Gode nyheter: 89 millioner Steam-kontoer ble ikke hacket

Valve har nettopp renset luften. Etter at et viralt LinkedIn-innlegg hevdet at over 89 millioner Steam-kontoer var lekket og til salgs på det mørke nettet, begynte panikken å spre seg.

Men Valve sier at det hele er falskt.

"Vi har undersøkt lekkasjeprøven og har fastslått at dette IKKE var et brudd på Steam-systemene."

Det er rett fra Valves nye uttalelse, publisert etter en bølge av alarm drevet av Underdark.ai og plukket opp av X-brukeren Mellow_Online1. Påstandene hørtes seriøse ut - prøvedata, Telegram-kontakt, en pris på 5000 dollar - men virkeligheten? Ikke så mye.

Så hva ble lekket?

Filene som ble lekket var ikke fulle av kontoinnlogginger eller passord. De var gamle SMS-logger - nærmere bestemt tekstmeldingene som inneholder Steams engangs 2FA-koder. Du vet, de sekssifrede numrene du får når du logger inn.

Valve sier at disse kodene er:

• Bare gyldige i 15 minutter
• Ikke knyttet til kontoopplysninger, passord eller betalingsinformasjon
• Inneholder ingenting annet enn et telefonnummer

Så selv om noen fikk tilgang til disse tekstene, er de i utgangspunktet ubrukelige. Det er ingen måte å logge inn på Steam-kontoen din uten sanntidskoden og passordet ditt, og hvis en kode noen gang brukes til å endre noe viktig, sender Steam også en bekreftelse til e-posten din.

"Gamle tekstmeldinger kan ikke brukes til å bryte sikkerheten til Steam-kontoen din", understreker Valve.

Ingen grunn til panikk. Du trenger ikke å endre passord eller telefonnummer.

Valve ble aldri brutt - og det ble heller ikke Twilio

Tidligere teorier pekte fingeren mot Twilio, et selskap som er kjent for å håndtere SMS for tofaktorautentisering. Men både Valve og Twilio bekreftet at denne lekkasjen ikke hadde noe med noen av dem å gjøre.

Dataene ser ut til å ha kommet fra et sted lenger nede i SMS-leveringskjeden - en tredjepartsleverandør som håndterte meldingsleveransen. Så dette var ikke et brudd på Steam selv eller autentiseringssystemene. Det var en lekkasje av gamle leveringslogger, sannsynligvis skrapt eller skrapt brukt.

Selv om passordet ditt er trygt, er det likevel verdt å gå gjennom Steam-sikkerhetsoppsettet ditt:

• Aktiver Steam Guard Mobile Authenticator for bedre 2FA-beskyttelse.
• Gå gjennom de autoriserte enhetene dine for å sikre at det ikke finnes noe tvilsomt.
• Bruk en passordbehandler (som 1Password eller Bitwarden) for å generere unike, sikre passord.

SMS-kodene har alltid vært ment som en nødløsning. I dag er Steams mobilbaserte 2FA langt sikrere, og mye vanskeligere å avskjære eller forfalske.

Og seriøst - hvis du fortsatt skriver "dota2rocks" som passord, er det på tide å pensjonere den slemme gutten.

Husker du de tidlige svindelbotene?

Hele dette rotet vekker også minner om Steams mørkere dager i første halvdel av 2010-tallet - da handelssvindel var på full fart og roboter spammet innboksen din med tvilsomme lenker som f.eks:

"Hei, er dette din gjenstand? Sjekk stearncommunity(dot)com"

Ja, det er sant. De brukte en sleip skrivefeil - "stearn" i stedet for "steam" - og lurte tusenvis. På den tiden misbrukte svindelroboter Steams chat- og handelssystem konstant. Brukere fikk falske tilbud eller varsler, klikket på dårlige lenker og mistet tilgangen til hele lagerbeholdninger fylt med CS:GO-skinn.

Sammenlignet med den tiden føles dette falske bruddet mildt. Men det er fortsatt en påminnelse om at svindlere ikke har gått noe sted. De har bare blitt mer subtile.

Nei, 89 millioner kontoer ble ikke hacket. Nei, Steam-biblioteket ditt er ikke i fare. Men hvis dette forårsaket en liten hjertefrekvensøkning, er det kanskje signalet ditt om å dobbeltsjekke innstillingene dine og stramme opp ting.

Steam Guard. Sikre passord. Ikke klikk på tilfeldige Telegram-lenker. Du vet hva du skal gjøre.

Og hei, i det minste måtte ingen denne gangen se hele beholdningen av Doppler-kniver forsvinne inn på en svindlers konto.