Масштабный взлом Steam: скомпрометированы данные 89 миллионов пользователей

  • Автор темы Автор темы akok
  • Дата начала Дата начала

Переводчик Google
Вчера произошла крупная утечка данных, затронувшая около 89 миллионов учетных записей Steam — примерно две трети всех аккаунтов платформы. Изначально считалось, что взлом напрямую коснулся Steam, однако новые данные указывают на компрометацию стороннего сервиса, используемого платформой, — так называемый взлом цепочки поставок. Украденные данные, включающие конфиденциальную информацию пользователей, продаются за сумму, превышающую 5 000 долларов, на сайте, напоминающем Mipped, известный своей сомнительной репутацией.

https://twitter.com/x/status/1921672313608823002

Обновление: Взлом через Twilio​

Новые данные свидетельствуют, что утечка не связана с прямым взломом серверов или баз данных Steam. Вместо этого целью стал Twilio — сторонний поставщик услуг связи, который Steam использует (или использовал) для отправки кодов двухфакторной аутентификации (2FA) через SMS. Анализ образца утекших данных подтверждает наличие реальных данных, включая логи SMS-сообщений в реальном времени, используемых для 2FA.

Что включено в утекшие данные:​

  • Содержимое сообщений: Коды 2FA, отправленные пользователям.
  • Статус доставки: Информация о том, было ли сообщение отправлено, доставлено или не доставлено.
  • Метаданные: Временные метки, номера получателей и другие сведения.
  • Стоимость маршрутизации: Данные о затратах на отправку каждого сообщения.
Предполагается, что продавец на Mipped получил доступ к системам Twilio, возможно, через скомпрометированную учетную запись пользователя Twilio, API-ключ или даже напрямую к серверной панели управления Twilio. Это позволило злоумышленникам получить доступ к конфиденциальной информации, связанной с процессом аутентификации пользователей Steam.

Почему это опасно​

Хотя базы данных Steam не были взломаны напрямую, утечка данных через Twilio создает серьезные угрозы для пользователей:
  • Фишинг: Злоумышленники могут использовать украденные данные для отправки поддельных, но убедительных сообщений, выдавая их за официальные уведомления Steam.
  • Перехват сессий: Если хакеры могут перехватывать или повторно использовать коды 2FA, они могут обойти защиту входа в аккаунт.

Проблемы с Mipped​

Mipped и связанные с ним платформы уже давно находятся в центре внимания группы Steam Sentinels, которая неоднократно предупреждала Steam о случаях шантажа разработчиков, манипуляций с отзывами, накрутки голосов в Greenlight и других подозрительных действиях. Однако Steam до сих пор не предпринял мер против этих сайтов, что, вероятно, способствовало масштабу текущей утечки, затронувшей десятки миллионов пользователей.

Как защитить свой аккаунт​

Steam Sentinels призывает пользователей немедленно принять меры для защиты своих учетных записей:
  • Включите двухфакторную аутентификацию (2FA) для дополнительной безопасности, если она еще не активирована.
  • Следите за своей электронной почтой на предмет подозрительной активности или попыток несанкционированного входа.
  • Смените пароль Steam и обновите пароли на других сервисах, если они совпадают.
  • Остерегайтесь фишинговых атак, замаскированных под акции или сообщения от службы поддержки.
 
Нажмите для раскрытия...
Вот твари (те кто подобным занимается). Ни как не буду защищать акк .....фиг с ним .
 

Valve прокомментировала предполагаемую утечку данных Steam — взлома их систем не было​


Valve заявила, что их системы не были скомпрометированы после публикации старых SMS с кодами 2FA от Steam. Утечка затронула только устаревшие сообщения без привязки к аккаунтам. Компания рекомендует использовать мобильный аутентификатор для защиты



После волны сообщений о масштабной утечке данных пользователей Steam, компания Valve официально выступила с заявлением, опровергнув информацию о взломе своих систем.

Первыми о возможной утечке сообщили представители платформы Underdark.ai на LinkedIn, заявив о продаже более 89 миллионов записей, включая одноразовые коды двухфакторной аутентификации. В публикации также упоминалась компания Twilio — облачный провайдер SMS-сервисов, которую позже начали связывать с возможным источником утечки.

Заявление Twilio​

Нет никаких доказательств того, что Twilio была взломана. Мы проанализировали часть опубликованных данных и не обнаружили признаков того, что они были получены из Twilio.

Представитель Twilio
Нажмите для раскрытия...

Уведомление о безопасности вашего аккаунта Steam​

Заявление Valve
Недавняя утечка НЕ БЫЛА результатом взлома систем Steam

Возможно, вы видели информацию об утечках старых текстовых сообщений, которые ранее отправлялись пользователям Steam. Мы изучили фрагмент утёкших данных и пришли к выводу, что системы Steam НЕ БЫЛИ взломаны.

Ми всё ещё ищем источник утечки. Ситуация осложняется тем, что в процессе доставки СМС-сообщения находятся в незашифрованном состоянии и проходят через несколько операторов сотовой связи, прежде чем попасть на ваш телефон.

Утечка состоит из старых текстовых сообщений с одноразовыми кодами, действительными лишь в течение 15 минут, и номеров телефонов, на которые они отправлялись. Утёкшие данные не позволяют определить аккаунт, пароль, платёжную информацию и другие личные данные пользователей Steam по номеру телефона. С помощью старых текстовых сообщений нельзя взломать ваш аккаунт Steam. Кроме того, каждый раз, когда вы используете СМС-код для смены своего адреса эл. почты или пароля Steam, вам приходит подтвержение через эл. почту и/или мобильный аутентификатор Steam.

Вам не нужно менять свои пароли или номера телефонов из-за данного инцидента. Однако это хорошее напоминание о том, что к любым сообщениям о безопасности аккаунта, которых вы не запрашивали, следует относиться с подозрением. Рекомендуем регулярно проверять безопасность своего аккаунта Steam по этой ссылке:

https://store.steampowered.com/account/authorizeddevices

Кроме того, рекомендуем настроить мобильный аутентификатор Steam, если вы его не используете, так как это лучший способ получения защищённых сообщений об аккаунте и его безопасности.

Пресс-служба Valve
Нажмите для раскрытия...
Заявление опубликовано официально в сообществе Steam.


Таким образом, рекомендация для пользователей Steam: включите Steam Guard Mobile Authenticator и внимательно следите за активностью аккаунта, чтобы защититься от возможного несанкционированного доступа.

www.comss.ru

Valve прокомментировала предполагаемую утечку данных Steam — взлома их систем не было

Valve заявила, что их системы не были скомпрометированы после публикации старых SMS с кодами 2FA от Steam. Утечка затронула только устаревшие сообщения без привязки к аккаунтам. Компания рекомендует использовать мобильный аутентификатор для защиты
www.comss.ru www.comss.ru
 
В общем, резюмируем.... взлом есть, но никто не виноват.
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

newswriter
  • Статья Статья
Взлом 4chan привёл к утечке данных модераторов и пользователей
Ответы
0
Просмотры
181
newswriter
newswriter
newswriter
  • Статья Статья
Фейк. Взлом электронной платежной системы QIWI
Ответы
11
Просмотры
784
akok
akok
LadyBo
Взлом Windows 10 Home
Ответы
1
Просмотры
2K
VexMD
V
Назад
Сверху Снизу