Valve dementiert Berichte über Datenleck bei Steam

Valve wehrte sich heute gegen die Berichte über einen angeblichen massiven Datendiebstahl bei Steam. Das Unternehmen betonte, dass keines seiner Systeme gehackt worden sei und weder Konten, Passwörter noch persönliche Daten gestohlen worden seien. Der Herausgeber von Steam Games bestätigte jedoch, dass Hacker auf ältere Textnachrichten mit begrenzten Informationen zugegriffen hatten.

Ein Angreifer, der sich in einem LinkedIn-Beitrag , behauptete, im Besitz von über 89 Millionen Steam-Nutzerdatensätzen mit Einmal-Zugangscodes zu sein. Der Angreifer, der die Pseudonyme Machine1337 oder EnergyWeaponsUser verwendete, bot die gestohlenen, angeblich von Steam stammenden Daten für 5000 US-Dollar an.

Valve bestreitet Datenschutzverletzung nach dem Durchsickern von 2FA-Codes

Der unabhängigedent MellowOnline1, Gründer der SteamSentinels-Community-Gruppe, vermutete , dass derdent auf einen Lieferkettenangriff von Twilio zurückzuführen sei. Er enthüllte technische Beweise aus dem Leak, die Echtzeit-SMS-Protokolleinträge aus Twilios Systemen zeigen. Seiner Ansicht nach wurden durch den Missbrauch das Administratorkonto oder API-Schlüssel kompromittiert. 

Hey Gamer! Panik wegen des Steam-Account-Leaks mit 89 Millionen Accounts? Keine Panik, @Valve sagt, es ist nicht so schlimm. Nur alte 2FA-SMS und Telefonnummern, keine Passwörter oder Karten. Lasst uns das Ganze mal genauer unter die Lupe nehmen. #Steam #Gaming #CyberSec #NoPanicZone pic.twitter.com/XoRgPgWIBP

– Jamal Allenjawi (@Lengo213) 15. Mai 2025

Twilio, ein Cloud-Anbieter von APIs für den Versand von SMS, Sprachanrufen und 2FA-Nachrichten, die von Steam zur Benutzerauthentifizierung genutzt werden, hat den Vorfall bestätigt und erklärt, ihn zu untersuchen. Ein Twilio-Sprecher sagte, das Unternehmen nehme diedentsehr ernst. Er fügte hinzu, dass der mutmaßlichedent geprüft werde und weitere Informationen veröffentlicht würden, sobald diese verfügbar seien.

einer Stellungnahme bekannt, dass das Unternehmen weiterhin nach der Quelle des Datenlecks sucht. Laut Valve werden alle SMS-Nachrichten während der Übertragung verschlüsselt und über mehrere Anbieter geleitet, bevor sie das Mobiltelefon des Nutzers erreichen.

Valve gab an, dass alle Codes im Besitz des Hackers bereits abgelaufen waren und keine der Dateien Zahlungsdetails oder direkte Verbindungen zu Telefonnummern von Steam-Konten enthielt. Die Daten bestanden aus älteren SMS mit Einmalcodes, die nur 15 Minuten gültig waren. Valve erklärte, es habe sich nicht um einen Angriff auf die Steam-Systeme gehandelt.

Der Steam-Publisher fügte hinzu, dass sich keine weiteren Kontoinformationen, Passwörter, Zahlungsdaten oder persönlichen Daten im Cache befanden. Twilio meldete sich später zu Wort und stellte klar, dass es keine Hinweise auf einen Systemangriff gebe. Der Unternehmenssprecher erklärte, Twilio habe eine Stichprobe der online gefundenen Daten geprüft und keinerlei Anzeichen dafür gefunden, dass diese von ihnen stammten.

Valve empfiehlt die Verwendung des Steam Mobile Authenticators

Steam rät Nutzern, SMS-Codes zum Ändern ihrer Steam-E-Mail-Adresse oder ihres Passworts mit Vorsicht zu behandeln. Nutzer erhalten diese Codes per E-Mail oder über das sichere Nachrichtensystem von Steam, sobald sie eine Passwortänderung beantragen. 

Laut Valvemüssen Nutzer weder ihre Passwörter noch ihre Telefonnummern ändern, empfiehlt ihnen aber, den Steam Mobile Authenticator für einentronSchutz zu aktivieren. Valve gab bekannt, dass der Steam Mobile Authenticator Nachrichten direkt an die Steam-App sendet und somit Apps von Drittanbietern umgeht.

Valves Sicherheitsteam untersucht die online gefundenen älteren Nachrichten, um die Ursachen ihrer Offenlegung zu ermitteln und zukünftige Vorfälle zu verhindern. Steam-Nutzer können ihre Kontosicherheit regelmäßig über den offiziellen Link und sich so über die aktuellen Sicherheitsdaten informieren. 

Online-Communities wie Underdark.ai  befürchten gravierende Folgen und verweisen auf Steams Rolle als Spieleplattform und gleichzeitig auf die Fülle persönlicher und finanzieller Daten von Nutzern weltweit. Ein LinkedIn-Beitrag von Underdark.ai deutete an, dass eine Bestätigung des Datenlecks zu weit verbreitetem Phishing führen könnte. Der Beitrag fügte hinzu, dass auch Kontoübernahmen und gezielte Angriffe auf die Gaming-Community möglich seien. 

Steam- Nutzer können ihre Konten durch Aktivierung der Zwei-Faktor-Authentifizierung (2FA) schützen. In dem Beitrag wurden Nutzer außerdem dringend gebeten, ihre E-Mails auf verdächtige Aktivitäten zu überprüfen und ihre Steam-Passwörter zu ändern. Wie der Beitrag verdeutlichte, sollten Nutzer sich vor Phishing-Versuchen in Acht nehmen, die als Spielwerbung oder Support-Nachrichten getarnt sind.