[情報] Steam 8,900萬用戶帳號資料疑外洩 母公司
作者: hn9480412 (ilinker) 2025-05-16 02:33:17
Steam 8,900萬用戶帳號資料疑外洩 母公司否認系統遭駭
文/林妍溱 | 2025-05-15發表
一名駭客宣稱手中握有全球最大電玩平臺Steam 8,900萬用戶帳號相關資料,日前在暗網上公開兜售。不過持有Steam的公司Valve否認自家系統有被駭入情形。
Bleeping Computer報導,一個代號Machine1337(或稱EnergyWeaponsUser)的用戶在地下論壇兜售據稱是Steam用戶帳號密碼等資料,共有8,900萬筆。駭客也公布了3,000筆作為樣本。
媒體分析這些資料發現,這些資料包含一次性驗證碼的明碼文字簡訊,及Steam用戶手機號碼等。
持有Steam的母公司Valve經過初步檢視後發出聲明,否認自家系統遭駭。該公司指出,外洩資料中的電話號碼與Steam帳號下的資料不同。前者是較舊的文字簡訊及時效僅15分鐘的一次性驗證碼,後者包含電話號碼、密碼、支付資訊及其他資料。
Valve/Steam告知用戶,純文字簡訊無法作為帳號攻擊工具,而且若真的一次性驗證碼被用來驗證登入帳號,用戶也會收到電子郵件或Steam訊息通知。
此外,專門觀察Steam生態系活動的社群MellowOnline1指稱,導致Steam資料外洩的不是Steam系統本身,而是Steam用來發送雙因素認證(2FA)一次性驗證碼的通訊服務Twilio。Twilio為通訊服務商,其Verify API可提供傳送2FA驗證的一次性驗證碼。
MellowOnline1解釋,外洩資料除了一次性驗證碼,還包含遞送狀態、Metadata、傳送成本(routing cost),這意味著攻擊者可以存取Twilio後臺系統,這原因可能是駭入了Twilio用戶帳號、取得API金鑰,或是掌握後臺儀表板(dashboard)的直接存取權。
但Twilio公司也對Bleeping Computer否認遭駭。Twilio團隊說沒有證據顯示Twilio遭駭,且該公司檢視駭客公布的樣本後,也判斷資料並非取自Twilio的跡象。
Bleeping Computer也說無法判斷這些資料是來自2FA服務商。此外,雖然Steam方面說外洩的是較舊的文字簡訊,但Bleeping Computer分析樣本資料,也看到了不少今年3月才發送的資料。
最後Steam說用戶無需變更電話號碼或密碼,但仍建議用戶使用Steam驗證用的App來接收一次性驗證碼。
https://www.ithome.com.tw/news/168950
反正有用Steam綁2FA取得OTP基本上就沒事啦
至於Twilio除了承包2FA的API業務之外還有自己推出的2FA OTP管理APP(Authy)
文/林妍溱 | 2025-05-15發表
一名駭客宣稱手中握有全球最大電玩平臺Steam 8,900萬用戶帳號相關資料,日前在暗網上公開兜售。不過持有Steam的公司Valve否認自家系統有被駭入情形。
Bleeping Computer報導,一個代號Machine1337(或稱EnergyWeaponsUser)的用戶在地下論壇兜售據稱是Steam用戶帳號密碼等資料,共有8,900萬筆。駭客也公布了3,000筆作為樣本。
媒體分析這些資料發現,這些資料包含一次性驗證碼的明碼文字簡訊,及Steam用戶手機號碼等。
持有Steam的母公司Valve經過初步檢視後發出聲明,否認自家系統遭駭。該公司指出,外洩資料中的電話號碼與Steam帳號下的資料不同。前者是較舊的文字簡訊及時效僅15分鐘的一次性驗證碼,後者包含電話號碼、密碼、支付資訊及其他資料。
Valve/Steam告知用戶,純文字簡訊無法作為帳號攻擊工具,而且若真的一次性驗證碼被用來驗證登入帳號,用戶也會收到電子郵件或Steam訊息通知。
此外,專門觀察Steam生態系活動的社群MellowOnline1指稱,導致Steam資料外洩的不是Steam系統本身,而是Steam用來發送雙因素認證(2FA)一次性驗證碼的通訊服務Twilio。Twilio為通訊服務商,其Verify API可提供傳送2FA驗證的一次性驗證碼。
MellowOnline1解釋,外洩資料除了一次性驗證碼,還包含遞送狀態、Metadata、傳送成本(routing cost),這意味著攻擊者可以存取Twilio後臺系統,這原因可能是駭入了Twilio用戶帳號、取得API金鑰,或是掌握後臺儀表板(dashboard)的直接存取權。
但Twilio公司也對Bleeping Computer否認遭駭。Twilio團隊說沒有證據顯示Twilio遭駭,且該公司檢視駭客公布的樣本後,也判斷資料並非取自Twilio的跡象。
Bleeping Computer也說無法判斷這些資料是來自2FA服務商。此外,雖然Steam方面說外洩的是較舊的文字簡訊,但Bleeping Computer分析樣本資料,也看到了不少今年3月才發送的資料。
最後Steam說用戶無需變更電話號碼或密碼,但仍建議用戶使用Steam驗證用的App來接收一次性驗證碼。
https://www.ithome.com.tw/news/168950
反正有用Steam綁2FA取得OTP基本上就沒事啦
至於Twilio除了承包2FA的API業務之外還有自己推出的2FA OTP管理APP(Authy)
作者: iampig951753 (姆沙咪豬) 2025-05-16 02:49:00
怕
作者: n3688 (none) 2025-05-16 02:52:00
幸好我個資早獻給epic換遊戲
作者: syldsk (Iluvia) 2025-05-16 03:32:00
第一次看到假新聞完全沒引起恐慌超廢
作者: c52chungyuny (PiPiDa) 2025-07-19 00:32:00
Intel跟AMD差別就在於利潤好幾萬還供不應求vs. 利潤微薄供不應求
作者: aaaaooo (路過鄉民) 2025-05-16 09:21:00
畢竟用戶忠誠度高
作者: a36772004 2025-05-16 09:26:00
這輩子不信誰都好 就是得信G胖
