Гарні новини: 89 мільйонів акаунтів Steam не були зламані

Valve щойно розрядила обстановку. Після вірусного посту в LinkedIn, в якому стверджувалося, що понад 89 мільйонів акаунтів Steam були викрадені і виставлені на продаж в темному інтернеті, почалася паніка.

Але Valve стверджує, що це все неправда.

"Ми вивчили зразок витоку і визначили, що це НЕ було порушенням систем Steam".

Це слова з нової заяви Valve, опублікованої після хвилі тривоги, яку підняв Underdark.ai і підхопив користувач Mellow_Online1. Заяви звучали серйозно - зразки даних, контакт у Telegram, ціна в $5,000 - але що насправді? Не дуже.

То що ж було витоком?

Файли, що потрапили в мережу, не містили логінів чи паролів до акаунтів. Це були старі журнали SMS, а саме текстові повідомлення, які містять одноразові 2FA-коди Steam. Знаєте, ці шестизначні номери, які ви отримуєте при вході в систему.

Valve каже, що ці коди такі:

• Дійсні лише 15 хвилин
• Не прив'язані до облікових даних акаунта, паролів чи платіжної інформації
• Не містять нічого, крім номера телефону

Отже, навіть якщо хтось отримав доступ до цих текстів, вони практично марні. Неможливо увійти до свого акаунта Steam без цього коду в режимі реального часу та пароля, а якщо код буде використано для зміни чогось важливого, Steam також надішле підтвердження на вашу електронну пошту.

"Старі текстові повідомлення не можуть бути використані для порушення безпеки вашого облікового запису Steam", - підкреслили у Valve.

Не варто панікувати. Не потрібно змінювати пароль або номер телефону.

Valve ніколи не зламували, як і Twilio

Раніше теорії вказували на Twilio, компанію, відому своєю обробкою SMS для двофакторної автентифікації. Але і Valve, і Twilio підтвердили, що цей витік не має до них жодного відношення.

Дані, схоже, надійшли звідкись далі по ланцюжку доставки SMS - від стороннього постачальника, який займався доставкою повідомлень. Отже, це не був злом самого Steam або його систем автентифікації. Це був витік старих журналів доставки, ймовірно, зішкрябаних або зішкрябаних з рук.

Навіть якщо ваш пароль безпечний, все одно варто переглянути налаштування безпеки Steam:

• Увімкніть мобільний автентифікатор Steam Guard для кращого захисту 2FA.
• Перевірте свої авторизовані пристрої, щоб переконатися, що там немає нічого сумнівного.
• Використовуйте менеджер паролів (наприклад, 1Password або Bitwarden) для створення унікальних, безпечних паролів.

SMS-коди завжди були тимчасовим рішенням. Сьогодні мобільний 2FA Steam набагато безпечніший і його набагато важче перехопити чи підробити.

А якщо серйозно - якщо ви все ще вводите "dota2rocks" як пароль, час відправити цього поганого хлопчика на пенсію.

Пам'ятаєте ранніх шахрайських ботів?

Весь цей безлад також повертає спогади про темні часи Steam у першій половині 2010-х, коли торгові шахрайства процвітали, а боти засипали вашу поштову скриньку сумнівними посиланнями на кшталт:

"Гей, це ваш товар? Перевірте stearncommunity(dot)com"

Так. Вони використовували підступну помилку - "stearn" замість "steam" - і обдурили тисячі людей. У той час шахрайські боти постійно зловживали чатом і торговою системою Steam. Користувачі отримували фальшиві пропозиції або сповіщення, переходили за неправдивими посиланнями та втрачали доступ до цілих інвентарів зі скінами для CS:GO.

Порівняно з тією епохою, цей фейковий злом здається незначним. Але це все ще нагадування про те, що шахраї нікуди не поділися. Вони просто стали більш витонченими.

Ні, 89 мільйонів акаунтів не були зламані. Ні, ваша бібліотека Steam не під загрозою. Але якщо це викликало невеликий стрибок серцебиття, можливо, це сигнал до того, щоб перевірити свої налаштування і підтягнути їх.

Steam Guard. Надійні паролі. Не переходити за випадковими посиланнями в Телеграмі. Ви знаєте, що робити.

І принаймні цього разу нікому не довелося спостерігати, як весь їхній запас допплерівських ножів зникає в акаунті шахрая.