Компания Twilio заявила, что ее системы не были взломаны, несмотря на заявления хакера, утверждающего, что он получил более 89 миллионов записей пользователей Steam с одноразовыми кодами доступа.
Хакер под псевдонимом Machine1337 опубликовал объявление о продаже якобы украденных данных со Steam за 5000 долларов.
В утекших 3000 записях содержались исторические SMS-сообщения с одноразовыми кодами Steam, включая номера телефонов получателей.
Steam, крупнейшая в мире цифровая платформа для ПК-игр (принадлежит Valve) с более чем 120 миллионами активных пользователей в месяц, не дала комментариев по поводу инцидента.
Независимый журналист и основатель сообщества SteamSentinels MellowOnline1 предполагает, что произошла компрометация цепочки поставок, в которую вовлечен Twilio. По его словам, в утечке содержатся технические данные, указывающие на реальные лог-записи SMS из внутренних систем Twilio, что может быть результатом взлома аккаунта администратора или злоупотребления API-ключами.
Twilio — облачный провайдер коммуникационных сервисов, предоставляющий API для отправки SMS, голосовых вызовов и сообщений для двухфакторной аутентификации, широко используемый приложениями, такими как Steam.
Представитель Twilio подтвердил, что компания проводит расследование:
Twilio очень серьезно относится к подобным угрозам и в настоящее время изучает инцидент. Мы предоставим дополнительную информацию, как только она станет доступна
Позже компания Twilio выпустила отдельное заявление, в котором уточнила, что не нашла признаков взлома своих систем:
Не найдено никаких доказательств того, что Twilio была взломана. Мы проанализировали часть опубликованных данных и не обнаружили признаков того, что они были получены из Twilio.
Один из возможных источников данных — утечка у стороннего SMS-провайдера, через которого могли проходить сообщения между Twilio и пользователями Steam.
Некоторые сообщения действительно содержали коды подтверждения для входа в аккаунт или привязки номера телефона. Пока не удалось установить, откуда именно произошла утечка.
Стоит отметить, что часть данных достаточно свежая — многие сообщения датированы началом марта.
Twilio предлагает продукт для двухфакторной аутентификации под названием Verify API, который может использоваться через различные каналы — SMS, WhatsApp, голос, email, ключи доступа, push-уведомления и др.
Рекомендация для пользователей Steam: включите Steam Guard Mobile Authenticator и внимательно следите за активностью аккаунта, чтобы защититься от возможного несанкционированного доступа.
Угрозы безопасности
• Утечка кодов 2FA от Steam: Twilio отрицает взлом и подозревает стороннего провайдера
• Новая уязвимость Branch Privilege Injection в процессорах Intel угрожает безопасности данных ядра
• Критическая уязвимость в ASUS DriverHub: вредоносные сайты могли получить права администратора
• Apple уведомила пользователей iPhone в 100 странах о том, что их устройства могли быть подвержены шпионскому ПО
• Уязвимости Apple «AirBorne» могут привести к удаленному взлому iPhone, iPad и Mac через AirPlay без участия пользователя
• Cloudflare отражает рекордное число DDoS-атак в 2025 году