A Valve, empresa responsável pela plataforma Steam, reportou recentemente que 89 milhões de contas de usuários podem ter sido expostas em um vazamento de dados. Contudo, a companhia tranquilizou seus clientes ao afirmar que não houve uma invasão a seus sistemas. Em meio a esse cenário, a companhia recomenda que todos os usuários ativem o Steam Mobile Authenticator como uma medida de segurança adicional.
A situação ganhou repercussão quando a Underdark AI, uma empresa de cibersegurança, identificou a oferta de um lote de dados vazados em um fórum da dark web. Um perfil, chamado Machine1337, estava pedindo US$ 5.000 pelo suposto conjunto de informações, que inclui senhas de uso único e mensagens SMS antigas.
Como ocorreu o vazamento?
Atualmente, os detalhes de como ocorreu o vazamento ainda não são totalmente claros. O jornalista de games MellowOnline1, que é membro ativo do grupo SteamSentinels, levantou a hipótese de um comprometimento na cadeia de suprimentos. Ele mencionou que o incidente pode ter envolvido o uso indevido de APIs da Twilio, empresa que fornece serviços de autenticação de dois fatores (2FA).
A Valve esclareceu que não utiliza os serviços da Twilio. No entanto, os rumores indicam que os dados expostos incluem registros em tempo real de mensagens SMS, o que poderia sugerir um acesso mais interno às operações da fornecedora — algo que a Valve negou categoricamente.
A Twilio também se posicionou e informou que não encontrou evidências de uma violação em seus próprios sistemas. Em uma nota ao site BleepingComputer, a empresa confirmou que está ciente do caso e já está em processo de investigação.
Além disso, o BleepingComputer relatou que, após a análise de cerca de 3.000 arquivos do vazamento, descobriu que os dados incluem códigos do Steam Guard e números de telefone que possivelmente estão associados a contas de usuários. Alguns registros são datados de março deste ano, levantando preocupações sobre a natureza do vazamento.
Valve nega violação de dados
Em sua comunicações, a Valve reiterou que o incidente não comprometeu os sistemas do Steam e que os dados expostos consistem apenas em mensagens de texto antigas contendo códigos de uso único. A empresa está atualmente investigando a origem do vazamento, mas esclarece que as informações vazadas não incluem senhas, dados de pagamento ou informações pessoais que possam vincular os usuários a contas específicas.
Embora a Valve afirme que não é necessário alterar senhas ou números de telefone em função desse evento, ela recomenda a ativação do Steam Mobile Authenticator para garantir uma segurança adicional.
Leia a nota completa da Valve
Em sua nota, a Valve comentou: “Você pode ter visto reportagens sobre vazamentos de mensagens de texto antigas enviadas aos usuários do Steam no passado. Após examinarmos a amostra do vazamento, determinamos que NÃO foi uma invasão aos sistemas do Steam.” A empresa também explicou que a complexidade do sistema e a forma como as mensagens são transmitidas torna a investigação difícil. Ela acrescentou que os dados vazados não estavam associados a contas Steam, senhas ou dados pessoais.
A Valve pede aos usuários que tratem qualquer solicitação de segurança como potencialmente suspeita e recomenda que todos verifiquem o estado de segurança de suas contas regularmente. O link para essa verificação é https://store.steampowered.com/account/authorizeddevices. Além disso, a empresa finaliza lembrando que o uso do autenticador móvel do Steam é a melhor forma de garantir a segurança da conta.
Malware já foi escondido em jogo do Steam
Esse caso não é isolado. O Steam já enfrentou situações similares, sendo uma das mais relevantes a descoberta de um jogo projetado para roubar dados dos jogadores. Em fevereiro, surgiu o PirateFi, um jogo criado com uma versão licenciada do Easy Survival RPG, que foi utilizado para extrair informações sensíveis, como senhas, cookies de sessão, dados de carteiras de criptomoedas e até capturas de tela.
Essas ocorrências ressaltam a importância da vigilância constante em relação à segurança online, especialmente em plataformas que lidam com grandes quantidades de dados pessoais.
Com informações do BleepingComputer, The Verge e XDA Developers.
