Steam
一名骇客宣称手中握有全球最大电玩平台Steam 8,900万用户帐号相关资料,日前在暗网上公开兜售。不过持有Steam的公司Valve否认自家系统有被骇入情形。
Bleeping Computer报导,一个代号Machine1337(或称EnergyWeaponsUser)的用户在地下论坛兜售据称是Steam用户帐号密码等资料,共有8,900万笔。骇客也公布了3,000笔作为样本。
媒体分析这些资料发现,这些资料包含一次性验证码的明码文字简讯,及Steam用户手机号码等。
持有Steam的母公司Valve经过初步检视后发出声明,否认自家系统遭骇。该公司指出,外泄资料中的电话号码与Steam帐号下的资料不同。前者是较旧的文字简讯及时效仅15分钟的一次性验证码,后者包含电话号码、密码、支付资讯及其他资料。
Valve/Steam告知用户,纯文字简讯无法作为帐号攻击工具,而且若真的一次性验证码被用来验证登入帐号,用户也会收到电子邮件或Steam讯息通知。
此外,专门观察Steam生态系活动的社群MellowOnline1指称,导致Steam资料外泄的不是Steam系统本身,而是Steam用来发送双因素认证(2FA)一次性验证码的通讯服务Twilio。Twilio为通讯服务商,其Verify API可提供传送2FA验证的一次性验证码。
MellowOnline1解释,外泄资料除了一次性验证码,还包含递送状态、Metadata、传送成本(routing cost),这意味著攻击者可以存取Twilio后台系统,这原因可能是骇入了Twilio用户帐号、取得API金钥,或是掌握后台仪表板(dashboard)的直接存取权。
但Twilio公司也对Bleeping Computer否认遭骇。Twilio团队说没有证据显示Twilio遭骇,且该公司检视骇客公布的样本后,也判断资料并非取自Twilio的迹象。
Bleeping Computer也说无法判断这些资料是来自2FA服务商。此外,虽然Steam方面说外泄的是较旧的文字简讯,但Bleeping Computer分析样本资料,也看到了不少今年3月才发送的资料。
最后Steam说用户无需变更电话号码或密码,但仍建议用户使用Steam验证用的App来接收一次性验证码。