Компания Twilio заявила, что ее системы не были взломаны, несмотря на заявления хакера, утверждающего, что он получил более 89 миллионов записей пользователей Steam с одноразовыми кодами доступа.
Хакер под псевдонимом Machine1337 опубликовал объявление о продаже якобы украденных данных со Steam за 5000 долларов.
В утекших 3000 записях содержались исторические SMS-сообщения с одноразовыми кодами Steam, включая номера телефонов получателей.
Steam, крупнейшая в мире цифровая платформа для ПК-игр (принадлежит Valve) с более чем 120 миллионами активных пользователей в месяц, не дала комментариев по поводу инцидента.
Независимый журналист и основатель сообщества SteamSentinels MellowOnline1 предполагает, что произошла компрометация цепочки поставок, в которую вовлечен Twilio. По его словам, в утечке содержатся технические данные, указывающие на реальные лог-записи SMS из внутренних систем Twilio, что может быть результатом взлома аккаунта администратора или злоупотребления API-ключами.
Twilio — облачный провайдер коммуникационных сервисов, предоставляющий API для отправки SMS, голосовых вызовов и сообщений для двухфакторной аутентификации, широко используемый приложениями, такими как Steam.
Представитель Twilio подтвердил, что компания проводит расследование:
Twilio очень серьезно относится к подобным угрозам и в настоящее время изучает инцидент. Мы предоставим дополнительную информацию, как только она станет доступна
Позже компания Twilio выпустила отдельное заявление, в котором уточнила, что не нашла признаков взлома своих систем:
Не найдено никаких доказательств того, что Twilio была взломана. Мы проанализировали часть опубликованных данных и не обнаружили признаков того, что они были получены из Twilio.
Один из возможных источников данных — утечка у стороннего SMS-провайдера, через которого могли проходить сообщения между Twilio и пользователями Steam.
Некоторые сообщения действительно содержали коды подтверждения для входа в аккаунт или привязки номера телефона. Пока не удалось установить, откуда именно произошла утечка.
Стоит отметить, что часть данных достаточно свежая — многие сообщения датированы началом марта.
Twilio предлагает продукт для двухфакторной аутентификации под названием Verify API, который может использоваться через различные каналы — SMS, WhatsApp, голос, email, ключи доступа, push-уведомления и др.
Рекомендация для пользователей Steam: включите Steam Guard Mobile Authenticator и внимательно следите за активностью аккаунта, чтобы защититься от возможного несанкционированного доступа.
Угрозы безопасности
• Новая волна атак: инфостилер RedTiger нацелился на пользователей Discord
• TP-Link предупреждает о критической уязвимости внедрения команд в шлюзах Omada
• Сайт Xubuntu взломали: вместо установочного файла распространялся вирус для Windows
• Хакеры заявляют об утечке данных 5,5 миллиона пользователей Discord. Компания подтверждает компрометацию 70 000 аккаунтов
• Поддельные страницы сервиса itch.io крадут аккаунты геймеров и устанавливают вредоносное ПО
• Google не будет исправлять атаку ASCII Smuggling в Gemini — уязвимы также DeepSeek и Grok