Dados de 89 milhões de contas do Steam podem ter sido comprometidos em um vazamento e colocados à venda na dark web.
De acordo com a oferta do suposto hacker, que solicita US$ 5.000, o lote com os dados inclui senhas de uso único e mensagens SMS antigas.
Um problema na cadeia de suprimentos, possivelmente através do uso inadequado de APIs, pode ser a causa do incidente.
Contudo, a Valve, empresa responsável pelo Steam, afirmou que seus sistemas não foram infringidos.
A Underdark AI, uma companhia focada em cibersegurança, detectou a oferta de um usuário chamado Machine1337 em um fórum da dark web, que alegava possuir um pacote completo de dados vazados pelo valor de US$ 5.000.
Esse pacote aparentemente continha mensagens SMS enviadas a usuários da plataforma, além de senhas de acesso único.
De acordo com a análise feita pelo site BleepingComputer, que revisou aproximadamente 3.000 arquivos do suposto vazamento, os dados contêm códigos do Steam Guard e números de telefone que podem estar ligados a contas, com alguns registros datando de março do corrente ano.
Até o momento, é certo que ocorreu um vazamento de dados, como confirmado pela própria Valve, que examinou a "amostra vazada".
Entretanto, a extensão do impacto dessas informações nas contas dos usuários na plataforma ainda não está clara.
Como o Vazamento Aconteceu?
A causa precisa do vazamento ainda é desconhecida.
De acordo com uma postagem de MellowOnline1, jornalista especializado em jogos e criador do grupo comunitário SteamSentinels, o problema pode ter origem num comprometimento da cadeia de suprimentos, potencialmente pelo uso indevido das APIs da Twilio — empresa que fornece serviços de autenticação de dois fatores (2FA).
Todavia, a Valve não utiliza os serviços dessa empresa.
Mesmo assim, conforme MellowOnline1, a inclusão de registros em tempo real dos SMS enviados sugere um acesso direto aos sistemas internos do fornecedor.
A Valve, contudo, descartou essa possibilidade e afirmou que mensagens de texto antigas "não são capazes de comprometer a segurança de sua conta Steam".
A Twilio também negou qualquer falha em seus sistemas.
Em uma declaração ao BleepingComputer, a empresa informou não ter detectado nenhum problema recente, mas confirmou que estava ciente da situação e conduzindo uma investigação.
Atualização: Uma atualização sugere que o suposto vazamento de dados do Steam não foi uma violação direta dos sistemas do próprio Steam, mas sim um comprometimento da cadeia de suprimentos — o que significa que um serviço externo do qual o Steam depende foi alvo de ataque.
A Valve esclareceu que o vazamento não afetou os sistemas do Steam.
A origem do incidente está sob investigação, mas a companhia assegura que os dados expostos não incluíam senhas, informações de pagamento, dados pessoais ou qualquer vínculo com contas Steam.
As mensagens de texto antigas, conforme a empresa, "não podem ser utilizadas para comprometer a segurança da sua conta Steam".
A Valve recomendou não alterar senhas ou números de telefone, mas sugeriu a configuração do Steam Mobile Authenticator para maior segurança.
Leia a nota completa da Valve:
"Você pode ter visto relatos sobre o vazamento de mensagens de texto antigas previamente enviadas a clientes do Steam.
Examinamos a amostra vazada e concluímos que NÃO se trata de uma violação dos sistemas do Steam.
Continuamos investigando a origem do vazamento.
Vale ressaltar que todas as mensagens SMS não são criptografadas durante o trânsito e passam por vários provedores até alcançarem seu destino.
O vazamento consistia em mensagens de texto antigas que incluíam códigos de uso único válidos apenas por períodos de 15 minutos e os números de telefone aos quais foram enviados.
Os dados vazados não associavam os números de telefone a uma conta Steam, informações de senha, detalhes de pagamento ou outros dados pessoais.
Mensagens de texto antigas não podem ser utilizadas para comprometer a segurança da sua conta Steam.
Sempre que um código for utilizado para alterar seu e-mail ou senha do Steam via SMS, você receberá uma confirmação por e-mail e/ou mensagens seguras do Steam.
Não é necessário alterar suas senhas ou números de telefone devido a este evento.
É um bom lembrete para considerar suspeitas quaisquer mensagens de segurança da conta que você não tenha solicitado explicitamente.
Recomendamos verificar regularmente a segurança da sua conta Steam a qualquer momento."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...