Nikt nie chciałby paść ofiarą wycieku danych. Narażenie konta (być może nawet kilku) na przejęcie przez hakerów, wrażliwe dane latające po dark webie – kiepska sprawa. W teorii ktoś wszedł w posiadanie 89 milionów wyników ze Steama. W praktyce sytuacja – podobno – wygląda mniej dramatycznie, ale wciąż potencjalnie niebezpiecznie.
Wyciek ze Steama w szczegółach
Cała sprawa zaczyna się od wpisu użytkownika Machine1337 (korzystającego również z pseudonimu EnergyWeaponsUser) na jednym z forów poświęconych sprzedaży danych użytkowników. W sobotę 11 maja 2025 roku opublikował on propozycję w postaci 89 milionów wpisów powiązanych z platformą Steam. Całość została przez niego wyceniona na 5000 dolarów (~18900 złotych). Możliwe jest również pobranie próbki z 3000 wynikami.
Jak to możliwe, że ktoś zdobył tak ważne dane? MellolwOnline1, twórca społeczności SteamSentinels monitorującej oszustwa i nadużycia związane z platformą Valve, wskazał wstępnie winnego w postaci Twilio – firmy oferującej API związane z weryfikacją użytkownika, w tym rozwiązania oparte na SMS-ach, rozmowach telefonicznych i wiadomościach 2FA. Pojawiła się sugestia, że ktoś dostał się do wewnętrznych systemów Twilio i zyskał uprawnienia administratora lub nadużywał kluczy API. Po zbadaniu sprawy rzecznik firmy ogłosił, że przedsiębiorstwo nie ma nic wspólnego z wykradzionymi danymi.
No dobra, ale co dokładnie znajduje się w próbce? Po otwarciu paczki, osoby związane z serwisem BleepingComputer zauważyły, że całość jest wypełniona SMS-ami z przeszłości, w których znajdują się jednorazowe kody do weryfikacji dwuetapowej wraz z numerem telefonu. Wiadomości wysłane w marcu 2025 roku wskazują, że baza danych może zawierać w miarę świeże wpisy.
W wiadomości z 15 maja Valve potwierdza, że wyciek danych nie oznacza złamania systemów bezpieczeństwa Steam. Użytkownicy nie muszą również zmieniać haseł czy numerów telefonu. Artykuł przypomina tylko o dwóch kwestiach. Po pierwsze – jeżeli nie potrzebowaliście niedawno kodów autoryzacyjnych, traktujcie zawsze takie wiadomości jako podejrzane. Po drugie – warto zacząć korzystać z systemu Steam Mobile Authenticator, który jest najbezpieczniejszą metodą wysyłania kodów.
Czy jest się czego obawiać?
Czy z takich informacji można cokolwiek wyciągnąć? To zależy – mówimy tu o jednorazowych kodach, które tracą ważność po 15 minutach od wysłania. Wysłane wiadomości nie są powiązane w wycieku z jakimikolwiek wrażliwymi danymi – kontem Steam, hasłem czy informacjami związanymi z płatnością. Przestarzałym SMS-em nie da się włamać na czyjś profil, a za każdym razem, kiedy platforma wysyła kod, przekazuje także potwierdzenie na adres e-mail lub w postaci zaszyfrowanej wiadomości na Steam.
Problemem jest jednak pojawienie się bazie numerów telefonicznych. Nawet, jeżeli ktoś nie przejmie Waszego konta na platformie Valve, nadal może wykorzystać dane zawarte w wycieku do ataków phishingowych. Na ten moment nie wiadomo, ile dokładnie numerów znajduje się w bazie i z jakich krajów pochodzą.
Valve wciąż analizuje, jak mogło do tego dojść. Gigant jest zwłaszcza niezadowolony z faktu, że SMS-y nie zostały zaszyfrowane, a przechodziły przez ręce kilku podmiotów, zanim ostatecznie wylądowały na Waszych telefonach. Biorąc jednak pod uwagę fakt, że ujawnienie numeru telefonu stanowi naruszenie RODO, niewykluczone że firma będzie musiała za jakiś czas zapłacić w Europie karę, co dodatkowo popsuje humor zarządowi.
