[情報] Steam 8,900萬用戶帳號資料疑外洩 母公司
Steam 8,900萬用戶帳號資料疑外洩 母公司否認系統遭駭
文/林妍溱 | 2025-05-15發表
一名駭客宣稱手中握有全球最大電玩平臺Steam 8,900萬用戶帳號相關資料,日前在暗網上公開兜售。不過持有Steam的公司Valve否認自家系統有被駭入情形。
Bleeping Computer報導,一個代號Machine1337(或稱EnergyWeaponsUser)的用戶在地下論壇兜售據稱是Steam用戶帳號密碼等資料,共有8,900萬筆。駭客也公布了3,000筆作為樣本。
媒體分析這些資料發現,這些資料包含一次性驗證碼的明碼文字簡訊,及Steam用戶手機號碼等。
持有Steam的母公司Valve經過初步檢視後發出聲明,否認自家系統遭駭。該公司指出,外洩資料中的電話號碼與Steam帳號下的資料不同。前者是較舊的文字簡訊及時效僅15分鐘的一次性驗證碼,後者包含電話號碼、密碼、支付資訊及其他資料。
Valve/Steam告知用戶,純文字簡訊無法作為帳號攻擊工具,而且若真的一次性驗證碼被用來驗證登入帳號,用戶也會收到電子郵件或Steam訊息通知。
此外,專門觀察Steam生態系活動的社群MellowOnline1指稱,導致Steam資料外洩的不是Steam系統本身,而是Steam用來發送雙因素認證(2FA)一次性驗證碼的通訊服務Twilio。Twilio為通訊服務商,其Verify API可提供傳送2FA驗證的一次性驗證碼。
MellowOnline1解釋,外洩資料除了一次性驗證碼,還包含遞送狀態、Metadata、傳送成本(routing cost),這意味著攻擊者可以存取Twilio後臺系統,這原因可能是駭入了Twilio用戶帳號、取得API金鑰,或是掌握後臺儀表板(dashboard)的直接存取權。
但Twilio公司也對Bleeping Computer否認遭駭。Twilio團隊說沒有證據顯示Twilio遭駭,且該公司檢視駭客公布的樣本後,也判斷資料並非取自Twilio的跡象。
Bleeping Computer也說無法判斷這些資料是來自2FA服務商。此外,雖然Steam方面說外洩的是較舊的文字簡訊,但Bleeping Computer分析樣本資料,也看到了不少今年3月才發送的資料。
最後Steam說用戶無需變更電話號碼或密碼,但仍建議用戶使用Steam驗證用的App來接收一次性驗證碼。
https://www.ithome.com.tw/news/168950
反正有用Steam綁2FA取得OTP基本上就沒事啦
至於Twilio除了承包2FA的API業務之外還有自己推出的2FA OTP管理APP(Authy)
--
作者 KotoriCute (Lovelive!) 看板 PC_Shopping
標題 [情報] Skylake-X備貨捉急:居然不能如數交付
時間 Wed Jul 19 00:23:39 2017
推
07/19 00:32,
07/19 00:32
→
07/19 00:32,
07/19 00:32
推
07/19 00:35,
07/19 00:35
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.125.187.40 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1747334000.A.2E8.html
※ 編輯: hn9480412 (59.125.187.40 臺灣), 05/16/2025 02:35:11
→
05/16 02:49,
4小時前
, 1F
05/16 02:49, 1F
推
05/16 02:52,
4小時前
, 2F
05/16 02:52, 2F
→
05/16 03:32,
3小時前
, 3F
05/16 03:32, 3F
C_Chat 近期熱門文章
PTT動漫區 即時熱門文章
3
10
