Хакер под псевдонимом Machine1337 (также известный как EnergyWeaponsUser) заявил о продаже базы данных с 89 миллионами записей пользователей Steam, содержащей одноразовые коды доступа. За архив он запросил $5 000. Опасность в том, что в слитых данных присутствуют SMS-коды подтверждения, отправленные пользователям при входе в аккаунт или привязке телефона.
Информацию об утечке распространил независимый журналист MellolwOnline1, администратор сообщества SteamSentinels, которое занимается мониторингом мошенничества в экосистеме Valve. Он предполагает, что слив мог быть связан с компрометацией инфраструктуры Twilio — крупного провайдера облачных SMS-сервисов, чьи API активно используются Steam для отправки кодов двухфакторной аутентификации.
По мнению журналиста, характер логов указывает на прямой доступ к системам в реальном времени, что может говорить о взломе ключей API или административных учётных записей. Однако вскоре после его заявления представители Twilio опровергли факт утечки и заявили, что их инфраструктура не была взломана, а расследование продолжается.
На момент публикации журналисты подтвердили подлинность около 3 000 записей, содержащих SMS с кодами и номерами телефонов. Некоторые из них датированы мартом 2025 года, что говорит о свежести утечки. Но основной вопрос — откуда именно произошла компрометация остаётся без ответа. Возможно, взлом произошёл через стороннего подрядчика, работающего между Twilio и конечными сервисами вроде Steam.
Пока компания Valve никак не прокомментировала инцидент.
Как защитить свой аккаунт Steam.
- Активируйте мобильный аутентификатор Steam Guard;
- Меняйте пароль, особенно если вы получали коды входа по SMS;
- Следите за подозрительной активностью в профиле;
- Не переходите по сомнительным ссылкам, даже если они приходят от «службы поддержки».
Пока ситуация остаётся неопределённой, осторожность лучшая защита.
