Twilio negou em um comunicado ter sido violada após um ator de ameaça ter afirmado estar na posse de mais de 89 milhões de registros de usuários do Steam com códigos de acesso únicos.
O ator de ameaça, usando o alias Machine1337 (também conhecido como EnergyWeaponsUser), anunciou um conjunto de dados supostamente obtidos do Steam, oferecendo vendê-lo por US$ 5.000.
Ao examinar os arquivos vazados, que continham 3.000 registros, foi encontrado mensagens de texto SMS históricas com códigos de passagem únicos para o Steam, incluindo o número de telefone do destinatário.
Propriedade da Valve Corporation, o Steam é a maior plataforma de distribuição digital para jogos de PC do mundo, com mais de 120 milhões de usuários ativos mensais.
O jornalista independente de jogos MellolwOnline1, que também é o criador do grupo comunitário SteamSentinels que monitora abusos e fraudes no ecossistema do Steam, sugere que o incidente é um comprometimento da cadeia de fornecimento envolvendo a Twilio.
MellowOnline1 apontou para evidências técnicas nos dados vazados que indicam entradas de log de SMS em tempo real dos sistemas de backend da Twilio, hipotetizando uma conta de admin comprometida ou abuso de chaves de API.
A Twilio é uma empresa de comunicações em nuvem que fornece APIs para envio de SMS, chamadas de voz e mensagens 2FA, amplamente utilizada por aplicativos como o Steam para autenticação de usuários.
"A Twilio leva essas ameaças muito a sério e está revisando o suposto incidente. Forneceremos mais informações conforme elas estiverem disponíveis", disse um porta-voz da empresa.
A Twilio posteriormente seguiu com um comunicado esclarecendo que os sistemas da empresa não foram violados.
Analisando os dados, uma possível explicação para sua origem é um vazamento de um provedor de SMS que intermedeia a comunicação de códigos de acesso únicos entre a Twilio e os usuários do Steam.
Algumas das mensagens entregues são claramente códigos de confirmação para acessar uma conta Steam ou para associar um número de telefone a uma.
Adicionalmente, não conseguimos verificar as alegações do ator de ameaça.
Vale mencionar que alguns dos dados são relativamente novos, já que encontramos muitas das datas de entrega desde o início de março.
A Twilio oferece um produto de autenticação de dois fatores (2FA) chamado Verify API que os clientes, incluindo provedores de jogos, podem implementar com diversos canais de comunicação (SMS, WhatsApp, chamada de voz, email, passkeys, aprovação silenciosa do dispositivo, push ou senhas de uso único baseadas em tempo).
Por excesso de cautela, recomenda-se que os usuários do Steam ativem o Steam Guard Mobile Authenticator para segurança adicional e monitorem a atividade da conta para tentativas de login não autorizadas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...