Компания Valve заявила, что системы цифрового сервиса Steam не подвергались взлому. Заявление последовало после публикации информации об утечке данных, включающей устаревшие СМС-сообщения с одноразовыми кодами двухфакторной аутентификации (2FA) и телефонные номера. Об этом говорится в официальном сообщении пресс-службы Valve.
Фото: Unsplash
Анализ утекшего фрагмента показал, что данные не позволяют установить связь с конкретными учетными записями. Указанные коды давно просрочены (срок их действия составляет 15 минут), а другие чувствительные сведения — такие как пароли или платёжные реквизиты — отсутствуют.
Valve отмечает, что источник утечки пока не установлен. Однако компания подчеркивает, что СМС-передача не шифруется на пути от сервиса к пользователю, поскольку проходит через инфраструктуру сторонних операторов связи. Этот фактор значительно затрудняет расследование и отслеживание конкретного звена компрометации.
Риски для пользователей минимальны, но меры предосторожности необходимы
По оценке специалистов компании, опубликованные фрагменты не дают возможности использовать их для несанкционированного доступа к аккаунтам Steam, особенно если активированы дополнительные уровни защиты: подтверждение смены пароля через e-mail или мобильный аутентификатор Steam Guard.
Valve не видит оснований для изменения паролей или телефонных номеров. Вместе с тем компания советует сохранять настороженность по отношению к сообщениям о безопасности, особенно если они приходят из сомнительных источников.
Ключевая рекомендация — включить мобильный аутентификатор Steam Guard, поскольку он обеспечивает более высокий уровень защиты по сравнению с СМС: все ключевые операции подтверждаются в приложении, минуя менее защищённые каналы.
Контекст: в даркнете предложили купить базу из 89 млн аккаунтов Steam
На фоне утечки независимый журналист MellowOnline1 сообщил в соцсети X, что в даркнете появилось предложение о продаже базы данных с 89 млн аккаунтов Steam. Объявление якобы разместил хакер под псевдонимом Machine1337, а цена лота составила $5000.
Информация появилась на платформе LinkedIn, где её опубликовал аккаунт с названием Underdark AI. Первоначально предполагалось, что компрометация могла произойти внутри Valve, однако компания официально опровергла любую причастность.