![[Dúvida do leitor] Inter recuou na piora do uso das salas vip?](https://s0.wp.com/i/blank.jpg)
Steam tem 89 milhões de contas expostas em vazamento; Valve nega ataque hacker
Informações vazadas incluem senhas temporárias e números de telefone. Valve investiga origem e diz que não houve violação nos seus sistemas. Steam tem 89 milhões de contas expostas em vazamento; Valve nega ataque hacker
Resumo
- Dados de 89 milhões de contas do Steam podem ter sido expostos em um vazamento para venda na dark web.
- Segundo a publicação do possível hacker, que pede US$ 5.000, o pacote com os dados inclui senhas de uso único e mensagens SMS antigas.
- Um comprometimento na cadeia de suprimentos, possivelmente via uso indevido de APIs, pode ter causado o problema.
Um vazamento de dados pode ter exposto 89 milhões de contas do Steam. No entanto, de acordo com a Valve, responsável pela plataforma, não houve violação dos seus sistemas.
A Underdark AI, empresa especializada em cibersegurança, havia identificado a publicação de um usuário chamado Machine1337 em um fórum da dark web, oferecendo o suposto pacote completo de dados vazados por US$ 5.000. O conteúdo incluiria mensagens SMS antigas enviadas a usuários da plataforma, com senhas de acesso único.
Segundo o site BleepingComputer, que afirma ter analisado cerca de 3.000 arquivos do vazamento, os dados incluem códigos do Steam Guard e números de telefone possivelmente vinculados a contas. Alguns registros datam de março deste ano.
Até o momento, o que parece certo é que, de fato, houve um vazamento de dados — a própria Valve confirmou, em nota, ter analisado a “amostra vazada”. No entanto, ainda não está claro se as informações que vazaram podem impactar o acesso ou uso das contas na plataforma.
Como ocorreu o vazamento?
Não se sabe ao certo como esse vazamento ocorreu. Segundo uma postagem do jornalista de games MellowOnline1, criador do grupo comunitário SteamSentinels, houve um comprometimento da cadeia de suprimentos, possivelmente com o uso indevido de APIs da Twilio — empresa responsável por fornecer serviços de autenticação de dois fatores (2FA).
No entanto, a Valve não utiliza os serviços dessa empresa. Ainda assim, de acordo com MellowOnline1, como os dados incluem registros em tempo real dos SMS enviados, isso indicaria acesso direto aos sistemas internos da fornecedora.
A Valve, porém, negou essa possibilidade em um comunicado, no qual afirma que mensagens de texto antigas “não podem ser usadas para violar a segurança da sua conta Steam”.
De todo modo, a Twilio também negou qualquer violação em seus sistemas. Em nota enviada ao BleepingComputer, a empresa afirmou que não identificou nenhum problema recente, mas confirmou que tomou ciência do caso e estava investigando.
Valve nega violação de dados
A Valve informou em nota que o vazamento não comprometeu os sistemas do Steam. A origem do incidente está sendo investigada, mas a empresa esclarece que os dados expostos não incluíam senhas, informações de pagamento, dados pessoais ou vínculo com contas Steam. As mensagens de texto antigas, segundo a nota, “não podem ser usadas para violar a segurança da sua conta Steam”.
A empresa afirma que não é necessário alterar senhas ou números de telefone, mas recomenda configurar o Steam Mobile Authenticator.
Leia a nota completa da Valve
Você pode ter visto relatos de vazamentos de mensagens de texto antigas enviadas anteriormente a clientes do Steam. Analisamos a amostra vazada e concluímos que NÃO se trata de uma violação dos sistemas do Steam.
Ainda estamos investigando a origem do vazamento, que é agravado pelo fato de que todas as mensagens SMS não são criptografadas durante o transporte e são roteadas por vários provedores até chegarem ao seu telefone.
O vazamento consistia em mensagens de texto antigas que incluíam códigos de uso único válidos apenas por períodos de 15 minutos e os números de telefone para os quais foram enviados. Os dados vazados não associavam os números de telefone a uma conta Steam, informações de senha, informações de pagamento ou outros dados pessoais. Mensagens de texto antigas não podem ser usadas para violar a segurança da sua conta Steam e, sempre que um código for usado para alterar seu e-mail ou senha do Steam por SMS, você receberá uma confirmação por e-mail e/ou mensagens seguras do Steam.
Você não precisa alterar suas senhas ou números de telefone em decorrência deste evento. É um bom lembrete para tratar quaisquer mensagens de segurança da conta que você não tenha solicitado explicitamente como suspeitas. Recomendamos verificar regularmente a segurança da sua conta Steam a qualquer momento.
Também recomendamos configurar o Steam Mobile Authenticator, caso ainda não o tenha feito, pois ele nos oferece a melhor maneira de enviar mensagens seguras sobre sua conta e a segurança dela.
Malware já foi escondido em jogo do Steam
Essa não é a primeira vez que o Steam sofre com vazamento de dados. Em fevereiro, um sistema mais sofisticado foi descoberto: um jogo criado exclusivamente para roubar dados dos jogadores. Era o PirateFi, desenvolvido a partir do Easy Survival RPG, espécie de template licenciada para criação de jogos.
Através do jogo, os crackers roubavam senhas do recurso de preenchimento automático de navegadores, cookies de sessão, histórico de navegação, dados de carteira de criptomoedas, capturas de telas, arquivos do PC e códigos de autenticação de dois fatores.
*Matéria atualizada às 07h57 de quinta-feira (15/05) para inclusão do posicionamento da Valve
Com informações do The Verge, XDA Developers e BleepingComputer
Steam tem 89 milhões de contas expostas em vazamento; Valve nega ataque hacker
