Hyviä uutisia: 89 miljoonaa Steam-tiliä ei hakkeroitu

Valve puhdisti juuri ilmaa. Sen jälkeen, kun LinkedInissä levinnyt viesti väitti, että yli 89 miljoonaa Steam-tiliä oli vuotanut ja myytävänä pimeässä verkossa, paniikki alkoi levitä.

Valve kuitenkin sanoo, että kaikki on väärin.

"Olemme tutkineet vuotoesimerkin ja todenneet, että kyseessä EI ollut Steam-järjestelmien rikkominen."

Tämä on suoraan Valven uudesta lausunnosta, joka julkaistiin Underdark.ai:n lietsoman ja X-käyttäjä Mellow_Online1:n poimiman hälytysaallon jälkeen. Väitteet kuulostivat vakavilta - näytetiedot, Telegram-yhteys, 5 000 dollarin hintapyyntö - mutta todellisuus? Ei niinkään.

Mitä siis vuoti?

Kierroksilla olleet tiedostot eivät olleet täynnä tilitunnuksia tai salasanoja. Ne olivat vanhoja tekstiviestilokeja - tarkemmin sanottuna tekstiviestejä, jotka sisälsivät Steamin kertakäyttöiset 2FA-koodit. Tiedäthän, ne kuusinumeroiset numerot, jotka saat kirjautuessasi sisään.

Valve sanoo, että nämä koodit ovat:

• Voimassa vain 15 minuuttia
• Ei sidottu tilitietoihin, salasanoihin tai maksutietoihin.
• Sisältävät ainoastaan puhelinnumeron

Joten vaikka joku pääsisi käsiksi näihin teksteihin, ne ovat periaatteessa hyödyttömiä. Steam-tilillesi ei pääse kirjautumaan ilman reaaliaikaista koodia ja salasanaa, ja jos koodia joskus käytetään jonkin tärkeän asian muuttamiseen, Steam lähettää myös vahvistuksen sähköpostiisi.

"Vanhoja tekstiviestejä ei voi käyttää Steam-tilisi turvallisuuden rikkomiseen", Valve korostaa.

Ei syytä paniikkiin. Ei tarvitse vaihtaa salasanaa tai puhelinnumeroa.

Valveen ei koskaan murtauduttu - eikä myöskään Twilioon

Aiemmat teoriat osoittivat sormella Twilioa, joka on tunnettu tekstiviestien käsittelystä kaksitekijätodennusta varten. Mutta sekä Valve että Twilio vahvistivat, ettei vuodolla ollut mitään tekemistä kummankaan kanssa.

Tiedot näyttävät tulleen jostain kauempaa tekstiviestien toimitusketjusta - kolmannen osapuolen toimittajalta, joka hoiti viestien toimituksen. Kyse ei siis ollut Steamin itsensä tai sen tunnistusjärjestelmien rikkomisesta. Kyseessä oli vanhojen toimituslokien vuoto, joka oli luultavasti raaputettu tai raaputettu toisesta kädestä.

Vaikka salasanasi olisi turvallinen, kannattaa silti tarkistaa Steam-turva-asetukset:

• Ota Steam Guard Mobile Authenticator käyttöön parempaa 2FA-suojausta varten.
• Tarkista valtuutetut laitteesi varmistaaksesi, ettei niissä ole mitään hämärää.
• Käytä salasanahallintaohjelmaa (kuten 1Password tai Bitwarden) luodaksesi yksilöllisiä, turvallisia salasanoja.

Nuo tekstiviestikoodit oli aina tarkoitettu väliaikaisiksi. Nykyään Steamin mobiilipohjainen 2FA on paljon turvallisempi, ja sitä on paljon vaikeampi siepata tai väärentää.

Ja vakavasti - jos kirjoitat yhä salasanaksi "dota2rocks", on aika laittaa se pois käytöstä.

Muistatko varhaiset huijausbotit?

Tämä koko sotku tuo myös mieleen muistoja Steamin synkemmiltä ajoilta 2010-luvun alkupuoliskolla - silloin kun kaupalliset huijaukset rehottivat ja botit roskapostittivat postilaatikkoosi hämäräperäisiä linkkejä, kuten esim:

"Hei, onko tämä sinun esineesi? Tarkista stearncommunity(piste)com"

Joo. He käyttivät ovelaa kirjoitustapaa - "stearn" eikä "steam" - ja huijasivat tuhansia. Silloin huijausbotit käyttivät Steamin chat- ja kaupankäyntijärjestelmää jatkuvasti väärin. Käyttäjät saivat väärennettyjä tarjouksia tai hälytyksiä, napsauttivat huonoja linkkejä ja menettivät pääsyn CS:GO-skinejä täynnä oleviin varastoihin.

Tuohon aikakauteen verrattuna tämä väärennösrikkomus tuntuu lievältä. Mutta se on silti muistutus siitä, että huijarit eivät ole hävinneet minnekään. Heistä on vain tullut hienovaraisempia.

Ei, 89 miljoonaa tiliä ei hakkeroitu. Ei, Steam-kirjastosi ei ole vaarassa. Mutta jos tämä aiheutti pientä sykkeen nousua, ehkä se on merkkinä sille, että sinun kannattaa tarkistaa asetukset ja tiukentaa asioita.

Steam Guard. Turvalliset salasanat. Ei klikkailla satunnaisia Telegram-linkkejä. Tiedät kyllä, miten homma toimii.

Ja hei, ainakaan tällä kertaa kenenkään ei tarvinnut katsoa, kun koko Doppler-veitsivarasto katosi huijarin tilille.