Valve是一家美国电子游戏开发商、发行商和数字发行公司,总部位于华盛顿州贝尔维尤。该公司开发了数字发行平台Steam,并创建了《战斗时空》《绝对力》《输送门》《决定性胜利的日子》《绝地要塞》《邪恶的精神力量》和《 DOTA 2 》和其他著名的游戏系列,Valve由微软前员工Gabe Newell和Mike Harrington于1996年成立。
Valve的Steam平台于2003年推出,如今已成为网络上最受欢迎的电子游戏发行平台,Steam最近同时在线用户数量首次突破4000万。多年来,尽管其他服务曾试图取代这家PC游戏巨头,但均未成功。Steam已成为大多数玩家整理游戏库、与好友社交的首选平台。尽管取得了巨大的成功,但Steam的发展并非一帆风顺,Steam近期取得的里程碑式成就目前正被一个可能威胁数百万用户的安全问题所掩盖。
近日,一个名为Machine1337的威胁行为者在一个知名暗网论坛上发帖,声称已入侵Steam,并以5000美元的价格出售包含超过8900万条Steam用户帐户记录的数据集,这些数据包括电话号码、用户记录、一次性访问代码、短信日志等等。以色列网络安全公司Underdark AI的LinkedIn帖子首先报道了泄密的事件,随后独立游戏记者MellowOnline对此进行了重点报道。
该暗网的帖子包含以下内容:一个用于购买的Telegram联系方式以及一个托管在Gofile上的样本数据链接,同时提及内部供应商数据,表明拥有更深层次的访问权限。
如果Steam背后的Valve公司的内部网络被黑客渗透,那此事将影响深远——因为Steam不仅仅是一个游戏平台,它也是一个与全球用户相关的个人和财务数据的宝库。如果此次数据泄露得到证实,可能会导致整个游戏社区出现大规模的网络钓鱼、账户劫持和定向攻击。
Valve在一篇简短但坚定的帖子中表示,已经检查了泄露的数据,并确认 Steam 的系统没有被攻破,用户不需要更改密码或电话号码。
多年来,Valve公司一直致力于加强游戏市场的安全性,但玩家们最好尽快更改Steam密码,以确保个人信息得到妥善保护。在分析卖家提供的样本后,网络安全专家认为用户会处于网络钓鱼或会话劫持的危险之中,建议玩家们立即采取行动保护自己的信息与游戏账号:
- 启用双重身份验证
- 监控电子邮箱中是否存在可疑活动
- 更改自己的Steam密码(以及其他重复使用的密码)
- 谨防伪装成游戏促销或客服信息的网络钓鱼攻击
据网络安全专家分析,新证据证实,泄露的样本包含通过第三方短信路由的实时双重身份验证短信日志。“暗网下/AWX”下载样本数据分析后,发现这些数据包括消息内容、传递状态、元数据和短信路由成本,从而表明入侵者访问的是供应商后台或者API,而不是直接访问Steam。这进一步证实了并非Steam自身漏洞造成的数据泄露,而是第三方短信服务商的漏洞,证明这又是一起针对供应链的攻击。
对此Steam发布简要说明《关于您的Steam帐户安全性的说明》,强调最近报道的泄漏并没有破坏Steam系统:
您可能已经看到过一些报告,称之前发送给 Steam 用户的旧短信被泄露。我们已检查了泄露的样本,并确认 这并非 Steam 系统漏洞。
我们仍在深入调查泄密的源头,因为所有短信在传输过程中都未加密,并且在发送到您的手机的途中要经过多个提供商,这使得泄密的源头变得更加复杂。
此次泄露的数据包括一些较旧的短信,其中包含仅在 15 分钟内有效的一次性验证码以及接收验证码的电话号码。泄露的数据并未将这些电话号码与 Steam 账户、密码信息、支付信息或其他个人数据关联。旧短信无法用于破坏您的 Steam 账户安全,并且每当有人使用验证码通过短信更改您的 Steam 邮箱或密码时,您都会收到一封电子邮件和/或 Steam 安全短信的确认信息。
您无需因此次事件而更改密码或电话号码。提醒您,任何您未明确请求的账户安全信息都应视为可疑信息。我们建议您定期检查您的 Steam 账户安全,并随时
https://store.steampowered.com/account/authorizeddevices
如果您还没有设置 Steam 移动身份验证器,我们还建议您设置它,因为它为我们提供了发送有关您的帐户和帐户安全的安全消息的最佳方式。