O que acabou de acontecer? As notícias circularam recentemente, indicando que detalhes de cerca de dois terços das contas a vapor vazaram na Web Dark. Sem senhas, informações de pagamento ou outros dados pessoais foram comprometidos, mas os usuários provavelmente devem começar a usar o aplicativo Mobile Authenticator do Steam, se ainda não o fizeram.
Um recente boletim de segurança a vapor confirma que os hackers acessaram números de telefone e registros de autenticação de dois fatores SMS vinculados à maioria das contas a vapor. Os sistemas internos do Steam não foram penetrados e a Valve não recomendou que os usuários alterem suas senhas. No entanto, agora é um bom momento para revisar as configurações de segurança de contas potencialmente contendo centenas ou milhares de jogos de PC.
Os dados vazados incluem códigos 2FA não criptografados, mas expirados, e os números de telefone para os quais foram enviados. No entanto, a Valve enfatizou que os números de telefone não podem ser usados para identificar contas de vapor e que nenhuma senhas foi vazada. A fonte do vazamento permanece incerta, mas é suspeito um dos serviços de terceiros que transmitem códigos SMS 2FA para os usuários.
Ontem, um suposto major @Vapor A violação de dados ocorreu, comprometendo mais de 89 milhões de registros de usuários (aproximadamente dois terços de todas as contas a vapor).
Esses conjuntos de dados estão sendo vendidos por mais de US $ 5.000 sobre o que parece ser um site semelhante a matar.
Moldado ao lado de seus sites irmãos é um…
– Mellow_online1 (@Mellowonline1) 11 de maio de 2025
Embora os códigos vazados por si só não possam conceder aos hackers acesso a contas a vapor, o incidente deve servir como um lembrete de que os códigos 2FA enviados pelo SMS são menos seguros do que os aplicativos autenticadores. Enquanto a maioria dos serviços usa autenticadores de terceiros como Authy ou Google Authenticator, a Valve emprega um sistema proprietário através do aplicativo móvel Steam. Ele transmite códigos de login temporários, lida com confirmações para ações da conta e digitaliza os códigos de login QR.
De acordo com o usuário do LinkedIn Underdark.ai, alguém se ofereceu recentemente para vender dados em 89 milhões de contas a vapor no Mippeed, um conhecido fórum da Web Dark. Depois de revisar os dados, a Valve confirmou que um serviço de terceiros que transmite códigos 2FA sobre SMS foi violado.
Embora os relatórios sugerissem inicialmente que uma conta interna do Twilio estivesse comprometida, a empresa mais tarde negou isso. Além disso, Valve disse ao grupo de segurança sentinelas da loja que o Steam não usa Twilio. Ainda assim, uma conta administrativa de um dos outros manipuladores de dados pode ter sido o vetor de ataque.
Independentemente disso, os usuários devem tomar cuidado com as comunicações suspeitas sobre suas contas a vapor. Os hackers geralmente disfarçam ataques de phishing como mensagens de suporte técnico e promoções de jogos. A válvula declara que os usuários receberão apenas comunicações relacionadas à conta que solicitaram explicitamente.
Os usuários também devem observar a atividade incomum da conta e revisar dispositivos autorizados. Embora a Valve tenha confirmado que nenhuma senhas foi acessada, pode ser um bom momento para alterar senhas antigas, começar a usar um gerenciador de senhas e verifique se você está reutilizando senhas em várias contas.
Masthead: AppShunter.io
