В даркнет слили 89 млн учетных записей Steam — пользователям советуют срочно сменить пароль.
Если утечка настоящая, то под угрозой могут оказаться целые библиотеки игр пользователей. Особенно это касается тех, кто не использует двухфакторную аутентификацию (2FA). Но все-таки к этой информации есть вопросы.
Если придерживаться хронологии, то первыми на ситуацию обратили внимание юзеры в X. Пользователь MellowOnline1 опубликовал скриншоты из LinkedIn-сообщения от Underdark AI. На картинке видно, что злоумышленник под ником Machine1337 предложил продать большую базу данных Steam за $5000. Предложение он разместил на одном из авторитетных форумов черного рынка.
В заметке указано, что база содержит:
- контакт в Telegram для связи с продавцом,
- ссылки на образцы данных (размещенные на Gofile),
- упоминания о внутренних данных поставщика (вероятно, имеется в виду поставщик услуг двухфакторной аутентификации).
Пользователи заметили, что само сообщение похоже на Cross-site scripting (XSS). Благодаря этой уязвимости веб безопасности злоумышленники могут внедрять вредоносные скрипты в веб-страницы, которые просматривают другие пользователи. Этим пользуются для кражи данных, похищения сеансов или даже изменения содержимого страницы.
Впоследствии авторы LinkedIn-сообщения обновили информацию: «новые доказательства подтверждают, что утечка образца содержит журналы SMS-сообщений 2FA в реальном времени, передаваемых через Twilio». В этих логах — содержимое сообщений, статус доставки, метаданные и стоимость маршрутизации. Это может указывать на доступ не к самому Steam, а к интерфейсам поставщика услуг SMS. Это создает риск фишинговых атак и кражи сессий — особенно для тех, кто не использует Steam Guard или имеет слабый пароль.
Valve уже отреагировала, как сообщил тот же MellowOnline1. Представитель компании отрицает использование Twilio, которую упомянули в оригинальной заметке Underdark AI.
Что именно стало источником утечки, пока что неизвестно. Сперва пользователи предполагали, что речь идет о самом Steam, но потом внимание переключили на Twilio. Впрочем, пока что подтверждений нет, и ситуация остается неясной. Valve на момент публикации не обнародовала официальных заявлений, но независимо от этого эксперты советуют пользователям Steam немедленно сменить пароль и убедиться, что включена 2FA.
СпецпроектыСпікери з GitLab, Epam Systems, mono та не тільки. Чому варто потрапити на DOU Day 2025Захищений смартфон FOSSiBOT F112 Pro 5G: чипсет Dimensity 6300, силіконовий корпус і батарея 7150 мАг
Steam Guard — это собственная система двухфакторной аутентификации Valve, и, по имеющимся данным, похищенные данные не позволяют ее обойти. Но те, кто не использует его, могут стать легкой мишенью. Также есть риск, что злоумышленники используют полученную информацию для фишинговых кампаний.
Относительно советов по защите аккаунта они классические. В частности стоит избегать очевидных паролей, не повторять один и тот же пароль в нескольких сервисах. Также стоит проверить, не попадали ли ваши данные в предыдущие утечки через сервисы типа HaveIBeenPwned. Valve пока не подтвердила факт утечки, но и полностью не опровергла. Поэтому если вам жаль свою родную библиотеку — лучше перестраховаться.
Сколько-сколько? В Steam нашли скрытую страницу, которая считает ваши расходы на игры
Источник: XDA Developers
