Nei giorni scorsi, la società Underdark.ai specializzata in sicurezza informatica, ha condiviso un post su LinkedIn in cui fa riferimento a un mega leak riguardante Steam. Un cybercriminale avrebbe messo in vendita sul Dark Web un archivio contenente le informazioni relative a ben 89 milioni di account registrati alla piattaforma. Valve, società responsabile del servizio, è intervenuta sulla questione per fare chiarezza.
Aggiornamento: Valva ha pubblicato una nota ufficiale, di fatto confermando quanto già scritto in questo articolo.
Valve spiega nel dettaglio il leak di Steam
La software house ha affidato la propria dichiarazione al sito GamingOnLinux, di fatto rassicurando gli utenti e affermando di non aver trovare prove concrete che accertino la violazione. La riportiamo di seguito in forma tradotta.
Ieri siamo stati informati a proposito di segnalazioni relative a fughe di notizie in merito a vecchi messaggi di testo, precedentemente inviati ai clienti di Steam. Abbiamo esaminato il campione di fuga e abbiamo stabilito che non si tratta di una violazione dei sistemi di Steam.
Stiamo ancora indagando sulla fonte della fuga di notizie, aggravata dal fatto che tutti i messaggi SMS non sono crittografati durante il transito e vengono instradati attraverso più provider prima di raggiungere il vostro telefono.
In estrema sintesi, il leak non riguarderebbe le credenziali, ma solo i codici monouso inviati agli utenti per eseguire operazioni specifiche. Sono invece inclusi i numeri di telefono.
La fuga di notizie riguarda vecchi messaggi di testo contenenti codici monouso validi solo per 15 minuti e i numeri di telefono a cui erano stati inviati. I dati trapelati non associavano i numeri di telefono a un account Steam, a informazioni sulla password, a informazioni di pagamento o ad altri dati personali.
I vecchi messaggi di testo non possono essere utilizzati per violare la sicurezza del vostro account Steam e ogni volta che utilizzate un codice per modificare la vostra email o password di Steam tramite SMS, riceverete una conferma via email e/o messaggi protetti di Steam.
Secondo Valve, non sarebbe necessario nemmeno cambiare password. Può invece tornare utile controllare periodicamente l’elenco dei dispositivi autorizzati per rilevare eventuali anomalie.
Dal punto di vista di Steam, i clienti non devono modificare password o numeri di telefono a seguito di questo evento. È opportuno ricordare di considerare sospetti eventuali messaggi di sicurezza dell’account non espressamente richiesti. Consigliamo di controllare regolarmente la sicurezza del proprio account Steam in qualsiasi momento.
Un altro suggerimento fornito è quello relativo all’utilizzo dello strumento Mobile Authenticator, disponibile all’interno dell’applicazione per Android e iOS.
Consigliamo inoltre agli utenti di Steam di configurare Steam Mobile Authenticator, se non l’hanno già fatto, poiché ci offre il modo migliore per inviare messaggi sicuri sul loro account e sulla sua sicurezza.
L’archivio in vendita sul Dark Web
Come scritto in apertura, tutto è iniziato quando su un noto forum del Dark Web è comparsa l’inserzione che propone un archivio contenente le informazioni relative a 89 milioni di account Steam. Il venditore si fa chiamare Machine1337 e per cederlo chiede 5.000 dollari, allegando un sample e il contatto Telegram per finalizzare la compravendita.
Ti potrebbe interessare
15 mag 2025