей), полагают, что виновником утечки мог быть провайдер SMS. Действительно ли это так и о какой компании идёт речь, редакция определить не смогла.
Steam ежемесячно пользуется более 120 миллионов человек — утечка потенциально могла затронуть две трети из них. В целях предосторожности игрокам рекомендуется активировать мобильный аутентификатор Steam Guard.