Des millions de messages texte de la plate-forme Steam ont récemment circulé sur Internet. Les messages incluent les codes de vérification jetables que les utilisateurs reçoivent pendant l'entrée et les numéros de téléphone où ces codes sont envoyés. La fuite, qui a été annoncée pour la première fois par BleepingComputer, a suscité un grand impact dans les milieux de sécurité. Cependant, les déclarations faites à partir du front de la valve révèlent que la situation ne menace pas directement la sécurité des utilisateurs.
Les données divulguées ne contiennent pas d'informations à la date ou valides. Valve a déclaré que ces messages étaient anciens et chacun n'a qu'une période de validité de 15 minutes. De plus, l'absence d'un appariement direct entre les numéros de téléphone et les comptes d'utilisateurs rend l'effet limité. Il ne semble pas techniquement possible d'accéder à un compte d'utilisateur via de tels messages.
La personne qui a mis en place la base de données à vendre a annoncé la taille de la fuite à 89 millions d'enregistrements. Ce package de données essaie d'être vendu dans des environnements en ligne pour 5 000 $ (environ 193 800 TL). Cependant, il n'y a aucune information définie sur la façon dont un nombre aussi élevé de dossiers se réunisse et à partir de laquelle la source est collectée. Valve dit que les enquêtes sur l'incident se poursuivent.
La source de la fuite est inconnue mais la connexion Twilio a été refusée
Twilio, l'une des sources possibles, a également montré une attitude claire envers les allégations. Porte-parole de Twilio, examinant les exemples de leurs mains et il n'y a aucun signe que ces données ont fui de leurs systèmes, a-t-il déclaré. Valve a fait une déclaration qui soutient cette évaluation et a souligné que la société n'a pas utilisé de services Twilio pour l'envoi de SMS. Ainsi, un scénario d'infiltration lié à Twilio a été largement exclu.
Aucun des messages divulgués ne contient le nom d'utilisateur, le mot de passe, les informations de paiement ou les données personnelles directement. Cependant, le fait que les numéros de téléphone aient infiltré l'externalisation est un problème qui doit être soigneusement géré en termes de confidentialité des utilisateurs. Surtout dans cette période de menaces en ligne, même des données telles que le numéro de téléphone peuvent provoquer des faiblesses indirectement de sécurité. Valve indique qu'il n'y a aucune situation qui oblige les utilisateurs à s'inquiéter.
Selon la déclaration de la société, lorsqu'un changement de messagerie ou de mot de passe est demandé via SMS, une approbation supplémentaire est demandée par e-mail et des messages sûrs via Steam. Grâce à cette approche de vérification multi-réparties, un code est empêché d'abus. Dans tous les cas, il est conseillé aux utilisateurs d'activer l'application Steam Mobile Authenticator pour une expérience plus sûre.
Il n'est pas clair quand et comment les données sont collectées. Cependant, le fait que le contenu des SMS soit largement ancien montre que la fuite n'est pas due à un déficit actuel du système. D'un autre côté, cela indique que ces données dans les canaux en ligne transportent toujours une valeur commerciale et que la sécurité des utilisateurs doit être protégée en continu. La valve indique que les mesures systémiques contre de tels événements ont longtemps été actives.
Un autre élément remarquable de l'événement en question est de savoir pourquoi des données aussi importantes n'ont pas émergé jusqu'à présent. Si les données appartiennent à des années, la question de savoir pourquoi cette fuite est maintenant sans réponse. En plus de tout cela, l'annonce de Valve à un stade précoce montre que l'entreprise priorise la sécurité des utilisateurs. Néanmoins, il est important pour les utilisateurs de plate-forme numérique de maintenir leurs habitudes de sécurité de base.
Les utilisateurs avec un compte Steam n'ont pas besoin de modifier le mot de passe ou le numéro de téléphone à ce stade. Cependant, l'activation de couches de sécurité supplémentaires est toujours utile pour prévenir les risques possibles. À la lumière de toutes ces informations, on peut dire qu'il n'y a aucune menace qui affecte directement les comptes d'utilisateurs malgré la taille de l'événement. Valve vise à révéler la source complète de la fuite en maintenant la recherche.
