Valve zapewnia, że niedawny wyciek danych ze Steama nie jest powodem do obaw

Wychodzi na to, że naprawdę pokaźna liczba danych dotyczących użytkowników Steama trafiła na sprzedaż i nikt nie wie, w jaki sposób złodziej położył na nich ręce. Początkowo winą za zaistniałą sytuację starano się obarczyć Valve, aczkolwiek przedsiębiorstwo zaprzeczyło, jakoby informacje zostały wykradzione z serwerów giganta. Drugą w kolejce do miana kozła ofiarnego była firma Twilio, która podobno odpowiada za proces weryfikacji dwuetapowej na Steamie (co okazało się nieprawdą), ale i ona zaprzeczyła, jakoby miała cokolwiek wspólnego z wyciekiem. Gdzie więc należy szukać winnych?

Jak podaje serwis XDA Developers, zbiór danych zawierający numery telefonów, metadane tekstowe oraz stare kody do weryfikacji dwuetapowej, trafił w niepowołane ręce, a jego obecny właściciel, kryjący się za pseudonimem Machine1337, oferuje sprzedaż plików w "okazyjnej" cenie 5000 dolarów. Wychodzi jednak na to, że pozyskane przez niego informacje mogą nie być warte funta kłaków.

Valve opublikowało dzisiaj notkę, w której poinformowało, że uważnie prześledziło próbkę wykradzionych danych i może z całą pewnością stwierdzić, że nie doszło do naruszenia bezpieczeństwa systemów Steam. Mimo wszystko Gabe Newell i spółka wciąż pracują nad odnalezieniem źródłem wycieku, a zadanie to nie należy do najprostszych ze względu na fakt, że "wszystkie wiadomości SMS są przesyłane w formie niezaszyfrowanej i kierowane przez wielu dostawców" w drodze do telefonów użytkowników serwisu.

Potwierdzono, że wyciek rzeczywiście obejmował numery telefonów, na które wysyłane były kody do weryfikacji dwuetapowej, acz nie były one powiązane z informacjami nt. konkretnych kont na Steamie, wliczając w to hasła, dane płatnicze lub osobowe. Prócz tego w opublikowanej próbce odkryto stare, jednorazowe kody o 15-minutowym czasie ważności, które nie mogą zostać wykorzystane do złamania zabezpieczeń i zalogowania się na cudze konto. Zaznaczono przy tym, że za każdym razem, gdy taki kod jest wykorzystywany do zmiany adresu e-mail lub hasła przypisanego do naszego profilu na Steamie, otrzymamy stosowne powiadomienie za pośrednictwem maila lub komunikatu z aplikacji.

Co jednak najważniejsze – poinformowano, że w wyniku zajścia, które wywołało wczoraj niemałe poruszenie, nie musimy martwić się o bezpieczeństwo naszego konta i powiązanych z nim danych, w związku z czym nie ma również potrzeby pilnej zmiany hasła oraz przypisanego numeru telefonu. Oczywiście i tak możemy to profilaktycznie zrobić, niemniej jeśli się od tego wstrzymamy, nic złego stać się nie powinno.

Na koniec Valve wystosowało dwie porady. Pierwsza z nich dotyczy regularnego sprawdzania bezpieczeństwa naszego konta Steam, co też możemy uczynić pod niniejszym adresem. Druga wskazówka odnosi się zaś do systemu Mobilnej Autoryzacji Steam, a twórcy platformy gorącą zachęcają do tego, aby zacząć z niej korzystać, jeśli jeszcze tego nie robimy.