Пользователь под псевдонимом Machine1337 заявил о продаже базы данных с кодами подтверждения для входа в Steam. Предполагается, что источником утечки могла стать компания Twilio, однако она отрицает компрометацию своей инфраструктуры.
На одном из хакерских форумов появился пост от пользователя Machine1337 (он же EnergyWeaponsUser), который предлагает за $5 000 архив с более чем 89 миллионами одноразовых кодов доступа пользователей Steam. По его утверждению, в базе содержатся лог-записи с кодами, которые отправлялись по SMS для входа в аккаунт или привязки номера телефона, сообщает SecurityLab.
Информацией заинтересовался независимый журналист и администратор сообщества SteamSentinels, известный под ником MellolwOnline1. Он предполагает, что утечка может быть связана с взломом инфраструктуры Twilio — крупного поставщика облачных коммуникационных сервисов, чьи API широко используются для доставки SMS-кодов двухфакторной аутентификации. По его словам, формат логов в слитых данных соответствует внутренней структуре Twilio, а характер утечки указывает на возможный взлом административной учётной записи или компрометацию API-ключей.
Однако вскоре после публикации этих предположений компания Twilio заявила, что не обнаружила признаков компрометации своих систем. Специалисты проанализировали образцы слитых данных и не нашли доказательств, что они были получены через инфраструктуру компании. При этом в Twilio подчёркивают, что расследование продолжается.
Компания Valve, владеющая Steam, ситуацию пока не прокомментировала.
На данный момент в открытом доступе подтверждено наличие около 3 000 строк данных. В них содержатся номера телефонов и текстовые сообщения с кодами от Steam. Некоторые записи датированы мартом 2025 года, что свидетельствует о свежести информации.
Эксперты не исключают, что утечка могла произойти через стороннего поставщика SMS-услуг, который сотрудничает с Twilio и выступает промежуточным звеном между сервисом и конечным пользователем.
Рекомендации пользователям Steam:
- Включите мобильный аутентификатор Steam Guard.
- Проверяйте историю активности в учётной записи.
- Не сообщайте коды из SMS никому, даже если сообщение выглядит как официальное.
