Steam: Valve reconhece vazamento de dados de 89 milhões de contas
Informações vazadas incluem mensagens de texto antigas, enviadas aos jogadores no passado. Valve investiga origem e diz que não houve ataque hacker. Steam: Valve reconhece vazamento de dados de 89 milhões de contas
Resumo
- A Valve reconheceu um vazamento de dados de 89 milhões de contas do Steam, mas negou que houve um ataque hacker aos seus sistemas.
- Segundo a publicação do possível hacker, que pede US$ 5.000, o pacote com os dados inclui senhas de uso único e mensagens SMS antigas.
- Um comprometimento na cadeia de suprimentos, possivelmente via uso indevido de APIs, pode ter causado o problema.
A Valve reconheceu que 89 milhões de contas do Steam foram expostas em um vazamento de dados, mas tranquilizou os clientes e garantiu que não houve invasão aos seus sistemas. Ainda assim, a empresa recomenda que os usuários ativem o Steam Mobile Authenticator como medida de segurança.
A história ganhou repercussão após a Underdark AI, empresa de cibersegurança, ter identificado a publicação de um perfil chamado Machine1337 em um fórum da dark web, no qual oferecia o suposto pacote completo de dados vazados por US$ 5.000.
Como ocorreu o vazamento?
Não se sabe ao certo como esse vazamento aconteceu. Segundo uma postagem do jornalista de games MellowOnline1, criador do grupo comunitário SteamSentinels, houve um comprometimento da cadeia de suprimentos, possivelmente com o uso indevido de APIs da Twilio — empresa responsável por fornecer serviços de autenticação de dois fatores (2FA).
A Valve não utiliza os serviços dessa empresa. Ainda assim, de acordo com MellowOnline1, como os dados incluem registros em tempo real dos SMS enviados, isso indicaria acesso direto aos sistemas internos da fornecedora — o que foi negado pela Valve.
A Twilio também negou qualquer violação em seus sistemas. Em nota enviada ao site BleepingComputer, a empresa afirmou que não identificou nenhum problema recente, mas confirmou que tomou ciência do caso e estava investigando.
De acordo com o BleepingComputer, que afirma ter analisado cerca de 3.000 arquivos do vazamento, os dados incluem códigos do Steam Guard e números de telefone possivelmente vinculados a contas. Alguns registros datam de março deste ano.
Valve nega violação de dados
A Valve informou em nota que o incidente não comprometeu os sistemas do Steam, e explicou que o vazamento consistia apenas em mensagens de texto antigas, com códigos de uso único.
A origem do vazamento está sendo investigada, mas a empresa esclarece que os dados expostos não incluíam senhas, informações de pagamento, dados pessoais ou vínculo com contas Steam. Mensagens de texto antigas, segundo a nota, “não podem ser usadas para violar a segurança da sua conta Steam”.
A empresa afirma que não é necessário alterar senhas ou números de telefone, mas recomenda configurar o Steam Mobile Authenticator.
Leia a nota completa da Valve
Você pode ter visto reportagens sobre vazamentos de mensagens de texto antigas enviadas aos usuários do Steam no passado. Após examinarmos a amostra do vazamento, determinamos que NÃO foi uma invasão aos sistemas do Steam.
Ainda estamos investigando a origem do vazamento, o que é dificultado pelo fato de que todas as mensagens de texto são transmitidas sem criptografia e encaminhadas por vários provedores até chegarem ao seu telefone.
O vazamento consistia em mensagens de texto antigas com códigos de uso único e válidos apenas por 15 minutos, acompanhadas do número de telefone de destino. Os dados vazados não associam os números de telefone a uma conta Steam, senha, dados de pagamento ou outros dados pessoais. Mensagens de texto antigas não podem ser usadas para violar a segurança da sua conta Steam, e sempre que um código enviado por SMS for usado para alterar o e-mail ou senha da sua conta Steam, você receberá uma mensagem de confirmação por e-mail e/ou pelo sistema seguro de mensagens do Steam.
Não é necessário alterar a sua senha ou número de telefone por causa desse evento. Aproveitamos a ocasião para lembrar de tratar como suspeita qualquer mensagem relativa à segurança da conta sobre solicitações que você não tenha realizado explicitamente. Recomendamos que verifique o estado da segurança da sua conta com regularidade no site: https://store.steampowered.com/account/authorizeddevices
Também recomendamos configurar o autenticador móvel do Steam, caso ainda não o tenha feito, pois ele é a melhor forma de enviar mensagens seguras sobre a sua conta e a segurança dela.
Malware já foi escondido em jogo do Steam
Essa não é a primeira vez que o Steam sofre com vazamento de dados. Em fevereiro, um sistema mais sofisticado foi descoberto: um jogo criado exclusivamente para roubar dados dos jogadores. Era o PirateFi, desenvolvido a partir do Easy Survival RPG, espécie de template licenciada para criação de jogos.
Através do jogo, os crackers conseguiram roubar senhas do recurso de preenchimento automático de navegadores, cookies de sessão, histórico de navegação, dados de carteira de criptomoedas, capturas de telas, arquivos do PC e códigos de autenticação de dois fatores.
Com informações do The Verge, XDA Developers e BleepingComputer
*Matéria atualizada às 07h57 de quinta-feira (15/05) para inclusão do posicionamento da Valve
Steam: Valve reconhece vazamento de dados de 89 milhões de contas
