Valve nega le segnalazioni di una fuga di dati di Steam

Valve si è difesa oggi dalle presunte segnalazioni di una massiccia violazione dei dati su Steam. L'azienda ha insistito sul fatto che nessuno dei suoi sistemi è stato violato e che nessun account, password o dato personale è stato rubato. Tuttavia, l'editore di Steam Games ha confermato che gli hacker hanno avuto accesso a vecchi messaggi di testo contenenti informazioni limitate.

Un hacker, identificatosi tramite un post su LinkedIn, ha affermato di essere in possesso di oltre 89 milioni di record di utenti Steam con relativi codici di accesso monouso. L'hacker, che utilizzava gli pseudonimi Machine1337 o EnergyWeaponsUser, ha pubblicizzato le informazioni rubate, presumibilmente estratte da Steam, offrendole per 5000 dollari.

Valve nega la violazione in seguito alla fuga di dati dei codici 2FA

indipendentedent di videogiochi MellowOnline1, creatore del gruppo SteamSentinels Community, ha ipotizzato che l'incidentedent stato una violazione della catena di approvvigionamento che ha coinvolto Twilio. Ha rivelato prove tecniche nella fuga di notizie che mostrano voci di registro SMS in tempo reale provenienti dai sistemi di Twilio. Ritiene che l'abuso abbia compromesso l'account amministratore o le chiavi API. 

Ehi, giocatori! Siete nel panico per la fuga di dati di 89 milioni di account Steam? Tranquilli, @Valve dice che non è un grosso problema. Solo vecchi SMS e numeri di telefono per l'autenticazione a due fattori, niente password o carte di credito. Cerchiamo di fare chiarezza su questo pasticcio #Steam #Gaming #CyberSec #NoPanicZone pic.twitter.com/XoRgPgWIBP

— Jamal Allenjawi (@Lengo213) 15 maggio 2025

Twilio, un fornitore cloud di API per l'invio di SMS, chiamate vocali e messaggi 2FA utilizzati da Steam per l'autenticazione degli utenti, ha riconosciuto la situazione e confermato che stava indagandodent. Un portavoce di Twilio ha affermato che l'azienda prende la questione seriamente. Ha aggiunto che sta esaminando il presuntodent e che fornirà ulteriori informazioni non appena saranno disponibili.

Un comunicato di Valve ha rivelato che l'azienda sta ancora indagando sulla fonte della fuga di dati. Secondo Valve, qualsiasi messaggio SMS viene crittografato durante la trasmissione e instradato attraverso diversi provider prima di raggiungere il telefono dell'utente.

Valve ha affermato che tutti i codici in possesso dell'hacker erano già scaduti e che nessuno dei file includeva dettagli di pagamento o collegamenti diretti con i numeri di telefono degli account Steam. I dati consistevano in vecchi messaggi di testo contenenti codici monouso validi solo per 15 minuti. Valve ha dichiarato che non si trattava di una violazione dei sistemi di Steam.

L'editore di Steam ha aggiunto che nella cache non erano presenti altre informazioni sull'account, password, informazioni di pagamento o dati personali. Twilio ha successivamente contattato l'azienda per chiarire che non vi erano prove che suggerissero una violazione dei suoi sistemi. Il portavoce dell'azienda ha affermato che Twilio aveva esaminato un campione dei dati trovati online e non era riuscita a trovare alcuna indicazione che fossero stati ottenuti da loro.

Valve consiglia l'uso di Steam Mobile Authenticator

Steam ha ricordato agli utenti di trattare con cautela i codici SMS per la modifica della propria email o password di Steam. Gli utenti riceveranno questi codici via email o tramite il sistema di messaggistica sicura di Steam ogni volta che richiederanno una modifica della password. 

Secondo Valve, gli utenti non devono modificare password o numeri di telefono, ma li incoraggia ad abilitare Steam Mobile Authenticator per unatronprotezione. Valve ha rivelato che lo strumento Steam Mobile Authenticator invia messaggi direttamente all'app mobile di Steam, evitando le app di terze parti.

Il team di sicurezza di Valve sta esaminando i messaggi storici rinvenuti online per determinare come siano stati divulgati e prevenire che si ripetano in futuro. Gli utenti di Steam possono controllare regolarmente la sicurezza del proprio account tramite il link per rimanere aggiornati sui dati. 

Comunità online come Underdark.ai  ritengono che le implicazioni siano gravi, citando il ruolo di Steam come piattaforma di gioco e come tesoro di dati personali e finanziari legati agli utenti di tutto il mondo. Un post su LinkedIn di Underdark.ai ha rivelato che la possibilità che la violazione venga confermata potrebbe portare a un'ondata di phishing. Il post aggiungeva che potrebbero anche verificarsi furti di account e attacchi mirati all'interno della comunità dei videogiocatori. 

di Steam possono proteggere i propri account abilitando l'autenticazione a due fattori (2FA). Il post continuava a esortare gli utenti a monitorare le proprie email per individuare attività sospette e a modificare le password di Steam. Come rivelato dal post, gli utenti dovrebbero prestare attenzione ai tentativi di phishing mascherati da promozioni di giochi o messaggi di supporto.