【图一乐】8900万Steam账户信息泄露，Valve称系统未遭入侵

关于您的 Steam 帐户安全性的说明 您可能已经看到过一些报告，称之前发送给 Steam 用户的旧短信被泄露。我们已检查了泄露的样本，并确认这并非 Steam 系统漏洞。

我们仍在深入调查泄密的源头，因为所有短信在传输过程中都未加密，并且在发送到您的手机的途中要经过多个提供商，这使得泄密的源头变得更加复杂。

此次泄露的数据包括一些较旧的短信，其中包含仅在 15 分钟内有效的一次性验证码以及接收验证码的电话号码。 泄露的数据并未将这些电话号码与 Steam 账户、密码信息、支付信息或其他个人数据关联。 旧短信无法用于破坏您的 Steam 账户安全，并且每当有人使用验证码通过短信更改您的 Steam 邮箱或密码时，您都会收到一封电子邮件和/或 Steam 安全短信的确认信息。

您无需因此次事件而更改密码或电话号码。提醒您，任何您未明确请求的账户安全信息都应视为可疑信息。我们建议您定期检查您的 Steam 账户安全，并随时https://store.steampowered.com/account/authorizeddevices 如果您还没有设置 Steam 移动身份验证器，我们还建议您设置它，因为它为我们提供了发送有关您的帐户和帐户安全的安全消息的最佳方式。

目前在一个暗网论坛上知名泄露者Machine1337以 5,000 美元的价格出售 8900 万条 steam 记录。黑客提供了数据细节，以证明其真实性，给了 3000 条样本记录，我已上传 github仓库，需要分析的自取。https://github.com/mayfly42/ThreatReport/blob/main/Level3_DRContent%20(Internal%20Vendor)_20250306065537.xlsx。

如果你在其他在线账户上重复使用了 Steam 密码，也应该更新这些服务。并密切关注你的电子邮件，防范潜在的网络钓鱼攻击，尤其是与游戏相关的攻击。

结论，本次泄露样本里面没有账号密码或者密码的 hash 值。判断本次泄露图一乐，泄露者想打出知名度，但是又没拿出点干货出来。

感觉我的分析有点拉垮，补下BleepingComputer的分析

在一名威胁行为者声称持有超过 8900 万条带有一次性访问代码的 Steam 用户记录后，Twilio 在一份给 BleepingComputer 的声明中否认了该公司遭到入侵的说法。

该威胁行为者使用别名 Machine1337（也称为 EnergyWeaponsUser），发布了据称从 Steam 中提取的大量数据，并以 5,000 美元的价格出售。

在检查包含 3,000 条记录的泄露文件时，BleepingComputer 发现了带有 Steam 一次性密码的历史短信，其中包括收件人的电话号码。

Steam 由 Valve Corporation 所有，是全球最大的 PC 游戏数字发行平台，每月活跃用户超过 1.2 亿。

Valve 没有回应我们对威胁行为者的指控发表评论的请求。

独立游戏记者 MellolwOnline1 也是 SteamSentinels 社区组的创建者，该社区组负责监控 Steam 生态系统中的滥用和欺诈行为，他认为该事件是涉及 Twilio 的供应链泄露事件。

MellowOnline1 指出，泄露数据中的技术证据表明 Twilio 后端系统存在实时短信日志条目，推测管理员帐户遭到入侵或 API 密钥被滥用。

Twilio 是一家云通信公司，提供用于发送短信、语音通话和 2FA 消息的 API，被 Steam 等应用程序广泛用于用户身份验证。

当 BleepingComputer 询问他们是否参与了所谓的 Steam 漏洞事件时，Twilio 发言人承认了这一情况并确认他们正在调查。

Twilio 非常重视这些威胁，并正在审查这起涉嫌事件。公司发言人告诉 BleepingComputer：“我们将在获得更多信息后提供。”

Twilio 随后发表声明澄清称，该公司的系统并未遭到入侵。

“没有证据表明 Twilio 遭到入侵。我们审查了网上找到的数据样本，没有发现任何迹象表明这些数据是从 Twilio 获取的。”——Twilio 发言人

从数据来看，其来源的一个可能解释是来自 SMS 提供商的泄漏，该提供商在 Twilio 和 Steam 用户之间传递一次性访问代码。

其中一些消息显然是用于访问 Steam 帐户或将电话号码与帐户关联的确认代码。

然而，BleepingComputer 无法确定这些数据是否来自短信提供商，也无法确定其身份。此外，我们也无法核实威胁行为者的说法。

值得一提的是，部分数据相对较新，我们发现许多交货日期都是3月初的。

Twilio 提供了一种名为 Verify API 的双因素身份验证 (2FA) 产品，客户（包括游戏提供商）可以通过各种通信渠道（短信、WhatsApp、语音、电子邮件、密码、静默设备批准、推送或基于时间的一次性密码）来实现。

出于谨慎考虑，建议 Steam 用户启用 Steam Guard Mobile Authenticator 以获得额外的安全性，并监控帐户活动以防未经授权的登录尝试。