Hacker diz ter dados de 89 milhões de contas da Steam; empresa de SMS nega invasão

A loja digital e plataforma de games Steam pode ter sido vítima de um roubo massivo de informações de usuários. A situação ainda não foi totalmente detalhada e há muitas suspeitas da veracidade do ocorrido, mas o caso pode envolver um serviço intermediário utilizado pela companhia.

De acordo com o site Bleeping Computer, um usuário conhecido como Machine1337 publicou um suposto pacote de informações da Steam em um fórum da dark web, normalmente usado para negociação de dados extraídos em invasões de sistemas. Os primeiros detalhes do caso surgiram em um post de uma companhia de cibersegurança no LinkedIn.

A pessoa responsável pela publicação pede um pagamento de US$ 5 mil (cerca de R$ 28 mil em conversão direta de moeda) para liberar todo o conteúdo, que incluiria detalhes de 89 milhões de usuários do serviço. Interessados podem conferir ainda uma amostra de 3 mil linhas, que dá uma prévia do que foi coletado para justificar a compra dos dados.

Quais dados teriam vazado exatamente?

De acordo com análises iniciais das amostas, as informações contidas no pacote de dados incluem os seguintes detalhes:

• número de telefone do usuário;
• códigos de verificação de dois fatores (two-factor authentication, ou 2FA) enviados por SMS por uma plataforma chamada Twilio;
• outros metadados de sessões de acesso não detalhados;

Os códigos de verificação de dois fatores são sequências de acesso único e prazo de validade, que servem como uma camada adicional de segurança no momento do login. Em outras palavras, caso não tenham sido obtidos quase em tempo real e usados para tentar entrar em uma conta, esses códigos não teriam utilidade prática para permitir invasões futuras.

Porém, detalhes como o número telefônico do usuário vinculado a uma conta e o fato de que ele utiliza mensagens de texto no celular como mecanismo de verificação em dois fatores podem ser usados em fraudes. Neste caso, o ideal é trocar a forma de verificação para uma alternativa mais segura — o próprio Steam Guard oferece uma alternativa de login protegido usando o aplicativo do serviço para dispositivos móveis, enquanto o SMS tende a ser uma das formas mais inseguras para isso. 

O motivo é a facilidade em interceptar esse tipo de envio, que usa uma rede de telefonia menos protegida do que canais mais específicos de comunicação, como um app ou a tela do seu celular.

Por via das dúvidas, mesmo sem indícios de que senhas foram obtidas na suposta invasão, é recomendável também que você troque o seu código de acesso ao Steam e não use uma senha que já foi repetida em outros serviços, como aplicativos e redes sociais. Além disso, caso a sua conta não tenha a verificação em dois fatores ativada, agora é um bom momento para fazer isso.

O que dizem as empresas envolvidas

Até o momento, a Valve, empresa dona da plataforma Steam, não se manifestou oficialmente sobre o suposto vazamento. Já a Twilio, citada na postagem inicial da denúncia como a possível companhia que teve os serviços comprometidos, se manifestou por meio de uma nota enviada ao Bleeping Computer.

“Não há qualquer evidência que sugira que a Twilio foi invadida. Nós revisamos a amostra dos dados encontrados online e não vimos qualquer indicativo de que essas informações foram obtidas da Twilio”, diz o porta-voz. O jornalista responsável conhecido como Mellow_Online1, responsável pelo grupo Sentinels of the Store, disse que foi contatado por um representante da Valve. A pessoa informou que a empresa nem sequer utiliza o serviço citado.

Mesmo com informações ainda vagas e sem a confirmação da veracidade do hack, o vazamento pode ter ocorrido por meio de uma intermediária ou terceirizada que realiza a entrega do código de verificação via SMS. Até o momento de publicação desta matéria, porém, esse nome não foi identificado e a postagem com os dados supostamente obtidos e à venda segue no ar.

Curte o tema e quer continuar informado sobre vazamentos e outras questões relacionadas com cibersegurança? Fique ligado na seção de Segurança no site do TecMundo!