Steam, la popular plataforma de juegos de Valve, ha sido víctima de una brecha de seguridad. Los datos de 89 millones de usuarios podrían estar en manos de los cibermalos.
Un actor de amenazas que usa el alias Machine1337 (y al que también se conoce como EnergyWeaponsUser) ha compartido un conjunto de datos que se habrían extraído de Steam y se ha ofrecido a venderlos por 5.000 dólares.
El medio de ciberseguridad Bleeping Computer ha examinado los archivos filtrados, que contendrían 3.000 registros. En ellos ha hallado mensajes de texto SMS históricos con códigos de acceso de un solo uso para Steam, incluyendo el número del teléfono del destinatario.
El agujero de seguridad se podría haber dado a través de Twilio, un servicio de terceros usado para el envío de códigos de autenticación de dos factores (2FA) por SMS.
La información ha partido del periodista de juegos independiente @MellowOnline1, quien encontró la publicación de los piratas informáticos y la compartió a través de X. Este también es el creador de SteamSentinels, una comunidad que rastrea el abuso y el fraude en el ecosistema Steam.
El profesional de la información asegura que no se habría dado una vulneración directa de Steam, sino de un servicio externo. Este periodista plantea la hipótesis de que se haya comprometido una cuenta de administrador o se haya dado un abuso de claves API en los sistemas Backend de Twilio.
Twilio niega su responsabilidad
Sin embargo, Twilio ha negado que sus sistemas hayan sido violados. En un comunicado ha señalado que no hay evidencias de que hayan experimentado una vulneración de seguridad. “Hemos revisado una muestra de los datos encontrados en línea y no vemos indicios de que estos datos se hayan obtenido de Twilio”, asegura un portavoz de la firma.
Otra posible explicación es que se haya la filtración de un proveedor de SMS que intermedia en la comunicación de códigos de acceso de un solo uso entre los usuarios de Twilio y Steam.
Sea como fuere, el hackeo abre la puerta a posibles ataques de phishing, con los actores de amenazas enviando mensajes falsos a los usuarios. Asimismo, también se podría dar el secuestro de sesión.