Steam zhakowany? Niekoniecznie, ale warto zachować ostrożność

Zdjęcie: Matt Cardy

Panika wśród wielu użytkowników największej platformy sprzedaży gier na PC.
Rzekomo haker przejął dane około 89 milionów kont — czyli 2/3
zarejestrowanych kont na platformie.

Złota kura Valve mogła paść ofiarą najpoważniejszego włamania w swojej historii.
Tak przynajmniej twierdzi firma Underdark.ai na LinkedIn, a także domniemany
sprawca, użytkownik o pseudonimie Machine1337, który na mało znanym forum
wystawił na sprzedaż bazę danych zawierającą 89 milionów kont, które rzekomo
wykradł amerykańskiemu gigantowi. Ale czy to prawda, czy tylko fałszywy alarm?
Sprawa jest bardziej złożona, niż się wydaje, a na chwilę obecną nie ma powodów do paniki.

To nie Valve zostało zhackowane

Jak donosi specjalistyczny portal Bleeping Computer, wiele szczegółów w historii
Machine1337 się nie zgadza. Choć haker twierdzi, że posiada dane pochodzące ze
Steam, to w rzeczywistości ofiara miał być zewnętrzny usługodawca współpracujący
z Valve — konkretnie firma obsługująca wysyłkę SMS-ów do weryfikacji
dwuetapowej, czyli Twilio. Jednak po przeprowadzeniu dochodzenia, przedstawiciel
Twilio przekazał Bleeping Computer, że „nie istnieją żadne dowody na to, iż Twilio
zostało zhackowane”.

Jedno jest pewne: z analizy próbki danych, do której dotarł Bleeping Computer,
wynika, że dotyczą one rzeczywiście systemu weryfikacji dwuetapowej, ale nie
samych kont Steam jako takich. Znaleziono głównie jednorazowe kody weryfikacyjne
przypisane do numerów telefonów. W obecnej formie są one mało przydatne dla cyberprzestępców.

Co więcej, Valve do tej pory nie skomentowało rzekomego ataku, co sugeruje, że ani
jego serwery nie zostały naruszone, ani incydent — jeśli w ogóle miał miejsce — nie
jest szczególnie poważny.

Wniosek? Porzućcie weryfikację SMS-ową

Sprawa nadal się rozwija. Ale na ten moment nic nie wskazuje, byście musieli się
martwić o swoje konto Steam, które być może właśnie dziś umożliwi grę w nową
odsłonę DOOM: The Dark Ages. Warto jednak skorzystać z okazji aby zmienić hasło
— szczególnie jeśli używacie tego samego w innych miejscach.

Przy okazji rozważcie także przejście na weryfikację dwuetapową przez Steam
Guard, zamiast SMS-ów. Nawet jeśli Twilio rzeczywiście zostało zhackowane, to i
tak tylko kolejny przykład na to, że SMS-y nie są bezpieczną metodą. Steam Guard
jest zarówno bezpieczniejszy, jak i szybszy: każda nowa próba logowania z
nieznanego urządzenia wymaga zeskanowania kodu QR za pomocą aplikacji Steam
na smartphonie.

Aplikacja jest dostępna zarówno na systemy iOS i Androida i pozwala także na
przeglądanie historii logowań oraz unieważnienie tych, które już nie są potrzebne.