Dobre wieści: 89 milionów kont Steam nie zostało zhakowanych

Valve właśnie oczyściło powietrze. Po tym, jak wirusowy post na LinkedIn twierdził, że ponad 89 milionów kont Steam wyciekło i zostało wystawionych na sprzedaż w ciemnej sieci, panika zaczęła się rozprzestrzeniać.

Valve twierdzi jednak, że to wszystko nieprawda.

"Zbadaliśmy próbkę wycieku i ustaliliśmy, że NIE było to naruszenie systemów Steam".

Wynika to bezpośrednio z nowego oświadczenia Valve, opublikowanego po fali alarmu podsycanego przez Underdark.ai i odebranego przez użytkownika X Mellow_Online1. Twierdzenia brzmiały poważnie - przykładowe dane, kontakt Telegram, cena wywoławcza 5000 USD - ale rzeczywistość? Nie za bardzo.

Co więc wyciekło?

Rozpowszechniane pliki nie zawierały loginów ani haseł do kont. Były to stare dzienniki SMS - w szczególności wiadomości tekstowe zawierające jednorazowe kody 2FA Steam. Wiesz, te sześciocyfrowe numery, które otrzymujesz podczas logowania.

Valve twierdzi, że te kody są

• Ważne tylko przez 15 minut
• Nie są powiązane z poświadczeniami konta, hasłami ani informacjami o płatnościach.
• Zawierają tylko numer telefonu

Więc nawet jeśli ktoś uzyskał dostęp do tych SMS-ów, są one w zasadzie bezużyteczne. Nie ma sposobu, aby zalogować się na konto Steam bez tego kodu w czasie rzeczywistym i hasła, a jeśli kod zostanie kiedykolwiek użyty do zmiany czegoś ważnego, Steam wyśle również potwierdzenie na twój adres e-mail.

"Stare wiadomości tekstowe nie mogą być wykorzystane do naruszenia bezpieczeństwa konta Steam" - podkreśliło Valve.

Nie ma powodu do paniki. Nie trzeba zmieniać hasła ani numeru telefonu.

Valve nigdy nie zostało złamane - Twilio też nie

Wcześniejsze teorie wskazywały na Twilio, firmę znaną z obsługi SMS-ów do uwierzytelniania dwuskładnikowego. Jednak zarówno Valve, jak i Twilio potwierdziły, że ten wyciek nie miał nic wspólnego z żadnym z nich.

Wydaje się, że dane pochodziły z dalszej części łańcucha dostarczania wiadomości SMS - od zewnętrznego dostawcy, który obsługiwał dostarczanie wiadomości. Nie było to więc naruszenie samego Steam ani jego systemów uwierzytelniania. Był to wyciek starych dzienników dostaw, prawdopodobnie zeskrobanych lub zeskrobanych z drugiej ręki.

Nawet jeśli twoje hasło jest bezpieczne, nadal warto przejrzeć konfigurację zabezpieczeń Steam:

• Włącz Steam Guard Mobile Authenticator dla lepszej ochrony 2FA.
• Przejrzyj swoje autoryzowane urządzenia, aby upewnić się, że nie ma na nich nic podejrzanego.
• Korzystaj z menedżera haseł (takiego jak 1Password lub Bitwarden) do generowania unikalnych, bezpiecznych haseł.

Kody SMS zawsze miały być rozwiązaniem tymczasowym. Obecnie mobilne 2FA Steam jest znacznie bezpieczniejsze i znacznie trudniejsze do przechwycenia lub sfałszowania.

I poważnie - jeśli nadal wpisujesz "dota2rocks" jako swoje hasło, to nadszedł czas, aby wycofać tego złego chłopca.

Pamiętasz wczesne boty oszustów?

Cały ten bałagan przywołuje również wspomnienia mrocznych dni Steam w pierwszej połowie 2010 roku - kiedy oszustwa handlowe szalały, a boty spamowały twoją skrzynkę odbiorczą podejrzanymi linkami, takimi jak:

"Hej, czy to twój przedmiot? Sprawdź stearncommunity(dot)com".

Tak. Używały podstępnej literówki - "stearn" zamiast "steam" - i oszukiwały tysiące osób. W tamtych czasach boty oszustów stale nadużywały czatu i systemu handlu Steam. Użytkownicy otrzymywali fałszywe oferty lub alerty, klikali złe linki i tracili dostęp do całych magazynów wypełnionych skórkami CS:GO.

W porównaniu z tamtą erą, to fałszywe naruszenie wydaje się łagodne. Ale wciąż przypomina, że oszuści nigdzie nie zniknęli. Po prostu stali się bardziej subtelni.

Nie, 89 milionów kont nie zostało zhakowanych. Nie, twoja biblioteka Steam nie jest zagrożona. Ale jeśli spowodowało to mały skok tętna, być może jest to wskazówka, aby dokładnie sprawdzić ustawienia i zaostrzyć wszystko.

Steam Guard. Bezpieczne hasła. Brak klikania losowych linków Telegram. Znasz te zasady.

I hej, przynajmniej tym razem nikt nie musiał patrzeć, jak cały zapas noży Dopplera znika na koncie oszusta.