一名黑客宣称手中握有全球最大电玩平台Steam 8,900万用户账号相关数据,日前在暗网上公开兜售。不过持有Steam的公司Valve否认自家系统有被黑入情形。
Bleeping Computer报道,一个代号Machine1337(或称EnergyWeaponsUser)的用户当地下论坛兜售据称是Steam用户账号密码等数据,共有8,900万笔。黑客也公布了3,000笔作为样本。
媒体分析这些数据发现,这些数据包含一次性验证码的明文文本短信,及Steam用户手机号码等。
持有Steam的母公司Valve经过初步查看后发出声明,否认自家系统遭黑。该公司指出,外流数据中的电话号码与Steam账号下的数据不同。前者是较旧的文本短信及时效仅15分钟的一次性验证码,后者包含电话号码、密码、支付资讯及其他数据。
Valve/Steam告知用户,纯文本短信无法作为账号攻击工具,而且若真的一次性验证码被用来验证登录账号,用户也会收到电子邮件或Steam消息通知。
此外,专门观察Steam生态系活动的社交媒体MellowOnline1指称,导致Steam数据外流的不是Steam系统本身,而是Steam用来发送双因素认证(2FA)一次性验证码的通信服务Twilio。Twilio为通信服务商,其Verify API可提供发送2FA验证的一次性验证码。
MellowOnline1解释,外流数据除了一次性验证码,还包含传送状态、Metadata、发送成本(routing cost),这意味着攻击者可以访问Twilio后台系统,这原因可能是黑入了Twilio用户账号、取得API密钥,或是掌握后台仪表板(dashboard)的直接访问权。
但Twilio公司也对Bleeping Computer否认遭黑。Twilio团队说没有证据显示Twilio遭黑,且该公司查看黑客公布的样本后,也判断数据并非取自Twilio的迹象。
Bleeping Computer也说无法判断这些数据是来自2FA服务商。此外,虽然Steam方面说外流的是较旧的文本短信,但Bleeping Computer分析样本数据,也看到了不少今年3月才发送的数据。
最后Steam说用户无需变更电话号码或密码,但仍建议用户使用Steam验证用的App来接收一次性验证码。
