Хорошие новости: 89 миллионов аккаунтов Steam не были взломаны

Компания Valve только что прояснила ситуацию. После вирусного сообщения в LinkedIn о том, что более 89 миллионов учетных записей Steam были утечены и выставлены на продажу в темной паутине, началась паника.

Но Valve утверждает, что все это неправда.

"Мы изучили образец утечки и пришли к выводу, что это НЕ было взломом систем Steam".

Так говорится в новом заявлении Valve, опубликованном после волны тревоги, поднятой сайтом Underdark.ai и подхваченной пользователем X Mellow_Online1. Заявления звучали серьезно - образец данных, контакт в Telegram, цена в $5 000 - но на самом деле? Не очень.

Так что же было утечкой?

Файлы, получившие широкую огласку, не были полны логинов или паролей. Это были старые журналы SMS-сообщений, а точнее, текстовые сообщения, содержащие одноразовые коды 2FA в Steam. Это шестизначные числа, которые вы получаете при входе в систему.

Valve утверждает, что эти коды:

• действительны только в течение 15 минут
• Не привязаны к учетным данным, паролям или платежной информации
• Не содержат ничего, кроме номера телефона.

Так что даже если кто-то и получил доступ к этим текстам, они, по сути, бесполезны. Войти в аккаунт Steam без кода реального времени и пароля невозможно, а если код используется для изменения чего-либо важного, Steam также отправляет подтверждение на вашу электронную почту.

"Старые текстовые сообщения не могут быть использованы для нарушения безопасности вашей учетной записи Steam", - подчеркивают в Valve.

Не стоит паниковать. Не нужно менять пароль или номер телефона.

Valve никогда не подвергалась взлому, как и Twilio

Ранние теории указывали на компанию Twilio, известную тем, что она занимается обработкой SMS для двухфакторной аутентификации. Но и Valve, и Twilio подтвердили, что эта утечка не имеет никакого отношения ни к одной из них.

Судя по всему, данные были получены из другого звена цепочки доставки SMS - от стороннего поставщика, который занимался доставкой сообщений. Таким образом, это не было взломом самого Steam или его систем аутентификации. Это была утечка старых журналов доставки, которые, вероятно, были соскоблены или взяты из вторых рук.

Даже если ваш пароль в безопасности, все равно стоит пересмотреть настройки безопасности Steam:

• Включите Steam Guard Mobile Authenticator для более надежной защиты 2FA.
• Проверьте свои авторизованные устройства, чтобы убедиться, что на них нет ничего подозрительного.
• Используйте менеджер паролей (например, 1Password или Bitwarden) для создания уникальных, надежных паролей.

Эти SMS-коды всегда были лишь временной мерой. В наши дни 2FA на базе мобильных устройств в Steam гораздо надежнее, и его гораздо сложнее перехватить или подделать.

А если серьезно - если вы до сих пор набираете "dota2rocks" в качестве пароля, пора отправить его на пенсию.

Помните ранних ботов-мошенников?

Вся эта неразбериха также навевает воспоминания о мрачных временах Steam в первой половине 2010-х годов - когда торговое мошенничество было в диком ходу, а боты забрасывали ваш почтовый ящик сомнительными ссылками вроде:

"Эй, это ваш товар? Проверьте stearncommunity(dot)com".

Да. Они использовали хитрую опечатку - "stearn" вместо "steam" - и обманывали тысячи людей. В те времена боты-мошенники постоянно злоупотребляли чатом и торговой системой Steam. Пользователи получали фальшивые предложения или предупреждения, переходили по неработающим ссылкам и теряли доступ к целым инвентарям, наполненным скинами для CS:GO.

По сравнению с той эпохой, этот фальшивый взлом кажется незначительным. Но это все же напоминание о том, что мошенники никуда не делись. Просто они стали более изощренными.

Нет, 89 миллионов аккаунтов не были взломаны. Нет, ваша библиотека Steam не находится под угрозой. Но если это вызвало небольшое учащение сердцебиения, возможно, это повод перепроверить настройки и укрепить их.

Steam Guard. Надежные пароли. Не переходить по случайным ссылкам Telegram. Вы знаете, что делать.

По крайней мере, в этот раз никому не пришлось наблюдать, как весь их запас ножей Doppler исчезает на счету мошенника.