Компания Valve опровергает сообщения об утечке данных из Steam

Компания Valve сегодня выступила в свою защиту от сообщений о масштабной утечке данных в Steam. Компания настаивала на том, что ни одна из её систем не была взломана и что никакие учетные записи, пароли или личные данные не были украдены. Однако издатель Steam Games подтвердил, что хакеры получили доступ к старым текстовым сообщениям, содержащим ограниченную информацию.

Злоумышленник, разоблаченный в публикации на LinkedIn, утверждал, что владеет более чем 89 миллионами записей пользователей Steam с одноразовыми кодами доступа. Злоумышленник, использовавший псевдонимы Machine1337 или EnergyWeaponsUser, рекламировал украденную информацию, якобы полученную из Steam, и предлагал ее за 5000 долларов.

Компания Valve отрицает нарушение после утечки кодов двухфакторной аутентификации

Независимыйdent журналист MellowOnline1, создатель сообщества SteamSentinels, предположил , что инцидентdent с компрометацией цепочки поставок с участием Twilio. Он представил технические доказательства утечки, демонстрирующие записи SMS-сообщений в реальном времени из систем Twilio. Он считает, что злоупотребление привело к компрометации учетной записи администратора или ключей API. 

Эй, геймеры! Паникуете из-за утечки 89 миллионов аккаунтов Steam? Расслабьтесь, @Valve говорит, что это не страшно. Просто старые SMS-сообщения и номера телефонов для двухфакторной аутентификации, никаких паролей или карт. Давайте разберемся в этом бардаке #Steam #Gaming #CyberSec #NoPanicZone pic.twitter.com/XoRgPgWIBP

– Джамал АллenjАви (@Lengo213) 15 мая 2025 г.

Компания Twilio, поставщик облачных API для отправки SMS, голосовых вызовов и сообщений двухфакторной аутентификации, используемых Steam для аутентификации пользователей, подтвердила наличие ситуации и сообщила о проведении расследованияdent. Представитель Twilio заявил, что компания серьезно относится к этому вопросу. Он добавил, что компания изучает предполагаемыйdent и предоставит дополнительную информацию по мере ее поступления.

В заявлении Valve говорится, что компания всё ещё пытается выяснить источник утечки. По данным Valve, любое SMS-сообщение шифруется при передаче и проходит через несколько провайдеров по пути к телефону пользователя.

Компания Valve заявила, что все коды, находившиеся в распоряжении хакера, уже истекли, и ни один из файлов не содержал платежных данных или прямой связи с номерами телефонов учетных записей Steam. Данные представляли собой старые текстовые сообщения, содержащие одноразовые коды, действительные только в течение 15 минут. Valve заявила, что это не является взломом систем Steam.

Издатель Steam добавил, что в кэше не было никакой другой информации об учетных записях, паролей, платежных данных или личных данных. Позже Twilio связалась с представителями компании, чтобы уточнить, что нет никаких доказательств взлома их систем. Представитель компании заявил, что Twilio проверила образец данных, найденных в интернете, и не обнаружила никаких признаков того, что они были получены от них.

Компания Valve рекомендует использовать Steam Mobile Authenticator

Steam напомнил пользователям о необходимости с осторожностью относиться к SMS-кодам для смены адреса электронной почты или пароля Steam. Пользователи будут получать эти коды по электронной почте или через защищенную систему обмена сообщениями Steam при запросе на смену пароля. 

По данным Valve, пользователям не нужно менять свои пароли или номера телефонов, но компания рекомендует включить Steam Mobile Authenticator для болееtronзащиты. Valve сообщила, что инструмент Steam Mobile Authenticator отправляет сообщения непосредственно в мобильное приложение Steam, минуя сторонние приложения.

Команда безопасности Valve изучает старые сообщения, найденные в сети, чтобы определить, как они были раскрыты, и предотвратить подобные инциденты в будущем. Пользователи Steam могут регулярно проверять безопасность своей учетной записи по официальной ссылке , чтобы быть в курсе последних изменений. 

В онлайн-сообществах, таких как Underdark.ai,  считают последствия серьезными, ссылаясь на роль Steam как игровой платформы и кладезь личных и финансовых данных пользователей по всему миру. В публикации Underdark.ai в LinkedIn говорится о возможности подтверждения утечки данных, что может привести к широкомасштабному фишингу. В сообщении также отмечается, что возможны захваты учетных записей и целенаправленные атаки на игровое сообщество. 

Steam могут защитить свои учетные записи, включив двухфакторную аутентификацию (2FA). В сообщении также содержался призыв к пользователям следить за своей электронной почтой на предмет подозрительной активности и менять пароли от Steam. Как указывалось в сообщении, пользователям следует остерегаться фишинговых атак, замаскированных под рекламные предложения игр или сообщения службы поддержки.