Компания Valve сообщила, что недавняя утечка данных 89 миллионов пользователей игровой платформы не является результатом взлома систем Steam. По заверению Valve, специалисты компании пришли к выводу, что «системы Steam не были взломаны». Утечка состоит из старых текстовых сообщений с одноразовыми кодами, действительными всего 15 минут, и номеров телефонов, на которые они отправлялись.
Valve подчеркнула, что утекшие данные не позволяют определить аккаунт, пароль, платёжную информацию и другие личные данные пользователей Steam по номеру телефона. Таким образом, специалисты компании уверены, что с помощью данных сообщений невозможно взломать аккаунт Steam. «Каждый раз, когда вы используете СМС‑код для смены своего адреса эл. почты или пароля Steam, вам приходит подтверждение через эл. почту и/или мобильный аутентификатор Steam», — добавили в Valve.
Важное уточнение: пользователям не обязательно менять пароли или номера телефонов после инцидента, хотя компания рекомендует настроить мобильный аутентификатор и регулярно проверять безопасность аккаунта Steam на специальной странице. Ранее пользователь с никнеймом Machine1337 пытался продать базу данных с 89 миллионами записей пользователей Steam с одноразовыми кодами доступа за $5000.
На момент анализа утечки журналисты смогли обнаружить только три тысячи записей, содержащих SMS-сообщения с кодами подтверждения Steam. Интересно, что некоторые из утекших данных датированы началом марта, что может свидетельствовать о свежести инцидента. Эксперт по информационной безопасности Кристофер Кунц подтвердил, что исследованные записи не содержат логины и пароли, а лишь логи отправки СМС и номера телефонов.
Некоторые источники предполагают, что утечка могла произойти в результате компрометации со стороны компании Twilio, занимающейся облачными коммуникационными решениями. Однако Twilio заявила, что не обнаружила каких-либо признаков компрометации своих систем. Также они заверили, что тщательно изучили образцы слитых данных и не нашли доказательств связи с их инфраструктурой.
Таким образом, ситуация остаётся под контролем Valve, и игроки могут быть спокойны о безопасности своих аккаунтов, если следуют рекомендациям по включению мобильного аутентификатора и периодической проверке безопасности аккаунта.